CyDeS
Chronicle
Cyber Defense and Security Laboratory
Ağustos 2014
Bu bülten, siber güvenlik ve siber savunma alanında dünyada yer alan başlıca gelişmeleri derlemeyi
amaçlamaktadır. Siber güvenlik konusunda güncel gelişmeleri taraf gözetmeden, farkındalık geliştirmek
amacıyla sunan bültenimiz, ODTÜ Enformatik Enstitüsü’nde faaliyet gösteren CyDeS (Cyber Defense and
Security Laboratory) tarafından aylık olarak hazırlanmaktadır.
© CyDeS
İÇİNDEKİLER
Raporlar:
- Max Planck Enstitüsü Raporu: Uygurlara Yönelik Çin Saldırıları
ve Detayları
- Symantec Raporu Enerji Sektörüne Saldıran Bir Grubu
İnceliyor
- KPMG Özel Sektör ve Siber Güvenlik Konulu Rapor Yayınladı:
Özel Sektör Siber Saldırılar Konusunda Çekingen
Kitap Tanıtım:
- Sosyal Mühendisin Maskesini İndirmek: Güvenliğin İnsan
Boyutu
Haberler:
- İngiliz İstihbaratı, Altı Üniversiteye Siber Casus ve Uzman
Yetiştirme Sertifikası Verdi
- NATO’ya yönelik Rusya Tehdidi
- Kadınlar İçin Hackerlık Eğitimi: Siber Güvenlik Kadın Çalışma
Grupları
- ABD Gerçekten Bir “Siber Barış” İstiyor Mu?
- Tarihin En Büyük Siber Hırsızlığı: 1.2 Milyar Kullanıcı Bilgisi
Ele Geçirildi
- Epic Turla Saldırısı Kaspersky Tarafından Deşifre Edildi
- ABD Parlamentosu, Siber Güvenlik Konulu Yasa Tasarıları
Geçirdi
- Operation Tovar: Uluslararası Botnet İndirme Operasyonu
1
2
3
Geçtiğimiz hafta, Almanya’daki
Max Planck Institute tarafından
yapılan bir çalışma, bilimsel bir
rapor olarak yayınlandı. Rapor,
Max Planck Institute ile birlikte,
National University of Singapore
ve Northeastern University imzası
da taşıyor. Rapor, “A Look at
Targeted Attacks Through the
Lense of an NGO” (Bir Sivil
Toplum
Kuruluşu
Gözünden
Hedefli Saldırılara Bir Bakış)
başlığını taşıyor ve konusunu, son
derece detaylı ve kapsamlı şekilde
ele alıyor.
Raporun
konusu
ise,
siber
uluslararası ilişkiler, siber politikalar
ve siyasi hareketler açısından son
derece önemli. Rapor, Çin’de
baskı
gören
azınlık
Uygur
toplumunun Çin dışında varlığını
sürdüren temel temsilcisi World
Uyghur Congress (Dünya Uygur
Meclisi) üyelerine yapılan siber
saldırıları inceliyor. Bu hedefli siber
saldırılar, Çin devleti tarafından
bizzat destekleniyor ve oldukça
gelişmiş ve akıllıca yöntemler
kullanıyor.
Rapor
saldırıların
Max Planck
Enstitüsü Raporu:
Uygurlara Yönelik
Çin Saldırıları ve
Detayları
içeriğini,
yöntemlerini,
karakteristik özelliklerini ve
trend göstergelerini ele alıyor.
Raporu yazan heyetin başında,
Northeastern
University
profesörü
Engin
Kırda
bulunuyor.
Araştırma heyeti, Dünya Uygur
Meclisi üyelerine dört yıl
boyunca
gönderilmiş
olan
1400’ün
üzerinde
emaili
inceledi. Araştırmanın sonunda
da sosyal mühendislik ve zararlı
dosya
eklentileri
gibi
yöntemlere dayalı kapsamlı bir
siber casusluk faaliyetinin
yürütülmüş
olduğuna
ulaşıldı.
Bu
saldırılarda
kullanılan zararlı yazılımların
yüzde 25’inden fazlası, daha
önce Tibetli sivil toplum
kuruluşlarına
yapılan
saldırılarla
aynı
araçları
kullanıyor.
Saldırılardaki
emaillerin bilgi çalmak üzere
tasarlandığı ve 108 farklı
kurumdaki 724 farklı email
adresine gönderildiği tespit
edildi. Saldırı emaillerinin
yüzde 75’inden fazlasında
4
6
5
Araştırmada belirtilen zararlı yazılım içeren sosyal mühendislik emaillerden biri. Microsoft Office ve Adobe
PDF dosyalarından oluşan
zararlı
yazılımlar
eklenti
olarak
bulunmaktaydı.
