Ana sayfa Haberler Anubis Truva ...

Anubis Truva Atı’ndan Türkiye’ye Yoğun Saldırı

26.07.2019 – Kaspersky uzmanları Anubis adlı Truva atının Haziran ayının başından bu yana Türkiye’de yoğun faaliyet gösterdiğini tespit etti. Siber suçlular bu zararlı yazılımı yaymak için ele geçirilen cihazlardaki kişi listelerine SMS gönderiyor. Saldırganlar kullanıcıları önde gelen bir telekomünikasyon ve teknoloji hizmetleri sağlayıcısından ücretsiz internet bağlantısı teklifi gibi görünen SMS’lerle kandırmaya çalışıyor. Gelen SMS’teki bağlantıya tıklandığında Truva atı indiriliyor. Anubis’i yaymak için kullanılan SMS’lerin bazı örnekleri şunlar: «Mesajlaştıkça kazan, kazandıkça daha çok mesajlaş. Davet ettiklerin doyasıya internet paketi kazanıyor. Şimdi sen de indir 2GB internet paketi hakkı kazan. Detaylı Bilgi»; «10GB Her operatörde internet keyfini sürün».

100.000 TL Paranız Olsa Nasıl Yatırım Yapardınız? Sanal Para ile Deneyin!

Kaspersky uzmanlarına göre bu yılın başından beri 6200’den fazla kullanıcı Anubis’le karşılaştı. En yoğun günde 190 kişinin etkilendiği belirlendi. Son SMS saldırısının asıl hedefi Türk kullanıcılar olsa da bu yazılımdan en çok etkilenen ülkeler sırasıyla Rusya, Almanya ve Türkiye oldu. Takip sistemlerimiz Nisan ayında Rus kullanıcılara yönelik bir SMS saldırısını da tespit etmişti. O saldırıda gönderilen mesajlardaki MMS’i açabilmek için kullanıcılardan bir uygulama indirmesi isteniyordu. Başka tür mesajlarda ise para yardımı talep ediliyordu.

Anubis ilk kez yıllar önce tespit edildi. Bu Truva atı insanları yasal hizmet gibi görünen zararlı yazılımları indirmeye ikna eden sosyal mühendislik ve kimlik avı saldırılarında kullanılıyor. Truva atı indirildikten sonra şunları yapabiliyor: 

  • SMS gönderme, alma ve silme
  • Kişi listesini ve hesap giriş bilgilerini çalma
  • URL açma
  • Mobil cihazlarda saklı dosyaları şifreleme
  • Ses kaydetme ve ekran görüntüsü alma
  • Tuş takibi yapma
  • Kullanıcıların kimlik bilgilerini çalmak için sahte giriş sayfaları (bankacılık uygulamaları) gösterme

Kaspersky Zararlı Yazılım Analisti Alexander Eremin, “Bireysel kullanıcılar söz konusu olduğunda kötü şöhretli Truva atlarının para çalmak için kullanılmaya devam ettiğini görüyoruz. Kullanıcılara, cihazlarına bir yazılım indirirken dikkatli olmalarını ve ücretsiz şeylere verilen çok iyi pazarlama tekliflerine karşı şüpheyle yaklaşmalarını tavsiye ediyoruz” dedi.

Kaspersky ürünleri bu tehdidi Trojan-Banker.AndroidOS.Anubis olarak tespit ediyor.

Anubis zararlı yazılımına yakalanmamak için Kaspersky şu basit kuralları uygulamanızı öneriyor:

  • Uygulamaları yalnızca resmi kaynaklardan indirin.
  • Mümkünse akıllı telefon ayarlarınızda üçüncü taraf kaynaklardan gelen uygulamaların kurulumunu devre dışı bırakın.
  • Tanımadığınız kişilerden gelen şüpheli bağlantılara tıklamayın.
  • Mobil cihazınızı korumak için sağlam bir güvenlik çözümü kurun.

 

 

Google Play’deki sahte fotoğraf düzenleme uygulamalarına dikkat!

04.07.2019 – Kaspersky uzmanları, Google Play mağazasındaki bazı yasal görünümlü fotoğraf düzenleme uygulamalarında para çalmak için kullanılan MobOk zararlı yazılımının gizlendiğini keşfetti.“Pink Camera” ve “Pink Camera 2” adlı uygulamalar tespit edilene kadar 10.000’den fazla kez indirildi. Kurbanların kişisel bilgilerini çalmak için tasarlanan bu uygulamalarla elde edilen bilgiler, ücretli abonelik servislerine üye olmakta kullanılıyor. Kurbanlar ancak cep telefonu faturalarına yansıyan beklenmedik ücretleri gördüğünde saldırının hedefi olduğunu anlayabiliyor. Google Play’den kaldırılan bu uygulamaları artık indirmek mümkün değil.

En tehlikeli zararlı yazılım türleri arasında yer alan arka kapılar saldırganlara hedef aldıkları cihaz üzerinde neredeyse tam kontrol sağlıyor. MobOk da bunlardan biri. Google Play’e yüklenen içerikler sıkı filtrelerden geçse de tehditlerin bu yolla kullanıcı cihazlarına ulaşmasına daha önce de rastlandı. Çoğu vakada arka kapılar yarı çalışan bir uygulamanın içine saklanıyor. Bu uygulamalar ilk bakışta başarısız fakat masum birer yasal uygulama denemesi gibi görünüyor. İçinde gerçekten de fotoğraf düzenleme özellikleri bulunan ve güvenilir Google Play mağazasından indirilen Pink Camera uygulamalarının şüphe çekmemesinin nedeni de bu.

Ancak kullanıcılar Pink Camera ile resimlerini düzenlemeye başladığında, uygulama bildirimlere erişim izni istiyor. Arka planda zararlı faaliyet de bu iznin alınmasıyla başlıyor. Bu izin sayesinde kullanıcıyı ücretli mobil abonelik servislerine üye yapmak mümkün oluyor. Bunlar genellikle cep telefonu faturasına eklenen günlük ödemeler karşılığında bir hizmet verdiğini söyleyen web sayfaları oluyor. Müşterilerin kaliteli servislere üye olmasını kolaylaştırmak için mobil operatörler tarafından geliştirilen bu ödeme yöntemi şimdilerde siber saldırganlar tarafından da kullanılıyor.

MobOk kurbanın cihazına bulaştıktan sonra ilgili telefon numarası gibi cihaz bilgilerini toplayarak bunları saldırının ilerleyen safhalarında kullanıyor. Saldırganlar ücretli abonelik servislerine sahip web sayfalarının bilgilerini cihaza gönderiyor, zararlı yazılım da gizli bir web tarayıcısı görevi üstlenerek bunları açıyor. Daha önce alınan telefon numarasını kullanan yazılım, abonelik bölümüne bu numarayı giriyor ve satın alma işlemini tamamlıyor. Cihaz üzerinde tam kontrole sahip olan ve bildirimleri kontrol edebilen yazılım, SMS onay kodu geldiğinde bunu kullanıcıyı uyarmadan girebiliyor. Kurban telefon faturasında ödemeleri fark edip her bir servisin aboneliğini iptal edene kadar para toplanmaya devam ediyor.