Saldırılarda
sıfırıncı
gün
açıkları
bulunmuyor
ve
oldukça
bilindik
açıklar
kullanılıyor. Kullanılan zararlı
yazılımların bir kısmı, daha
önce FireEye ve CitizenLab
tarafından
tespit
edilen
zararlı yazılımların aynısı.
Gönderilen emailler, sanki
güvenilir
kaynaklardan
gönderiliyormuş
gibi
gösteriliyor.
Kullanılan
emaillerin çoğu da sahte
Dünya
Uygur
Kongresi
üyelerinin sahte hesaplarından
gönderiliyor.
Bu siber saldırıların hedefleri,
Dünya
Uygur
Kongresi
liderleri, başlıca haberciler,
dünya genelinde siyasetçiler,
çeşitli eğitim kurumlarından
akademisyenler ve çeşitli sivil
toplum
kuruluşlarındaki
çalışanlar.
Araştırmayı
yürüten
Engin
Kırda, 12 Ağustos’ta kendi
kaleminden çıkan bir yazıda da
bu
noktalara
değindi.
Araştırmada
kullandıkları
tekniklere açıklık getiren Kırda,
halihazırda kullanılan antivirüs
programlarının da bu saldırılar
karşısında
yeterli
olup
olmadıkları
yönünden
incelendiğini, fakat saldırıların
güvenlik
programlarından
kaçabilmeyi başardığını anlattı.
Rapor, son yıllarda bir çok siber
güvenlik
merkezinin
Çin
aleyhine yayınladığı raporlardan
biri.Raporun
tamamına,
akademik
bir
makale
formatında
şuradan
ulaşılabiliyor.
http://www.mpisws.org/~stevens/pubs/sec14.pdf
2
3
1
Symantec
Raporu Enerji
Sektörüne
Saldıran Bir
Grubu İnceliyor
Symantec
tarafından
yayınlanan bir rapor, Amerika
ve
Avrupa’daki
enerji
sektörünü hedef alarak siber
saldırılar
gerçekleştiren
Dragonfly
yani
“yusufçuk
böceği” adındaki bir saldırgan
grubu inceliyor.
Rapor, Dragonfly grubunun
gerçekleştirdiği siber casusluk
faaliyetlerine odaklanıyor. Bu
faaliyetlerin
zamanlaması,
hangi
ülkelerdeki
hangi
sektörleri hedef aldığı, saldırı
sıklığı ve yoğunluğu gibi
detaylar, raporda etraflıca
inceleniyor.
Dragonfly raporuna göre,
siber casusluk faaliyetlerini
gerçekleştiren
saldırganlar,
eğer
casusluk
dışında
faaliyetler
yürütmek
isteselerdi,
söz
konusu
ülkelerdeki enerji merkezlerine
zarar verecek veya enerji
akışını
sekteye
uğratacak
faaliyetlerde
bulunma
imkanlarına sahipti. Dragonfly
grubu, aynı zamanda “Energetic
Bear” olarak da isimlendiriliyor.
Rapor
ayrıca
Dragonfly
grubunun 2011 yılından beri
faaliyetlerini
sürdürdüğünü,
başlangıçta
ABD
ve
Kanada’daki
savunma
ve
havacılık
şirketlerini
hedef
aldığını, 2013 yılının başından
beri ise ABD ve Avrupalı enerji
şirketlerine yöneldiğini açıklıyor.
Bu
sektörlere
ek
olarak
endüstriyel kontrol sistemleri de
hedefler arasında sayılıyor.
Dragonfly
saldırganları,
hedeflerine saldırmak amacıyla
spam emailleri ve “watering
Dragonfly’ın etkilediği ülkeler
hole” saldırıları kullandı. Grubun
kullandığı iki temel zararlı
yazılım ise Trojan.Karagany ve
Backdoor.Oldrea. Bu zararlı
yazılımlar, endüstriyel kontrol
sistemlerinin (ICS) donanım
sağlayıcılarını
etkiliyor
ve
sonrasında da saldırı hedefi
şirket, kullanılan yazılımların
güncellemesini
yüklerken
farkında
olmayarak
zararlı
yazılımı da yüklüyor. Bu şekilde
de saldırganlar için hem kısa
hem de uzun vadede şirketlerin
bilgi ağlarına ve sistemlerine
girebilecekleri bir açıklık elde
edilmiş oluyor.
4
6
5
Grubun hedeflerinin çoğu ise
ABD, İspanya, Fransa, İtalya,
Almanya, Türkiye ve Polonya’da
bulunuyor.
Kullanılan zararlı yazılım, çalınan
verileri başka bir platforma
upload edebiliyor ve bulaştığı
bilgisayarda exe dosyalarını
çalıştırarak çeşitli faaliyetlerde
bulunuyor. Dragonfly grubunun
ayrıca 3 temel saldırı yöntemi
benimsediği düşünülüyor. İlk
olarak zararlı yazılım içeren PDF
belgelerinin
emaille
gönderilmesi, bu email spam
saldırılarından sonra "watering
hole" adı verilen odaklanılması,
son olarak da Eylül 2013'ten
sonra Hello adındaki açıklıktan
yararlanarak, hedefe en fazla
zararı verecek olan URL'e doğru
yönlendirilmesinin sağlanması.
Dragonfly
grubunun
kim
olabileceği
de
raporda
tartışılıyor.
Ellerinde
bulundurdukları kabiliyetlerin
gelişmişliğinden
dolayı
arkasında
devlet
desteği
olduğu düşünülen Dragonfly’ın
saldırı
zamanlamaları
incelendiğinde,
grubun
çoğunlukla Pazartesi ve Cuma
günleri arasında çalıştığı, 9:00
ve 18:00 arasına denk gelen
saatlerde aktif oldukları ve
UTC +4 saat diliminde
bulundukları bilgisine ulaşıldı.
Bunun sonucunda da grubun
büyük
ihtimalle
Doğu
Avrupa’da
bir
ülkede
bulundukları
düşünülüyor.
Raporun tam metnine şu
adresten ulaşılabiliyor.
http://www.symantec.com/content/en/
us/enterprise/media/security_response/
whitepapers/Dragonfly_Threat_Against
_Western_Energy_Suppliers.pdf
1
2
3
KPMG Özel Sektör ve Siber
Güvenlik Konulu Rapor Yayınladı:
Özel Sektör Siber Saldırılar
Konusunda Çekingen
Dünyanın en büyük hizmet
sektörü şirketlerinden biri olan
KPMG'nin Hindistan merkezi
tarafından, özel sektör ve siber
güvenlik konusunu içeren son
derece
önemli
bir
rapor
yayınlandı. Rapor, özel sektörü
konu edinmekle birlikte, bizzat
özel
sektörün
başat
aktörlerinden biri tarafından
hazırlanıp yayınlandığı için de
önem arz ediyor.
Rapor, Hindistan merkezli 170
profesyonel katılımcı üzerinde
yapılan bir anket çalışması
olarak yürütülmüş ve cevaplara
göre de sonuçlar oluşturulmuş.
Rapora göre, katılımcıların %58'i
finansal sektörün siber suçlar
için en hassas hedef olacağını
düşünürken %11'i de iletişim,
eğlence ve altyapı sistemlerinin
hedef
seçilebileceğini
düşünüyor. Raporun en çarpıcı
bulgusu
ise,
katılımcıların
%89'unun, siber suçların hem
şirketlerin finansal altyapılarına
zarar vereceğini hem de marka
değeri ve isim namı gibi şirket
için önemli kimi değerleri
istismar
edebileceğini
düşünmeleri. Bu da özel
sektörün
siber
güvenlik
konusundaki kaygılarını gözler
önüne seren bir bulgu.
Ayrıca,
rapora
göre
katılımcıların
%51'i
kendi
şirketlerinin kolayca siber saldırı
hedefi
olabileceğini
düşünürken, bu katılımcıların
da %68'i, şirketlerine yönelik
siber saldırıları her gün takip
ettiklerini belirtti.
Rapor,
siber
saldırıların
kaynağının
sıklıkla
şirket
dışından olmasına ek olarak,
şirket içinden kaynaklanan
siber saldırılara karşı da dikkatli
olunması gerektiği konusunda
okuyuculara
fikir
veriyor.
Raporun değindiği en önemli
konulardan biri de, şirketlere
yönelik
düzenlenen
siber
saldırıların amaçlarının finansal
hırsızlık yapmaktan, daha da
gelişmiş casusluk ve şirket
bilgisi/stratejisi
çalmaya
çalışmaya kaymış olması.
KPMG tarafından yayınlanan
rapor, siber güvenlikte çok
tartışılan özel sektör rolü
konusunda önemli göstergeler
sunuyor.
1
2
3
Kitap Tanıtım:
“Sosyal
Mühendisin
Maskesini
İndirmek”,
Güvenliğin
İnsan Boyutu
Siber güvenlik konusu, uzun
yıllardır mühendislerin ve
mühendisliğin bir alanı
olarak görülmekteydi. Fakat
son
yıllarda
konunun
öneminin sosyal bilimlerin
bütün
disiplinlerince
farkedilmiş
olması
sonucunda, siber güvenlik
ve siber alan konularını
inceleyen
sosyal
bilim
makale ve kitaplarının sayısında
bir artış gözlemlenebiliyor.