Kaspersky Güvenlik Araştırmacısı Igor Golovin, “Pink Camera uygulamalarının fotoğraf düzenleme özellikleri pek iyi olmasa da arka planda yapabildikleri diğer şeyler gerçekten inanılmaz. Bu uygulamalar kullanıcıları Rusça, İngilizce ve Tayca dillerindeki para tuzağı servislere üye yapabiliyor, SMS’leri takip edebiliyor ve çevrim içi servislere abone olurken robot olmadığınızı kanıtlamak için yazmanız gereken Captcha kodlarını talep edebiliyor. Böylece kurbanların banka hesaplarından para çalma potansiyeline de sahip oluyorlar. Saldırganların hem bu özgün olmayan abonelik servislerini hem de kullanıcıları çeken zararlı yazılımı birlikte geliştirdiğini ve dünya genelinde geniş kitlelere ulaşmayı hedeflediğini düşünüyoruz.” dedi.

Kaspersky, MobOk zararlı yazılımını HEUR:Trojan.AndroidOS.MobOk.a şeklinde tespit ediyor.

Kaspersky, zararlı uygulamalardan kaçınmak için kullanıcılara şunları tavsiye ediyor:

Resmi uygulama mağazaları gibi güvenilir kaynaklarda bile tehlikeli uygulamalar olabileceğini aklınızdan çıkarmayın. Kurulu uygulamaların hangi izinleri aldığını her zaman kontrol edin. Google Play veya App Store gibi resmi mağazalardaki uygulama puanlarına ve incelemelerine göz atın. Zararlı uygulamalar düşük puan almış olabilir ve kullanıcılar zararlı yazılım riskini belirten yorumlar bırakmış olabilir. Böyle bir uygulamayı kurmak üzereyseniz uygulamanın hangi izinleri talep ettiğine dikkat edin.

Sistem ve uygulama güncellemelerini çıkar çıkmaz kurun. Bunlar açıkları kapatır ve cihazlarınızı korur.

Birçok farklı tehdide karşı kapsamlı koruma sağlayan, Kaspersky Security Cloud gibi güvenilir güvenlik çözümleri kullanın. Raporun tamamını Securelist.com adresinde okuyabilirsiniz.

 

Hackerler’in Hedefinde Linkedin Kullanıcıları Var! Sahte İş Teklifleriyle Kandırıyorlar…

16.04.2019 – İş dünyası ve çalışanlar arasında popüler olan sosyal paylaşım platformu LinkedIn, hackerlerin yeni hedefi haline geldi. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs, sahte profiller ve iş teklifleriyle LinkedIn kullanıcılarını tuzağa düşüren siber korsanlara karşı dikkat edilmesi gerektiğini belirtiyor.

Siber korsanlar için sosyal medya ve çevrimiçi ağlar büyük bir nimet olmaya devam ediyor. Hackerlerin hedefledikleri yeni mecra ise iş dünyasının profesyonel sosyal paylaşım platformu olan LinkedIn. Dünyanın birçok yerinden profesyonel çalışanların birbirleriyle iletişim halinde oldukları LinkedIn platformunda kurumsal şirketlerin çalışanlara iş tekliflerinde bulunduğunu belirten Bitdefender Antivirüs, hackerlerin iş teklifi şeklinde hazırlanmış mailler ile kötü amaçlı yazılım yaydıkları uyarısında bulunarak LinkedIn kullanıcılarının dikkatli olmaları gerektiğini belirtiyor.

Sahte Profillerle Çalışanlar Tuzağa Düşürülüyor

Proofpoint tarafından gerçekleştirilen araştırmada ABD genelinde LinkedIn kullanan çalışanlarının hackerler tarafından potansiyel kurban olarak görüldüğü sonucuna ulaşılıyor. Siber saldırganların resmi bir işe alım şirketi olarak kendilerini tanıttıklarını belirten Bitdefender Antivirüs, bu şekilde gizlenerek çalışanların gözünde inandırıcı bir imaj çizdiklerine dikkat çekiyor. İnandırıcı bir imaj oluşturan hackerler bir sonraki adımlarında ise çalışanlara bağlantı isteği ve iş teklifi mesajlarını kişiselleştirilmiş içeriklerle gönderiyor. Her çalışanın özgeçmişlerine ve çalıştıkları pozisyonlara uygun iş tekliflerinde bulunan hackerlere inanan çalışanlar, iletişim kurdukları anda tuzağa düşüyorlar.

Sahte İş Teklifleri ile Kötü Amaçlı Yazılım Bulaştırılıyor

Bitdefender Antivirüs’e göre, saldırganlar LinkedIn’deki mesajlaşmanın ardından bir hafta içinde kişiselleştirilmiş e-postayı, doğrudan hedeflenen kurbanın iş e-posta adresine gönderiyor. Burada da ikna edici görünmek için iş teklifi, kişiselleştirilmiş bir şekilde çalışanın iş unvanına ve pozisyonuna atıfta bulunularak yapılıyor. Çalışanların kurgusal iş fırsatı hakkında daha fazla bilgi almak için e-posta içerisindeki bağlantıya tıklama daveti aldıklarını belirten Bitdefender Antivirüs, bağlantıya tıklayan çalışanların sahte işe alım sitesini ziyaret ederek zararlı bir Microsoft Word dosyası indirdiklerini ve belge içeriğini görüntülemek için güvenlik uyarısını görmezden gelerek içeriği etkinleştirdiklerini bildiriyor. Çalışanların bilgisayarlarına yüklenen şeyin, hackerlerin başka bilgisayar ağlarına erişmesine izin veren More_eggs arka kapı trojanının bir versiyonu olduğu görülüyor.

Çalışanların e-posta adreslerine gelen her içerik için dikkatli olmaları gerektiğini belirten Bitdefender Antivirüs, çalışanların şüphe duydukları ya da emin olmadıkları bağlantılar için IT uzmanlarına danışmaları, şirketlerin bu tarz durumlara karşı da hem çalışanlarını eğitip, hem de servislerini ve ağlarını güncel antivirüs yazılımları ile korumaları önerisinde bulunuyor.

 

Siber Suçlular Şimdi de Popüler TV Dizilerini Kullanıyor

01.04.2019 – Kaspersky Lab araştırmacıları, siber suçluların zararlı yazılımları yaymak için popüler TV dizilerinin yeni bölümlerini kullandığını keşfetti. Saldırganların en çok ilgi gösterdiği dizilerin başında Taht Oyunları, The Walking Dead ve Arrow geliyor. ‘Tehdit Oyunları: Siber suçlular zararlı yazılımları yaymak için popüler TV dizilerini nasıl kullanıyor?’ başlıklı yeni rapor, konuyla ilgili tüm bulguları ortaya koyuyor.

TV dizileri hemen herkesin ilgisini çeken, en popüler eğlence unsurlarından biri. Torrent, çevrim içi yayın ve diğer dijital dağıtım kanallarının yükselişiyle telif hakkı ihlalleri de sıkça yaşanır hale geldi. Birçok bölgede bu programlar torrent siteleri ve yasa dışı yayın platformları gibi kanallardan izlenebiliyor. Yasal kaynaklardakilerin aksine, torrent sitelerinde ve başka bilgisayarlarda bulunan dosyalar, TV dizisi gibi görünmelerine rağmen aslında birer zararlı yazılım olabilir.

Yasal olmayan kaynaklardan indirilen TV dizilerinin zararlı yazılımlarla değiştirilmesinin ne kadar kolay olduğunu gören Kaspersky Lab araştırmacıları, 2018 ve 2017’yi kapsayan çalışmalarında bu tür dosyaları daha yakından inceledi. Her iki yılda da listenin başında Taht Oyunları yer aldı. 2018’de zararlı yazılım içeren içeriklerin %17’si (20.934 saldırı) bu dizinin adını taşırken, The Walking Dead ile 18.794 ve Arrow ile 12.163 saldırı düzenlendi.