Henüz bu konuda kayda değer
sayıda eser üretilmemiş olsa
da, sosyal bilimler bakış açılı
siber
güvenlik
eserlerinin
günden
güne
yayına
sunulduğunu görmekteyiz.
Bu konuda önemli bir kitap da
geçtiğimiz günlerde raflarda
yerini aldı. Sosyal Mühendisin
Maskesini İndirmek: Güvenliğin
İnsan Boyutu başlığını taşıyan
eserde, yazar Hadnagy, sözsüz
(non-verbal) iletişimin araçlarını bir
siber saldırı türü olan sosyal
mühendisliğe uyguluyor. Sosyal
mühendislerin,
hedeflerinde
güven ve ilgi oluşturmak için
kullandıkları yöntemleri inceleyen
Hadnagy, bu saldırı türünün diğer
siber saldırı türlerinden daha fazla
insan faktörü içerdiğinin altını
çiziyor. Daha önce de sosyal
mühendislik hakkında bir kitap
kaleme
alan
yazar,
sosyal
mühendislerin kullandığı araçları
çözümlemenin,
kurumların
ve
şirketlerin siber güvenliğinden
sorumlu olan uzmanlar için son
derece önemli olduğunu yineliyor.
Kitap, geleneksel olarak psikoloji,
antropoloji veya sosyal psikoloji
gibi alanlarda siber güvenliğin
incelendiği, ve bu disiplinlerin
araştırma
yöntemlerinin
siber
güvenliğe uygulandığı bir eser.
İngiliz İstihbaratı,
Altı Üniversiteye
Siber Casus ve
Uzman Yetiştirme
Sertifikası Verdi
İngiltere istihbarat kurumu GCHQ, geçtiğimiz günlerde
İngiltere çapında altı üniversiteye siber casus ve siber suçla
savaş uzmanları yetiştirme konusunda icazet verdi. GCHQ'nun
onayladığı üniversiteler arasında Lancaster University ve
Oxford University gibi köklü üniversiteler de bulunuyor.
GCHQ'nun bu hamlesi, İngiltere'nin siber güvenlik stratejisi
içinde değerlendiriliyor. İngiliz hükümeti 860 milyon poundluk
(yaklaşık 1.5 milyar dolar) bir bütçeyi ülkenin siber güvenliğini
geliştirmek için ayırdığını açıklamıştı. GCHQ, sözkonusu
üniversitelere siber güvenlik akreditasyonu verirken yaptığı
açıklamada, "İngiltere'nin diğer alanlarda olduğu gibi siber
güvenlik konusunda da yeterli ve gerekli bilgi, kabiliyet ve
yeteneğinin
geliştirilmesinin
hedeflendiğini"
belirtti.
Akreditasyon için gerekli değerlendirmeleri, 1992 yılında
University of London'da siber güvenlik yüksek lisans programı
kurarak bu alana öncülük eden Fred Piper sürdürdü.
İngiltere, geçtiğimiz ay bizzat başbakan David Cameron
tarafından
açıklanan
bir
siber
güvenlik
atılımını
gerçekleştirmeye çalışıyor. Bunun için de gerekli olan her
türlü siyasi ve ekonomik yolu deneyen ülkede, eğitim
kurumları da siber güvenlik konusunu ciddiye almakta ısrarlı
görünüyor.
http://rt.com/uk/177588-uk-spy-cyberuniversities/
NATO’ya yönelik
Rusya Tehdidi
Geçtiğimiz günlerde dünyaca ünlü düşünce kuruluşu Atlantic
Council'in sitesinde, daha önce Wall Street Journal'da
yayınlanan bir haber-analiz yazısı tekrar yayınlandı. "NATO'ya
yönelik Rus Tehdidi" başlıklı haber, son yıllarda uluslararası
toplumu görmezden gelerek bölgedeki etkinliğini artırmaya
çalışan Rusya'nın NATO'ya ve dolayısıyla Batılı kampa yönelik
tehditlerine dikkat çekmek istiyor.
Haberin en önemli savlarından birisi de, Rusya'nın, NATO'nun
aksine, "muğlak savaş" adı verilen bir metodu benimsemiş
olması. Muğlak savaş ise uzmanlar tarafından, siber saldırıların
ve bilgi savaşının kullanıldığı, gerçek silah kullanmak zorunda
kalmadan bilgi üstünlüğü sağlayarak karşı tarafı etkisiz hale
getirmek olarak nitelendiriliyor. Rusya'nın bu türden bir
muğlak savaş uygulaması halinde ise NATO'nun asıl çekince
noktası, NATO, geleneksel usülle "silahlı" (armed) saldırılar
kullanmaya yönelirken, Rusya'nın daha karmaşık bir bilgi
üstünlüğü mücadelesi sürdürmesi ihtimali. Bu durumda,
karmaşık ve çok çeşitli mücadele yöntemleri kullanan
Rusya'nın NATO karşısında üstünlüğü ele geçirmesinden
korkuluyor.
Haber-analizde en çok üzerinde durulan noktalardan biri,
Rusya'nın sahip olduğu siber kabiliyetler ve bu kabiliyetleri
NATO ülkeleri (özellikle de Baltık ülkeleri) aleyhine kullanması
tehdidi.
http://www.atlanticcouncil.org/blogs/na
tosource/the-russian-threat-to-nato
Kadınlar İçin
Hackerlık Eğitimi:
Siber Güvenlik
Kadın Çalışma
Grupları
Siber güvenlik konusunda en fazla tartışılan konulardan biri de,
alanda çok az sayıda kadın bulunmasıdır. Bu gerçek, geçtiğimiz ay
Rand Corporation tarafından yayınlanan "Siber güvenlik uzmanı
azlığı" konulu siber güvenlik raporunda da eleştirilmiş ve ABD
hükümetinin kadın siber güvenlikçi yetiştirilmesine özel olarak fon
ayırması önerilmişti.
Bu ay basına yansıyan bir haber, ABD'de kadınlara yönelik bir siber
güvenlik eğitim programını incelemekte. Washington DC'de
"Cyberjustu Kadın Topluluğu" adında bir grup, sadece kadınlara
yönelik olarak hackerlık ve siber güvenlik eğitimi veriyor. Çalıştaylar
şeklinde sürdürülen eğitimde, siber güvenlik konusunda kendilerini
geliştirmek isteyen kadınlar bir araya gelerek siber dünyayı
çalışıyorlar. Topluluğu ilk defa oluşturan eğitimciler, siber güvenliğin
"herkes için olması gerektiğinin" altını çizerek, kadınların bu konuda
eksikliklerini gidermeleri ve siber güvenlikte cinsiyet eşitliğinin
sağlanabilmesi amacıyla grubu kurduklarını anlatıyorlar.
Topluluğun ilk eğitimi Linux ve Backtrack'e giriş şeklinde. İlerleyen
aşamalarda da temel kod dillerini öğrenen katılımcılar, siber güvenlik
konusunun detaylarını irdeleyebilme fırsatı buluyor. Eğitimleri alan
kadın katılımcılar ilerleyen aşamalarda CyberLimbics adında siber
yarışmalara da katılabiliyor.
Kısa adı WSC olan kadın topluluğunun bugün 1500'ü aşkın katılımcısı
bulunuyor. Eğitimciler çoğunlukla gönüllülük esasına göre gruba
katkıda bulunuyor. Grubun kurulmasına önayak olan ForemanJiggets, zaten halihazırda cinsiyet eşitsizliği barındıran bilgi
teknolojileri alanında %30 oranında kadın bulunduğunu, bu oranın
siber güvenliğe bakıldığında çok daha düştüğünü aktarıyor.
Bu türden kadın odaklı siber güvenlik eğitimlerinin, siber güvenlikte
cinsiyet eşitliğinin sağlanması için son derece önemli olduğu
uzmanlarca vurgulanıyor.
http://fortune.com/2014/08/08/cybers
ecurity-womencyberjutsu/?utm_content=bufferd7a35
&utm_medium=social&utm_source=twi
tter.com&utm_campaign=buffer
ABD Gerçekten
Bir “Siber Barış”
İstiyor Mu?
Siber Güvenlik araştırmalarında dünyada önde gelen isimlerden
biri olan Jason Healey ile yapılan bir röportaj geçtiğimiz
günlerde yayınlandı. Healey, siber çatışma tarihçisi olarak
anılıyor ve uzun süredir Atlantic Council adındaki düşünce
kuruluşunun siber araştırmalar birimine başkanlık ediyor.
Healey'nin en çarpıcı tespiti, ABD'nin siberalanda bir barış ve
huzur ortamı arzu etmediği argümanı. Healey'e göre bu,
ABD'nin daha fazla saldırı gerçekleştirebilmesini ve açıklıklardan
özgürce yararlanabilmesini sağlıyor.
"İstihbarat, casusluk, askerileştirme, siber kabiliyet kullanımı gibi
tüm yöntemler ABD tarafından sıklıkla kullanılmakta." diyerek
ABD siber faaliyetlerine dikkat çeken Healey, ABD'nin 3 çeşit
internet politikası bulunduğunu belitti: 1) askeri sistemleri
korumakla yükümlü Milli Güvenlik Ajansı (NSA) ve ABD Siber
Komutanlığı. 2) geniş-bant internet erişimine odaklanan ticaret
bakanlığı ve dünya çapında internet domain adreslerini yöneten
ICAAN. 3) İnternet özgürlüğünden sorumlu Amerikan Dışişleri
Bakanlığı (State Department).