Taht Oyunları, 2018’de yeni bölüm yayınlanmamasına rağmen bu alanda birinci oldu. Listedeki diğer diziler için ise büyük reklam kampanyaları düzenlenmişti.

İncelenen tüm vakalarda, saldırganlar her sezonun ilk ve son bölümünü kullanmayı tercih etti. Örneğin Taht Oyunları’nın 1. sezonun ilk bölümü olan ‘Kış geliyor’ yoğun bir şekilde kullanıldı.

Kaspersky Lab Güvenlik Araştırmacısı Anton V. Ivanov, “Saldırganların, korsan içerik sitelerindeki popüler TV dizilerinden yararlandığını açıkça görebiliyoruz. Bunlar genellikle, geniş tanıtım kampanyaları düzenlenen dram ve aksiyon dizileri oluyor. İzleyicilerin en çok ilgi gösterdiği ilk ve son bölümlerde zararlı yazılım bulunma olasılığı daha yüksek oluyor. Dolandırıcılar, insanların dizilere olan bağlılığı ve sabırsızlığından faydalanarak siber tehditlerin indirilmesini sağlıyor. Taht Oyunları’nın son sezonunun bu ay başlayacak olması nedeniyle, dizinin yeni bölümleri gibi görünen zararlı yazılımların sayısında da büyük ihtimalle artış yaşanacak. Kullanıcıları bu konuda dikkatli olmaya çağırıyoruz.” dedi.

Kaspersky Lab, TV programı gibi görünen zararlı yazılımların kurbanı olmamak için şunlara dikkat edilmesini öneriyor:

  • TV içerikleri üretip dağıtmasıyla bilinen yasal servisleri kullanın.
  • İndirilen dosyaların uzantılarına dikkat edin. TV dizilerini güvenilir ve yasal olduğunu düşündüğünüz kaynaklardan indirseniz bile dosyanın uzantısının .avi, .mkv, .mp4 veya benzeri olduğuna, kesinlikle .exe olmamasına dikkat edin.
  • Web sitelerinin gerçek olup olmadığına daha fazla dikkat edin. TV dizilerini izlemeye izin veren fakat yasal olduğuna emin olmadığınız ve ‘https’ ile başlamayan web sitelerini ziyaret etmeyin. Dosya indirmeye başlamadan önce web sitesinin gerçek olup olmadığını, URL’nin biçimine veya şirket adının yazılışına bakarak kontrol edin.
  • Yeni bölümü erken izleme şansı vereceğini söyleyen şüpheli bağlantılara tıklamayın. Dizilerin takvimini kontrol edin.
  • Birçok farklı tehdide karşı kapsamlı koruma sağlayan, Kaspersky Security Cloud gibi güvenilir güvenlik çözümleri kullanın.

 

 

Siber Dolandırıcılar Bu Kez Netflix’i Alet Ediyor, İşte Sahte Mesaj

21.01.2019 – Kimlik avına çıkan siber dolandırıcılar, amaçlarına ulaşmak için bu kez internet televizyonu Netflix’i alet ediyor. Antivirüs yazılım kuruluşu ESET, dolandırıcıların Netflix temalı sahte mesajlarla kulanıcıların kişisel bilgilerini elde etmeye çalıştığını duyurdu.

Uyarı, Amerika Birleşik Devletleri Federal Ticaret Komisyonu’ndan geldi. Buna göre dolandırıcılar, yayın devi Netflix’e aitmiş gibi görünen sahte sayfalarla kullanıcıları aldatmaya odaklanıyor. Küresel antivirüs yazılım kuruluşu ESET, kimlik avı amaçlı e-postalar yoluyla kişisel bilgi ele geçirmeye çalışan bu dolandırıcılığı mercek altına aldı.

Dolandırıcılık‚ ‘ödeme bilgilerinde sorun var‘ denilerek başlıyor

Netflix temalı bir dolandırıcılık türevi olan bu yöntem, ‘ödeme bilgilerinizde sorun olduğunu ve hesabınızın askıya alındığını öne süren sahte bir mesajla başlıyor. Oysa bu, çeşitli dolandırıcılık faaliyetlerinde yaygın şekilde başvurulan ve kullanıcıları anlık mesajla harekete geçirmeye yönelik yöntemlerden biri.

Diğer toplu dolandırıcılık faaliyetlerinde olduğu gibi, burada da kişisel bir selamlama yerine, “Merhaba Sevgili Üyemiz” benzeri genel bir selamlama yer alıyor. Bu bile tek başına, mesajın meşru bir kuruluş tarafından gönderilmediğini işaret eden bir gösterge olarak değerlendirilebilir.

Süreç nasıl işliyor?

Kullanıcıya iletilen e-postada, ‘mevcut fatura bilgilerinizle ilgili bir sorun‘ denilerek, hızlıca bunun düzeltilmesi talep ediliyor, ödeme bilgilerinin güncellenmesi isteniyor. Sonrasında düzmece bir bağlantı, oturum açma bilgilerini isteyerek, onları ele geçirecek sahte bir giriş sayfasına götürüyor. Bağlantıya veya mesaj ekine tıklamak, genellikle kişisel bilgilerin toplanması için kötü amaçlı yazılımların indirilmesi veya çalıştırılmasına yol açıyor.

Ne yapmalı?

Birdenbire gelen mesajlarda hiçbir şeye tıklamamak en iyisidir. İletinin ve gönderenin meşru olup olmadığını iki kez kontrol edin. Bunun için örneğin servis sağlayıcıyla iletişime geçebilirsiniz. Ancak dikkat, sahte teklifte yer alan iletişim bilgilerini dikkate almayın. Ayrıca güncel ve proaktif bir güvenlik yazılımı sizi sahte yazılımlara karşı uyaracaktır.

Konuyla ilgili ayrıntılı ESET makalesini şu linkten okuyabilirsiniz.

www.welivesecurity.com/2019/01/02/netflix-scam-ftc-phishing-warning/

ABD Federal Ticaret Komisyonu açıklaması ise şöyle:

www.consumer.ftc.gov/blog/2018/12/netflix-phishing-scam-dont-take-bait

 

 

773 milyon e-posta kimliği ve 21 milyon parola ifşa edildi

18.01.2019 – Yaklaşık 773 milyon benzersiz e-posta adresi ve 21,2 milyondan fazla parola, Koleksiyon #1 olarak adlandırılan büyük bir veri dökümünde açığa çıkarıldı. Daha önce de daha büyük boyutlu veri sızıntıları meydana gelmişti ancak ilk kez bu denli büyük bir veri ifşa edilmiş görünüyor.

Antivirüs yazılım kuruluşu ESET’in mercek altına aldığı olayı, Have I Been Pwned (HIBP) web sitesinin sahibi, güvenlik araştırmacısı Troy Hunt’tan geldi. Hunt’a göre veri, dosya paylaşım hizmeti MEGA ve daha sonra da isimsiz popüler bir hack forumunda yayınlandı. Veri, toplam 87 gigabayt ağırlığında 12 binden fazla dosyayi içeriyor.

2 milyardan fazla satır var

Troy Hurt, şu bilgileri paylaştı: “Koleksiyon #1, toplam 2 milyar 692 milyon 818 bin 238 satırdan oluşan bir e-posta adresi ve parola setidir. Kelimenin tam anlamıyla binlerce farklı kaynaktan gelen birçok farklı bireysel veri ihlalinden oluşuyor“.