Healey, bu üç önceliğin birbirine karşı kullanılamayacağından
dolayı aralarında NSA ve faaliyetlerinin ABD için gerçek önceliği
teşkil ettiğini aktardı. Ülke politikasında siber güvenlik ve siber
alan denildiği zaman neredeyse her zaman bunun
kastedildiğinin ve dolayısla siber güvenliğin hep askeri
perspektiften ele alındığının altını çizdi.
Jason Healey geçtiğimiz yıl da Iran kaynaklı DDoS saldırılarına
ABD'nin Stuxnet tarzı saldırılarla cevap vermiş olmasının fazla
tepkisel olduğunu belirterek, ABD siber politikalarına bir eleştiri
getirmişti.
http://www.healthcareinfosecurity.com/
interviews/does-us-truly-want-cyberpeace-i-2415?rf=2014-08-12eh&utm_source=SilverpopMailing&utm
_medium=email&utm_campaign=enew
s-his20140812%20(1)&utm_content=&spM
ailingID=6901563&spUserID=NTU5OT
Q0MzY2ODAS1&spJobID=50123978
4&spReportId=NTAxMjM5Nzg0S0
Tarihin En Büyük
Siber Hırsızlığı:
1.2 Milyar
Kullanıcı Bilgisi Ele
Geçirildi
Bu ayın başında, Rus bir grup tarafından tarihin en büyük online
bilgi hırsızlığı gerçekleştirildi. CyberVor ismini taşıyan hacker
grubu, 420,000 web sitesinden 1.2 milyar adet kullanıcı adı ve
şifresini almayı başardı. Buna ek olarak da yaklaşık 500 milyon
email adresi bilgisi de grubun eline geçti. Saldırgan grup siber
saldırılarını gerçekleştirirken, şirketlere ait internet sitelerini
gözden geçirerek SQL Injection açıklıklarını aradı. Bulunan
açıklıklar da bayraklanıp içeri sızılarak kullanıcı bilgileri çalındı.
CyberVor grubunun, yıllardır gizli şekilde faaliyet gösterdiği
bilgisine de ulaşıldı. Grubun hedefleri çok yaygın şekilde
dağılmış durumda. USA Today gazetesinin haberine göre saldırı
hedefi sektörler arasında otomotiv endüstrisi, petrol şirketleri,
danışmanlık firmaları, araba kiralama şirketleri, oteller, bilgisayar
yazılım ve donanım firmaları ve gıda şirketleri yer alıyor.
Saldırganların, siber saldırıda ele geçirdikleri kişisel kullanıcı
bilgileri ile gerçek profiller oluşturarak bu profilleri kara borsada
satmalarından korkuluyor.
Bu siber hırsızlık olayı siber güvenlikte en tartışmalı konulardan
biri olan "isnadiyet" (attribution) sorununu da bir kez daha
gözler önüne seriyor. Zira saldırıyı gerçekleştiren Rus grubunu
bulabilmek neredeyse imkansız. Rusya devleti, siber suçlular
konusunda diğer devletlerle işbirliği yapmaya istekli olmadığı
gibi, çoğunlukla bu tip siber saldırılara göz yumuyor.
Saldırı hakkında yapılan değerlendirmeler, kimi uzmanlar
tarafından “abartılı” olarak nitelendirilse de, çoğu sayıda uzman
tarafından ilerleyen günlerde çalıntı kullanıcı bilgilerinin nasıl
kullanılacağı konusu tedirginlik verici.
http://www.wallstreetdaily.com/2
014/08/08/cyber-security-breachby-russia/
http://www.infosecuritymagazine.com/magazinefeatures/massive-russian-cyberattack/
1
2
3
Epic Turla
Saldırısı
Kaspersky
Tarafından
Deşifre Edildi
Kaspersky
güvenlik
laboratuarlarındaki siber güvenlik
araştırmacıları,
geçtiğimiz
günlerde bir siber casusluk
operasyonunun
detaylarını
yayınladı. "Epic Turla" olarak
isimlendirilen
siber
saldırı
operasyonu, bu yılın başından
beri Avrupa ve Orta Doğu'da iki
casusluk kurumunu ve yüzlerce
hükümet ve ordu bilgi sistemlerini
hedef aldı.
Kaspersky uzmanları, saldırının
Rusya
tarafından
gerçekleştirildiğini
düşünüyor.