Hurt, temizleme işlemi sonucunda 1 milyar 160 milyon 253 bin 228 benzersiz e-posta adresi ve parola kombinasyonunu 772 milyon 904 bin 991 adet benzersiz e-posta adresine indirdi. Bununla birlikte 21 milyon 222 bin 975 benzersiz parola, düz metin olarak yer alıyor.

Dizin listesindeki birçok ihlali tanıdığını söyleyen Hunt, eskiden kendisinin de kullandığı hesapların ortaya çıktığını ve bu eski e-posta/şifre kombinasyonunun gerçekten doğru olduğunu aktardı. Troy Hunt, “Kısacası, bu ihlalin içindeyseniz, daha önce kullandığınız bir veya daha fazla şifre, başkalarının görmesi için dolaşıyor” diye yazdı.

Kontrol edin, parolanızı değiştirin!

E-posta hesaplarınızdan herhangi birinin veya e-postanızla ilişkili çevrimiçi bir hesabınızın, bilinen bir ihlalin parçası olup olmadığını şu siteden kontrol edebilirsiniz: https://haveibeenpwned.com/

Eğer öyleyse, parolanızı hemen değiştirmeyi düşünün. Ayrıca parolanızı başka bir yerde yeniden kullanmadığınıza da emin olun. Bu aşamada güvenilir bir parola yöneticisinin faydası olacaktır. Mümkün olan her yerde iki faktörlü kimlik doğrulama (2FA) kullanmayı da düşünmelisiniz, çünkü bu, hesaplarınızı çalma girişimlerini önlemeye yardımcı olmak için çok basit bir önlemdir.

 

Siber Saldırı Nedir? Saldırılar ve Zararlı Yazılımlar Hakkında Bilgiler

Siber saldırı bilgisayar ve internet alanında uzman kişiler, hatta ekipler tarafından şirketler (kurumlar, firmalar, bankalar) ya da devlet kurumlarının (polis, devlet kurumlarının veri tabanları, internet siteleri, vatandaşlara bilgi ve hizmet sunan siteler) bilgisayar sistemlerine, veri tabanlarına, banka ve kişisel hesaplara zarar vermek ya da bilgi çalmak amacıyla gerçekleştirilen elektronik saldırılara verilen genel addır.

Siber Saldırı Türleri Nelerdir? Nasıl Yapılmaktadır?

Bu kısımda geçmişte ve güncel olarak karşılaşılan kimi zaman yaygın olarak birey ve kişisel hesaplara zarar veren kimi zaman da az görülen ancak şirketleri hedef alan saldırıları örneklerle anlatacağız:

Ses Dalgaları ile Zarar Verme

Amerikalı ve Çinli güvenlik araştırmacıları, siber saldırganların bilgisayarların hoparlörlerinden ses çıkartarak, sabit disklere fiziksel zarar verebileceğini ve bilgisayarların çökmesine neden olabileceğini ortaya çıkardı. Global bilgi güvenliği kuruluşu ESET, ses dalgalarıyla gerçekleşen bu sıradışı saldırı deneyini mercek altına aldı.

Michigan Üniversitesi ve Zhejiang Üniversitesinden bir grup güvenlik araştırmacısı, ses dalgalarının bilişim sistemlerine etkisini inceledi. “Mavi Not: Kasıtlı Akustik Saldırılar Sabit Sürücülere ve İşletim Sistemlerine Nasıl Zarar Veriyor” başlığıyla yapılan araştırma ve sonucunda yayınlanan makaleye göre, hem duyulabilir ve hem de ultrasonik akustik dalgalar yoluyla sabit disk sürücülerinde özel bir cihaza ihtiyaç olmadan hatalar oluşturulabiliyor. Bu sıradışı deneyi ESET araştırmacısı Graham Cluley inceledi ve paylaştı.

Nasıl oluyor?

Duyulabilir ses dalgaları ile, masaüstü ve dizüstü bilgisayarlarda yaygın olarak bulunan manyetik sabit disk sürücülerinde okuma/yazma uçlarını ve plakaları titreştirmek mümkün. İşletim sınırları dışındaki titreşimler, hem donanımın hem de yazılımın hasar görmesine ve dosya sisteminin bozulmasına ve yeniden başlatılmasına neden olabilir. Araştırmacılar, siber saldırganların kalıcı hatalara neden olmak için bir cihazın dahili hoparlörlerini (veya yakındaki hoparlörleri) kullanmasının mümkün olduğunu da ortaya koydu.

Duyulmayan seslerle de zarar oluşturmak mümkün

Bununla birlikte ultrasonik dalgalar da insan kulağının duyamayacağı seslerle sabit disk sürücüsünün şok sensörü çıkışını değişime uğratıp okuma/yazma yönetimini sekteye uğratarak cihazlar üzerinde benzer bir etki yaratabiliyorlar. Elbette, Mavi Not saldırısıyla yalnızca sıradan masaüstü ve dizüstü bilgisayarların etkileneceğini düşünmemek gerekiyor.

Güvenlik kamerası denemesi

Araştırmacılar tarafından ortaya konan ustaca düşünülmüş bir saldırıda ise, bir dijital video güvenlik kamerasının hedeflendiği görüldü. Güvenlik kamerası, görüntüleri sabit disk sürücüsünde saklayan bir DVR içeriyordu. Ancak, bir akustik saldırıya hedef olunduğunda sistem artık herhangi bir veriyi sabit disk sürücüsüne yazamıyordu. Kamera, video verilerini RAM üzerine kaydetmeye çalışmaya devam etti; fakat yaklaşık 12 saniye içerisinde yetersiz alan uyarısı vererek akustik saldırı bitene kadar elde edilen tüm veriyi kaybetti.

İlk örnekler değil

Bu elbette, sesin sabit disk sürücülerini nasıl olumsuz etkileyebileceğine yönelik ilk kez elde edilen bir bilgi değil. Örneğin 2016 yılında, uluslararası bir bankanın Romanya Bükreş’teki veri merkezinde yer alan çok sayıda sabit sürücünün, yangın söndürme amacıyla tasarlanmış bir sistemin etkisiz gazı dışarı atarken yüksek bir ses çıkarması sonucu etkilendiği raporlandı. Kesinti süresince kredi kartı işlemleri, ATM’lere erişim ve internet bankacılığı gibi pek çok bankacılık işleminde aksamalar meydana geldi.

Üreticiler önlem alabilir

Michigan Üniversitesinden Connor Bolton yaptığı sunumda, sabit disk üreticilerinin okuma/yazma parçalarının ileri geri titremesini önlemek için bir ürün yazılımı güncellemesi yayınlayarak müşterileri koruyabileceğini aktardı. Bu elbette “olabilir”, ama “olacak” demek değil.

Daha pahalı dizüstü bilgisayarların sahipleri için iyi haber ise, güçlü formdaki sürücülerin (SSD’ler) herhangi bir hareketli parçaya sahip olmamasıdır; bu da bir şok veya titreşime maruz kaldıklarında bundan etkilenmeyecekleri anlamına gelir. Ancak bu, sabit sürücülerin üreticiler tarafından hala en uygun maliyetli depolama çözümü olarak görülmesiyle birlikte pek çok cihazın teoride bu yöntem kullanılarak saldırıya uğrayabileceği gerçeğini değiştirmez.

 

Kimlik Avı Saldırılarının Yüzde Ellisinden Fazlası Finansla İlgili

Kaspersky Lab’in kimlik avıyla mücadele teknolojileri, 2017’de kullanıcıların kimlik avı için kullanılan sayfalara 246 milyon kez girme girişiminde bulunduğunu tespit etti. Bu girişimlerin %53’ünün finans dünyasıyla ilgili web sitelerini ziyaret etmeye yönelik olduğu belirlendi. Bu oran 2016’ya kıyasla 6 puan daha yüksek. Kaspersky Lab’in finansal tehditler analizine göre, kimlik avı saldırıları kaydedilmeye başlandığından beri ilk kez finansal kimlik avı girişimleri %50’nin üzerine çıktı.

Finansal kimlik avı saldırıları gerçek gibi görünen kopya sitelere yönlendiren sahte mesajlardan oluşuyor. Kullanıcıların banka ve kredi hesaplarına ait giriş bilgilerini ele geçirip internet bankacılığına veya para hesaplarına erişilen bu saldırılarda tüm amaç kurbanların parasını çalmak. Kimlik avı saldırılarının %53’ünün bu biçimde olması, dünya genelinde her iki saldırıdan birinin kurbanların parasını çalmayı hedeflediği anlamına geliyor.

2017’de tüm finansal kimlik avı saldırı kategorilerinde artış yaşandı. Bankalara, ödeme sistemlerine ve e-ticaret sitelerine yönelik saldırılar sırasıyla 1,2, 4,3 ve 0,8 puan artarak tespit edilen tüm kimlik avı saldırıları arasında ilk defa ilk üç sıraya yerleşti.

Kaspersky Lab tarafından 2017’de tespit edilen farklı finansal kimlik avı saldırı türlerinin dağılımı

Global arama motorları, sosyal ağlar ve benzerlerinin yer aldığı ve 2016’da ikinci sırada bulunan global internet portalı kategorisi ise 2017’de 13 puandan fazla azalarak dördüncü sıraya geriledi. Bu bilgi, suçluların bu tür hesapları çalmak yerine doğrudan paraya ulaşmaya odaklandıklarını gösteriyor.

Elde edilen veriler Mac kullanıcılarına yönelik tehlikelerin de arttığını ortaya koyuyor. Mac cihazlarının güvenli olduğuna dair popüler görüşün aksine, 2016’da bu platformdaki kullanıcılara yönelik kimlik avı saldırılarının %31,38’ini finansal bilgileri ele geçirme hedefli saldırılar oluşturuyordu. Bu oran 2017’de %55,6’ya yükseldi.

Kaspersky Lab Web İçeriği Baş Analisti Nadezhda Demidova, “Siber suçluların finansal kimlik avı saldırılarına daha çok odaklanması kullanıcıların çok daha dikkatli olmasını gerektiriyor. Dolandırıcılar paramızı çalmak için sürekli bizi gafil avlayacak yeni yöntemler ve teknikler araştırıyor. Biz de en az onlar kadar kararlı olup, siber güvenlik alanında bilgi edinmeye devam ederek onların başarıya ulaşmalarına izin vermemeliyiz.” dedi.

Kaspersky Lab, kullanıcıların kendilerini kimlik avı saldırılarına karşı korumaları için şunları öneriyor:

  • İnternet üzerinde ödeme yaptığınız web sitelerinin gerçek olup olmadığını her zaman kontrol edin. Https bağlantısına ve alan adının ödeme yaptığınızı düşündüğünüz kuruma ait olup olmadığına bakın.
  • Kimlik avıyla mücadele için davranış tabanlı teknolojiler kullanan sağlam bir güvenlik çözümü kullanın. Böylece, kimlik avıyla mücadele veri tabanlarına henüz eklenmemiş en yeni dolandırıcılık yöntemlerini bile tespit etmek mümkün olabilir.

Raporda yer alan diğer önemli bulgular arasında şunlar yer alıyor:

Kimlik Avı:

  • 2017’de finansal kimlik avı saldırılarının tüm kimlik avı tespitleri arasındaki oranı %47,5’ten yaklaşık %54’e yükseldi. Bu oran Kaspersky Lab’in finansal kimlik avı istatistiklerine göre tüm zamanların en yüksek oranı.
  • Bankacılık ile ilgili kimlik avı girişimlerinin dörtte birinden fazlasında Kaspersky Lab ürünleri sahte sitenin yüklenmesini engelledi.
  • Ödeme sistemleri ve e-ticaret siteleriyle ilgili kimlik avı saldırılarının oranı 2017’de sırasıyla %16 ve %11 oldu. Bu da 2016’ya göre küçük bir artış (bir puanlık) olduğunu gösteriyor.
  • Mac kullanıcılarının karşılaştığı finansal kimlik avı saldırılarının oranı neredeyse iki kat artarak yaklaşık %56 seviyesine ulaştı.

Bankacılık ile ilgili zararlı yazılımlar:

  • Bankacılık truva atlarıyla saldırıya uğrayan kullanıcıların sayısı 2016’da 1.088.900’ken 2017’de %30 oranında azalarak 767.072’ye düştü.
  • Bankacılık ile ilgili zararlı yazılımların saldırısına uğrayanların %19’u kurumsal kullanıcılardı.
  • Bu tür zararlı yazılımlar en fazla Almanya, Rusya, Çin, Hindistan, Vietnam, Brezilya ve ABD’deki kullanıcıları hedef aldı.
  • Bankacılık ile ilgili en yaygın zararlı yazılım unvanı halen Zbot’un elinde (saldırıya uğrayan kullanıcıların %33’ü). Onu Gozi ailesi takip ediyor (%27,8).

Bankacılık ile ilgili Android tabanlı zararlı yazılımlar:

  • 2017’de bankacılık ile ilgili Android tabanlı zararlı yazılımlarla karşılaşan kullanıcıların sayısı tüm dünyada yaklaşık %15 azalarak 259.828’e düştü.
  • Yapılan saldırıların büyük bir kısmını (%70) yalnızca üç zararlı yazılım ailesi oluşturdu.
  • Rusya, Avustralya ve Türkmenistan, bankacılık ile ilgili Android tabanlı zararlı yazılımların en çok hedef aldığı ülkeler oldu.

Finansal kimlik avı hakkında daha fazla bilgi ve 2017’de Finansal Siber Tehditler raporundaki diğer bulgular için Securelist.com adresindeki blog yazımızı okuyun.

Türkiye’de en çok sosyal medya hesapları hedef alınıyor

Günümüzde banka hesapları arasında para transferi yapmaktan alışverişe, hava durumunu kontrol etmekten dışarı çıkmak için taksi çağırmaya kadar birçok farklı şey için internet üzerindeki hesaplarımıza sürekli giriş yapıyoruz. Peki, ihtiyacınız olduğunda hesabınıza giriş yapamazsanız ne olur? “Hatalı parola” mesajıyla karşılaşırsanız ne yaparsınız? Eve zamanında ulaşamaz veya yağmura mı yakalanırsınız? Gerçekte yaşanabilecekler bu saydıklarımızdan çok daha ciddi olabilir. Kaspersky Lab tarafından yapılan araştırma, kullanıcıların internet üzerindeki hesaplarını koruma altına alırken yaşadığı ikilemi ortaya çıkardı.

Günlük yaşantımızı sürdürmek için internet üzerindeki hesaplarımıza giderek daha çok bağımlı hale geliyoruz. Kaspersky Lab, kullanıcıların bu hesaplar için parola belirlerken büyük bir ikilemde kaldığını keşfetti. Bazı kullanıcılar sahip oldukları her hesap için farklı ve güçlü parolalar belirleyip kendilerini güvence altına almayı tercih ediyorlar. Ancak bunu yaparken parolarını unutma riskiyle karşı karşıya kalıyorlar. Diğer bir grup kullanıcı ise hayatlarını kolaylaştırmak için hatırlaması zor olmayan parolalar seçiyorlar. Bu yolu tercih edenler sadece kendilerinin değil siber suçluların da işini kolaylaştırmış oluyorlar.