Saldırıda kullanılan kimi teknikler
ve araçlar, Rusya'nın geçmişte
kullandığı tespit edilen tekniklerle
aynı
özellikler
sergiliyor.
Kaspersky'nin
kendinden
bu
konuda
resmi
bir
açıklama
gelmedi. Özellikle de, saldırıların
kullandığı arka kapı program
bileşenlerinden birinin adının
Rusça'da "program yükleme"
anlamına gelen "zagruzchik.dll"
olması, saldırının Rus kökenli
olduğu konusunda oldukça ikna
edici bir gösterge.
Epic Turla, hedef sistemlerdeki
belgelerde,
tablolarda
ve
emaillerde "NATO," "EU enerji
diyaloğu," ve "Budapeşte" kimi
bazı terimleri arayarak, büyük
veri hırsızlığına sebep oldu.
Kaspersky Laboratuarı yetkilisi
Costin Raiu, "El uzatabildiği
bütün belgelerdeki tüm bilgileri
çalan bir zararlı yazılımla karşı
karşıyayız." diyerek saldırının
ciddiyetine dikkat çekti.
Epic
Turla'nın
en
önemli
özelliklerinden biri de, ilk defa
istihbarat
sistemlerine
sızılmasının
gerçekleştirilmiş
olması. Kaspersky sızılan bu
kurumların isimlerini vermeyi
reddetse de, birinin Orta
Doğu'da, diğerininse Avrupa
Birliği içinde olduğu tahmin
ediliyor.
Epic
Turla'nın
hedefleri
arasında, dışişleri bakanlıkları,
konsolosluklar,
içişleri
bakanlıkları, ticari ofisler, askeri
kurumlar, ilaç şirketleri gibi
kurumlar bulunuyor. Saldırıdan
en fazla etkilenen ülkelerse,
Fransa, ABD, Rusya, Belarus,
Almanya, Romanya ve Polonya.
Kaspersky
araştırmacıları,
saldırıyı
gerçekleştiren
hackerların
"Carbon,"
veya
"Cobra" adında, daha önce
çeşitli
siber
saldırılarda
kullanılmış yazılım araçları ile
4
6
5
gerçekleştirildiğini düşünüyor. Bu
saldırıların
ilki
2008'de
ABD
ordusunun merkez komutanlığına,
ikincisi
ise
Ukrayna'ya
karşı
düzenlenmişti.
Araştırmacılara
göre,
Turla'nın
bileşenleri
çeşitli
aşamalarda
ilerledi.
İlk
aşamada
(Epic
Turla/Tavdig) zararlı yazılım hedef
aldığı sisteme bulaşıyor. İkinci
aşamada (Cobra Carbon sistemi/
Pfinet)
orta
seviye
güncelleştirmeler, iletişim plugin'leri gibi araçlar yoluyla hedef
sistemde değerli bilgilerin nerede
depolandığı taranıyor. Üçüncü ve
son aşamada (Snake/Uroburos) ise,
bir rootkit ve
sanal dosya
sistemlerini içeren yüksek seviyeli
bir
zararlı
yazılım
platformu
kuruluyor. Saldıyı gerçekleştirirken
de, sıfırıncı gün açıkları, sosyal
mühendislik (email phishing vb.) ve
"watering
hole"
adı
verilen
saldırılardan yararlanıldı.
Turla'yı gerçekleştiren hackerların
İngilizce seviyesinin oldukça düşük
olduğu tespit edildi. Kullandıkları
İngilizce sözcüklerin yanlış teleffuz
edilmiş olması saldırının kökenleri
konusunda ipuçları sunuyor.
ABD'li Symantec grubu tarafından
ilerleyen günlerde Epic Turla
hakkında bir rapor yayınlanacak.
Symantec
saldırının
arkasında
Rusya olup olmadığı konusunda bir
açıklama yapmadı. Kaspersky de
bu konuda resmi bir açıklama
yapmamış
olsa
da,
saldırıyı
gerçekleştirenlerin
Rusça
konuştuklarını, ve saldırı kodlarının
Rus Kiril alfabesi temeline göre
Epic Turla’dan en fazla etkilenen ülkelerin oranları
yazıldığını ve kodun içinde Rusça
kelimeler geçtiğini belirtti.
Ayrıca, Kaspersky'de araştırmayı
gerçekleştiren
araştırma
ve
analiz ekibinin başkanı Costin
Raiu, Epic Turla hakkında
detayları Security Week isimli
siber güvenlik analiz merkezine
değerlendirdi.
Konuşma,
Security Week web sayfasında
yayınlandı.