İkilemin ilk seçeneği: Hatırlaması zor ama güçlü parolalar

Yapılan araştırmaya göre kullanıcıların çoğu hesapları için güçlü parolalar kullanmaları gerektiğinin farkındalar. Türkiye’deki kullanıcılara internetteki hesaplarından hangi üçünün güçlü parolaya ihtiyaç duyduğu sorulduğunda, %58’i banka hesabı, %26’sı elektronik cüzdanlar dahil olmak üzere ödeme uygulamaları, %32’si ise internet üzerinden alışveriş hesapları yanıtını verdiler.

Güçlü parolaları hatırlamanın zor olması kullanıcıların bunları unutup hesaplarına erişemeyebileceği anlamına da geliyor. Türkiye’deki kullanıcıların %47’si kişisel hesaplarındaki parolalarını unuttuktan sonra hızla yerine yeni parola belirleyemiyor. Günlük aktivitelerin bu nedenle yapılamaması kullanıcılarda sinir ve strese yol açabiliyor.

Türkiye’deki kullanıcıların neredeyse yarısı (%48) parolalarını güvensiz bir şekilde saklarken, yaklaşık dörtte biri (%22) güvenliklerini riske atsa da parolalarını unutmamak için bir not defterine yazdığını belirtiyor.

İkilemin ikinci seçeneği: Zayıf ve ele geçirilmesi kolay parolalar

Parola ikilemiyle karşılaşan ve uzun parolarları ezberlemek zorunda kalmak istemeyen kullanıcılar güvenli olmayan başka davranışlar sergiliyorlar. Örneğin, kullanıcıların %12’si tüm hesapları için sadece tek bir parola kullanıyor. Böylece internet üzerindeki hesaplarına nasıl giriş yapacaklarını hatırlamak zorunda olmadan rahat bir şekilde yaşıyorlar. Ancak bu rahatlık, bir siber suçlunun bu tek parolayı ele geçirip her şeyi kendisi için kullanmaya başlamasına kadar devam ediyor.

Gerçekten de, Türkiye’de Kaspersky Lab anketine katılan kullanıcıların %49’u son 12 ay içinde internet üzerindeki hesaplarının çalınması tehdidiyle karşılaşmış ya da hesaplarını çaldırmış. Türkiye’de en sık hedef alınan hesaplar sosyal medya hesapları olurken (%43), onu sırasıyla e-posta hesapları (%29), banka hesapları (%14) ve alışveriş hesapları (%18) takip ediyor.

İkilemin çözümü: Üçüncü bir seçenek de var

Kaspersky Lab’e göre, parola ikilemiyle karşılaşan kullanıcılar yalnızca iki seçeneğe sahip değiller. Kullanıcıların güvenlikten ödün vermelerine gerek olmadığını belirten Kaspersky Lab Tüketici İş Birimi Lideri Andrei Mochola, “İnsanlar hatırlayabilecekleri güçlü parolalara sahip olurlarsa yalnızca ihtiyaçları olan her şeye istedikleri her an erişmekle kalmaz, aynı zamanda hesaplarındaki bilgileri siber suçlulardan da korumuş olurlar. Birinin iletişim bilgilerini bulmak, bir toplantının yerini anımsamak, sevdikleri oyundaki mücadeleyi kazanmak, e-postalarını kontrol etmek veya ihtiyaç duydukları bir şeyi istedikleri zaman sipariş etmek gibi günlük yaşantıları sırasında yaptıkları şeyleri, bilgilerini hackerlara veya suçlulara açmadan güvenli bir şekilde yapabilmek, kullanıcılar için çok önemli. Güvenli parolaları hatırlamak zor olduğundan kullanıcılar bu parola ikilemiyle her gün karşı karşıya kalıyorlar. Sonuçta ya güçlü parolalarını unutuyor ya da hatırlaması ve aynı zamanda kırılması kolay parolalar oluşturuyorlar. Ancak, kullanıcıları rahatlatacak üçüncü bir seçenek daha var. Tüketiciler bir parola yöneticisi çözümü kullanarak güçlü parolalara sahip olabilir. Bu sayede parolaları not defterlerine yazmak veya özel karakterlerle dolu karmaşık kelime dizilerini ezberlemek zorunda kalmazlar” dedi.

 

Router ile Bulaşan Zararlı Yazılım: ‘Slingshot’ Hakkında Bilgi

12.03.2018

Araştırmacılar şimdiye kadar Kenya, Yemen, Afganistan, Libya, Kongo, Ürdün, Türkiye, Irak, Sudan, Somali ve Tanzanya’da Slingshot ve ilgili modüllerden etkilenen 100 civarında kurban tespit etti. Kurbanlar genelde kurumlardan çok bireylerden oluşuyor. Ancak aralarında bazı devlet kurum ve kuruluşları da yer alıyor. Zararlı yazılımdan etkilenenlerin önemli bir bölümü Kenya ve Yemen’de bulunuyor.

Türkiye de router ile bulaşan zararlı yazılımın kurbanları arasında

Kaspersky Lab araştırmacıları, Orta Doğu ve Afrika’da 2012’den Şubat 2018’e kadar siber casusluk için kullanılan gelişmiş bir tehdidi keşfetti. Araştırmacıların ‘Slingshot’ adını verdiği zararlı yazılım kurbanların bilgisayarlarına, ele geçirilmiş router’lar üzerinden bulaşıyor. Kernel modunda çalışabilen yazılım, kurbanın bilgisayarının tüm kontrolünü elinde bulundurabiliyor. Araştırmacılara göre, daha önce görülmemiş birçok tekniğin kullanıldığı bu tehdit, gizlice bilgi toplama konusunda inanılmaz derecede etkili. Kendi veri trafiğini işaretli veri paketlerinde gizleyen bu zararlı yazılım, iz bırakmadan günlük iletişimin arasına gizlenebiliyor.

Slingshot operasyonu, araştırmacıların yazılan karakterleri kaydeden şüpheli bir programı fark edip, kodun başka bir yerde kullanılıp kullanılmadığını görmek için davranışsal tespit işareti oluşturmasının ardından keşfedildi. Bu yöntemin kullanılmasıyla, sistem klasöründe scesrv.dll adlı şüpheli bir dosyanın yer aldığı bir bilgisayar tespit edildi. Araştırmacılar incelemeyi derinleştirmeye karar verdiler. Dosya analiz edildiğinde, yasal gibi gözükse de aslında scesrv.dll modülünde zararlı kodlar bulunduğu görüldü. Bu arşiv, sistem ayrıcalıklarına sahip ‘services.exe’ ile birlikte yüklendiğinden aynı yetkileri elde ediyordu. Araştırmacılar bu sayede çok gelişmiş bir saldırganın, bilgisayarların en temel merkezine girebildiğini anladılar.

Slingshot’ın en çok dikkat çeken özelliği, pek de yaygın olmayan saldırı yöntemlerini kullanması. Araştırmacılar daha fazla kurban keşfettikçe, çoğunda yazılımın ele geçirilmiş router’lardan bulaştığını gördüler. Slingshot’ın arkasındaki grubun saldırı sırasında router’ları ele geçirip, içine zararlı bir dinamik bağlantı arşivi yerleştirdiği belirlendi. Bu arşiv aslında diğer zararlı bileşenlerin indirilmesini sağlıyordu. Bir sistem yöneticisi router’ı yapılandırmak için giriş yaptığında, router’ın yönetim yazılımı zararlı modülü sistem yöneticisinin bilgisayarına indirip çalıştırıyor. Router’ların nasıl ele geçirildiği ise henüz bilinmiyor.