Siber saldırıların merkezi olduğu
düşünülen Rusya, bu konuda
herhangi
bir
uluslararası
işbirliğine girmeyi reddetmeye
devam ediyor. Topraklarından
kaynaklanan siber saldırılara göz
yuman ülke, ayrıca bizzat hacker
gruplara
destek
vermekle
suçlanıyor.
Epic Turla saldırısının detayları
ve sonuçları, ilerleyen günlerde
bir
çok
siber
güvenlik
merkezince
incelenmeye
devam edilecek.
http://www.reuters.com/article/20
14/08/07/cybersecurity-hackersepicturlaidUSL2N0QC1Y320140807?utm
_content=buffer81a79&utm_medi
um=social&utm_source=twitter.co
m&utm_campaign=buffer
http://www.securityweek.com/atta
ckers-used-multiple-zero-days-hitspy-agencies-cyber-espionagecampaign
ABD
Parlamentosu,
Siber Güvenlik
Konulu Yasa
Tasarıları Geçirdi.
Temmuz sonunda ABD parlamentosundan siber güvenlik
konulu iki yasa tasarısı çıkarıldı. Uzun süredir ulusal siber
güvenlik konusunda adımlar atan ABD hükümeti, tüm
kurumlarıyla olası siber saldırılara hazırlanmayı amaçlıyor.
İlk yasa tasarısı, Anayurt Güvenliği (Department of Homeland
Security) tarafından bir strateji planı hazırlanmasını ve bu
şekilde ülkedeki kritik altyapıların korunmasını hedefliyor.
Aynı gün oylanan ikinci tasarıda ise, federal kurumların
bireylerin kişisel bilgilerini kamuya açık web sitelerinde
tutulmasının önüne geçilmesi hedefleniyor. Bu şekilde ülke
vatandaşlarının bilgi güvenliğinin maksimum düzeyde
tutulması planlanıyor.
ABD, siber güvenlikle ilgili bir çok konuyu hem siyasi hem de
ekonomik olarak ele almaya ve bu konuda kamuoyunda siber
güvenlik farkındalığını canlı tutmaya çalışıyor. Yasa tasarıları
da bu konudaki siyasi gayretin bir devamı olarak
düşünülebilir.
Yasa tasarıları oylanmak üzere Senato’da bulunuyor.
http://www.scmagazine.com/housepasses-two-cyber-securitybills/article/363663/
http://www.bankinfosecurity.com/howhouse-passed-3-cybersecurity-bills-a7127
Operation Tovar:
Uluslararası
Botnet İndirme
Operasyonu
Geçtiğimiz ay, çeşitli ülkelerden kurumların yürüttüğü
kapsamlı bir işbirliği ile Gameover ZeuS botnet adındaki
devasa botnet ağının önüne geçildi. Yürütülen operasyonun
adı ise Operation Tovar.
Operation Tover, bu konuda ilk defa bu kadar kapsamlı bir
uluslararası işbirliği oluşturulmuş olması açısından son derece
önemli. Operasyona, ABD Adalet Bakanlığı, Europol, FBI,
İngiltere Ulusal Suç Kurumu gibi devlet kurumlarının yanısıra,
şirketler ve üniversiteler de katıldı. Bu şirket ve üniversiteler,
Dell SecureWorks, Deloitte Siber Risk Hizmetleri, Microsoft
Corporation, abuse.ch, Afilias, F-Secure, Level 3
Communications,
McAfee,
Neustar,
Shadowserver,
Anubisnetworks, Symantec, Heimdal Security, Sophos,
Carnegi Mellon University, Georgia Institute of Technology,
VU University of Amsterdam ve Saarland University olarak
listeleniyor. Operasyona ayrıca Avusturalya, Hollanda,
Almanya, Fransa, İtalya, Japonya, Luxemburg, Yeni Zelanda,
Kanada, Ukrayna gibi ülkelerin polis kurumları da dahil oldu.
Gameover botnet ağının sayısı 500.000 ile 1 milyon arasında
değişen bilgisayarı etkilediği tahmin ediliyor. Ağın temelinde
ise ZeuS Trojan adında bir zararlı yazılım kullanılıyor.
Gameover ZeuS, Ekim 2011’den beri Rusya ve Ukraynalı bir
grup hackerın elinde bulunuyor.
http://www.fireeye.com/blog/technical
/2014/07/operation-tovar-the-latestattempt-to-eliminate-key-botnets.html
http://krebsonsecurity.com/2014/06/
operation-tovar-targets-gameoverzeus-botnet-cryptolocker-scourge/
Ağustos 2014 CyDeS Chronicle
© CyDeS, Enformatik Enstitüsü, ODTÜ
Kapak: GameOver botnet ağı grafiği (Dell Secure Works)
Download

Ağustos 2014