Bulaşmasının ardından, Slingshot kurbanın cihazına çok sayıda modül yüklüyor. Bunlar arasında iki adet çok büyük ve güçlü modül bulunuyor: Cahnadr ve GollumApp. Bağlı bu iki modül; bilgi toplama, süreklilik ve dışarı veri sızdırma konularında birbirine destek oluyor.

Slingshot’ın siber casusluk amacıyla kullanıldığı düşünülüyor. Yapılan analizlerde yazılımın; ekran görüntüleri, klavye verileri, ağ verileri, parolalar, USB bağlantıları, diğer masaüstü aktiviteleri ve pano verilerini toplayabildiği anlaşıldı. Zaten yazılımın kernel erişiminin olması istediği her şeyi çalabileceği anlamına geliyor.

Bu gelişmiş kalıcı tehdit, tespit edilmesini önlemek için de bazı yöntemler kullanıyor. Bunların arasında modüllerdeki tüm dizileri şifreleme, güvenlik ürünlerinden kaçınmak için doğrudan sistem servislerini çağırma, hata ayıklamaya karşı teknikler kullanma ve çalışan güvenlik çözümü süreçlerine göre hangi süreçleri etkileyeceğini belirleme gibi yöntemler yer alıyor.

Pasif bir arka kapı şekline çalışan Slingshot’ta kodlanmış bir komut ve kontrol adresi bulunmuyor. Ancak bu adresi, kernel modundaki tüm ağ paketlerinin arasına girip başlıkta kodlanmış iki adet sihirli sabit olmadığını kontrol ederek operatörden alıyor. Başlıkta iki adet sihirli sabitin yer alması o pakette komut ve kontrol adresi olduğu anlamına geliyor. Daha sonra Slingshot, komut ve kontrol adresiyle şifreli bir iletişim kanalı kuruyor ve çaldığı verileri bunun üzerinden aktarmaya başlıyor.

Araştırmacıların incelediği örneklerin ‘sürüm 6.x’ olarak işaretlenmiş olması, tehdidin çok uzun bir süredir kullanıldığını ortaya koyuyor. Slingshot’ın karmaşık araçlarını geliştirmek için gereken zaman, beceri ve paranın çok yüksek olduğu tahmin ediliyor. Tümü bu ipuçları bir araya getirildiğinde, Slingshot’ın arkasındaki grubun organize, profesyonel ve muhtemelen devlet destekli bir grup olduğu düşünülebilir. Kodlardaki metinler, grubun İngilizce konuşan kişilerden oluşabileceğini gösteriyor. Ancak bu gibi durumlarda doğru tahmin yapmak ve kişileri tam olarak belirlemek imkânsız olmasa bile epey zor, manipülasyona ve hataya açık oluyor.

Kasperky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, “Slingshot, bugüne kadar yalnızca en gelişmiş saldırılarda gördüğümüz kernel modu modülleri gibi birçok araç ve yöntem kullanan oldukça karmaşık bir tehdit. Yazılımın sahip olduğu işlevler saldırganlar için çok değerli. Bu da Slingshot’ın neden yaklaşık altı yıldır kullanıldığını açıklayabilir” dedi.

Kaspersky Lab’in tüm ürünleri bu tehdidi tespit edip engelleyebiliyor. Kaspersky Lab araştırmacıları bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

  • Mikrotik router’larını kullananlar, bilinen açıklardan korunmak için en kısa sürede yazılımlarını son sürüme yükseltmeli.Ek olarak, Mikrotik Winbox artık router’dan kullanıcı bilgisayarına hiçbir şey indirilmesine izin vermiyor.
  • Kaspersky Anti Targeted Attack Platform ve Tehdit İstihbaratı Hizmetleri gibi kanıtlanmış kurumsal sınıf güvenlik çözümleri kullanın.
  • Kaspersky Threat Management and Defence çözümü gibi, hedefli saldırıları önleyen teknolojilere ve tehdit istihbaratı özelliğine sahip kurumsal düzeyde bir güvenlik çözümü kullanın. Bu çözümler, ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş hedefli saldırıları yakalayabiliyor.
  • Güvenlik ekiplerinin en son tehdit istihbaratı verilerine erişmesini sağlayın. Bu sayede, hedefli saldırıları önlemeleri için sızma belirtileri (IOC), YARA ve özel gelişmiş tehdit raporlaması gibi faydalı araçlara sahip olabilirler.

 

Kaspersky Lab, popüler bir endüstriyel protokolde kritik açıklar keşfetti

11.05.2018

Kaspersky Lab ICS CERT, sunucular ile kritik altyapılar gibi endüstriyel sistemlerdeki istemciler arasında güvenli veri transferi için tasarlanan OPC UA (Object Linking and Embedding for Process Control Unified Automation) protokolünü analiz etti. Analizlerde protokolün uygulanmasında 17 adet sıfır-gün açığı tespit edildi. Bu açıklar hizmet engelleme (Denial of Service) ve uzaktan kod çalıştırma saldırılarına yol açabiliyor. Ayrıca, bu protokol üzerine kurulu ticari ürünlerde de çok sayıda açık bulundu. Tüm açıklar geliştiricilere bildirildi ve Mart 2018 sonuna kadar kapatıldı.

OPC UA, endüstriyel bir ağdaki çok sayıda sistem arasında sağlam ve güvenli veri iletimi sağlamak için 2006 yılında OPC Foundation tarafından geliştirilip kullanıma sunulan bir endüstriyel protokol. Bu protokol üretim, petrol ve gaz, ilaç ve başka sektörlerde faaliyet gösteren büyük markalar tarafından endüstriyel tesislerde sıkça kullanılıyor. Protokolün ağ geçitleri; otomatik süreç kontrolü ve uzaktan ölçümde iletişim, takip ve uzaktan denetim sistemleri için her geçen gün artan sayıda endüstriyel kurum tarafından kullanılıyor. Böylece bu kurumlar yönetim süreçlerini birleştirebiliyor. Protokol ayrıca, siber saldırganların dikkatini çeken Endüstriyel IoT ve akıllı şehir bileşenlerinde de kullanılıyor.

Kaspersky Lab ICS CERT uzmanları OPC UA mimarisini ve ürünlerini analiz etti. Örnek bir sunucuyla birlikte protokolün açık kaynaklı kodlarını (GitHub’da bulunabilir) inceleyen uzmanlar, mevcut uygulamanın kod tasarımında ve yazımında hatalar buldu. Bu hatalar, bu kadar yaygın kullanılan bir kritik altyapı yazılımında bulunmaması gereken türde hatalardı. OPC Foundation ürünlerinde toplamda 17 adet sıfır-gün açığı belirlendi ve geliştiricilere bildirildi. Geliştiriciler de ardından bu açıkları kapattı.

Kaspersky Lab ICS CERT ayrıca bu endüstriyel protokol üzerine kurulu üçüncü taraf yazılımları da inceledi. İncelenen yazılımlar arasında önde gelen endüstri markalarının çözümleri de bulunuyordu. Çoğu durumda açıkların, protokolün bazı uygulama işlevleri düzgün bir şekilde kullanılmadığı için ortaya çıktığı tespit edildi. Bazı durumlarda ise açıkların nedeni protokolün altyapısına hatalı değişiklikler uygulanmasıydı. Bu yüzden, OPC Foundation’ın orijinal uygulamasında hata olmamasına rağmen uzmanlar ticari bir üründe güvensiz işlevler keşfetti. Markaların bilinmeyen nedenlerle protokolün mantığında yaptığı bu değişiklikler riskli işlevlere neden oluyordu.

OPC UA protokolünün uygulanmasında tespit edilen tüm açıklar endüstriye büyük zarar verebilecek cinstendi. Bir yandan, endüstriyel süreçleri aksatıp veya durdurup sistemlere ciddi tehdit oluşturabilecek hizmet engelleme (Denial of Service) riski ortaya çıkıyordu. Diğer yandan ise, saldırganlara endüstriyel süreçleri kontrol etmesini veya ağa sızmaya devam etmesini sağlayacak sunucu komutları gönderme imkanı tanıyan, uzaktan kod çalıştırma yöntemi de uygulanabiliyordu.

Kaspersky Lab ICS CERT Kıdemli Güvenlik Araştırmacısı Sergey Temnikov, “Yazılım geliştiriciler genellikle endüstriyel protokollere fazlasıyla güveniyor. Ürün kodlarını güvenlik denetiminden geçirmeden teknolojiyi çözümlerine uyguluyorlar. Böylece, bu örnekteki gibi açıklar ürün serilerinin tamamını etkileyebiliyor. Markaların yaygın kullanılan teknolojilere dikkat etmesi büyük önem taşıyor. Ayrıca, markaların kendi yazılımlarını tasarlayacabilecekleri fikrine de kapılmamaları gerekiyor. Çoğu bunun mevcut yazılımlardan daha verimli ve güvenli olabileceğini düşünüyor fakat yepyeni bir yazılım bile çok sayıda açığa sahip olabiliyor.” dedi.

Kaspersky Lab kurumlara şunları öneriyor:

  • Uygulama geliştirme sürecinde güvenlik kontrollerini ve testleri zorunlu bir adım olarak görün. Protokollere tamamen güvenmeyin.
  • Açıkları keşfetmek için denetimler ve sızma testleri uygulayın.
  • Yazılım geliştirme süreçlerini diğer süreçlerden ayrı tutun. Böylece bir uygulama ele geçirildiğinde saldırganlar tüm ağa erişemez.

 

WannaCry Fidye Yazılımı Saldırısı Hakkında Bilgi

15.05.2017

Kaspersky Lab araştırmacıları, 12 Mayıs 2017 tarihinde dünya çapında birçok kuruluşu etkileyen WannaCry fidye yazılımı saldırısına ilişkin sürecin gelişimini izlemeye devam ederek, aşağıdaki güncel bilgileri paylaşmaktadır:

Fidye yazılımının gelişim süreci:

15 Mayıs Pazartesi günü dolaşımda bulunan toplam varyant (aynı yazılımın değişken sürümleri) sayısı hala belirsizdir ancak hafta sonu boyunca iki önemli varyant ortaya çıkmıştır. Kaspersky Lab, bunların hiçbirinin zararlı yazılımın orijinal geliştiricileri tarafından yaratılmadığına; saldırıların, kendi çıkarlarını ve amaçlarını gözetmeye hevesli olan kişiler tarafından yamalanarak düzenlendiğine inanmaktadır.

İlk varyant pazar sabahı 02:00 dolaylarında yayılmaya başlamıştır ve farklı bir alana (domain) bağlanmak üzere yamalı olduğu görülmüştür. Kaspersky Lab, bugüne kadar bu varyant için Rusya ve Brezilya’da bulunan üç kurban tespit etmiştir.

Hafta sonu boyunca ortaya çıkan ikinci varyantın ise, zararlı yazılımın yayılımını önleyeceği düşünülen zayıf noktasını (kill switch) ortadan kaldırmak için yamalanmış olduğu ve muhtemelen söz konusu yazılım hatasını içerdiği için yayılmadığı gözlemlenmiştir.

Bugüne kadar saldırıdan etkilenenlerin sayısı

Ağ loglarının daha ayrıntılı bir analizi, WannaCry fidye yazılımının 11 Mayıs Perşembe günü yayılmaya başlamış olabileceğini göstermektedir.

Saldırıdan etkilenenlerin toplam sayısını tahmin etmek zordur. Kaspersky Lab’ın kendi ölçümlemesi 45.000‘in üzerinde kullanıcının saldırıya uğradığını göstermektedir, ancak bu toplam saldırı sayısının bir kısmını temsil etmektedir. (Kaspersky Lab’ın müşterilerinin payı)

WannaCry’ın çoğu sürümünde sabit olarak kodlu bulunan zayıf noktaya (kill switch) hizmet eden ‘sinkhole’ sunucusuna (alan adlarının zararlı yazılımlar tarafından kullanımını engellemek için DNS sorgularına yanlış bilgi veren bir DNS sunucusu) bakarak bu konuda daha net bir tablo çizilebilmektedir. An itibarıyla, ‘kill-switch’ kodundan gelen yeniden yönlendirmeleri toplayan Malwaretech ‘sinkhole’ sunucusu, yaklaşık olarak 200.000 hit kaydetmiş bulunmaktadır.

Bu rakam, internete bağlanmak için bir vekil sunucu kullanılan kurumsal ağlardaki saldırıları içermemektedir. Gerçek kurban sayısı çok daha büyük olabilir.

15 Mayıs Pazartesi günü Kaspersky Lab tarafından tespit edilen WannaCry saldırı girişimleri, 12 Mayıs Cuma gününe kıyasla 6 kat azalmıştır. Bu, saldırının kontrol altında alınmaya başladığını göstermektedir.

Olası bir saldırıdan etkilenme riskini azaltmak için Kaspersky Lab’ın tavsiyeleri:

  • Saldırıda kullanılan güvenlik açığını kapatmak üzere Microsoft’un sunduğu resmi yamayı yükleyin (Windows XP, Windows 8 ve Windows Server 2003 için de kullanılabilen yamalar da vardır).
  • Tüm ağ düğümlerinde güvenlik çözümlerinin aktif olduğundan emin olun.
  • Kaspersky Lab çözümlerini kullanmayanlara ücretsiz Kaspersky Anti-Ransomware Tool (KART) yüklemeleri önerilir.
  • Bir Kaspersky Lab çözümü kullanılıyorsa, davranışsal bir proaktif algılama bileşeni olan System Watcher’ı içerdiğinden ve açık durumda olduğundan emin olun.
  • Olası enfeksiyonu en kısa sürede bulabilmek için Kaspersky Lab’ın çözümündeki Kritik Alan Taraması (Critical Area Scan) görevini çalıştırın (aksi durumda 24 saat içinde kapanmazsa otomatik olarak algılayacaktır).
  • MEM: Trojan.Win64.EquationDrug.gen’i tespit ettikten sonra sistemi yeniden başlatın
  • Olası saldırılar hakkında bilgilendirilmek için, Müşteriye Özel Tehdit İstihbaratı Raporlama hizmetlerini kullanın.
  • WannaCry gömülü sistemleri de hedeflemektedir. Gömülü sistemler için özel güvenlik çözümlerinin yüklenmesini ve hem anti-malware korumasına hem de Standart Engelleme (baştan yasaklı) fonksiyonuna sahip olunmasını öneririz.

Teknik veri

Wannacry saldırı metodu ve ilgili Tehdit Göstergeleri hakkında detaylı bilgilere Securelist’teki blog yazısından ulaşabilirsiniz.

BİR CEVAP BIRAK

Please enter your comment!
Please enter your name here