Son dönemde Avrupa ve Kuzey Amerika’daki yetkililer, siber suçlular tarafından kullanılan bir sanal özel ağ (VPN) hizmetinin dağıtıldığını açıkladı. Bu tür hizmetlerin, fidye yazılımı saldırıları ve veri hırsızlığında kökenin gizlenmesinde önemli bir rol oynadığı bilinmektedir.

Saldırı Nasıl Çalışıyor?

“First VPN” adı verilen bu hizmet, siber suçlu kullanıcılar için tasarlanmış bir altyapı sunarak anonim ödemelere olanak tanımaktaydı. Europol‘e göre, bu hizmet, kullanıcılarının kimliklerini gizleyerek fidye yazılımı saldırıları, büyük ölçekli dolandırıcılık ve veri hırsızlığı gerçekleştirmelerine olanak sağlıyordu. Hizmet, Rusça konuşan siber suç forumlarında tanıtılmaktaydı.

Etkilenen Sistemler

Özellikle aşağıdaki exit node sunucuları, First VPN tarafından kullanılmıştır:

• 2.223.66[.]103
• 5.181.234[.]59
• 92.38.148[.]58

Ayrıca, First VPN hizmetinin 27 ülkede toplam 32 exit node sunucusu bulunmaktadır. Bu sunucuların bazıları ABD, Avustralya, Almanya ve Fransa gibi ülkelerde yer almaktadır. İlk operasyon, 19-20 Mayıs 2022 tarihlerinde gerçekleşmiş ve 33 sunucu devre dışı bırakılmıştır.

Çözüm ve Korunma

CVE kodları ve önemli uyarılar ile dikkat edilmesi gereken noktalar:

• First VPN üzerinden gerçekleştirilen işlemler, Avaddon Ransomware gibi en az 25 fidye yazılım grubunun kullandığı bilinen bir altyapıdır.
• Hizmet, kullanıcıların kimliklerini gizleyerek gerçekleştirdikleri eylemleri güvence altına alıyordu. Bu sebeple, OpenConnect, WireGuard ve VLESS TCP Reality gibi çeşitli bağlantı protokolleri sunuyordu.

Bu tür bir VPN hizmetinin kullanıcıları, kendilerini yasaların ötesinde hissetmekteydi. İlk VPN, kullanıcılarının e-postalarını ve kullanıcı adlarını sakladığını belirtmişti; ancak bu, belirli eylemlerle kullanıcıları bağlamanın imkansız olduğu iddia ediliyordu.

Sonuç

Hızla gelişen siber tehdit ortamında, bu tür hizmetlere karşı dikkatli olunmalıdır. Kurum ve bireyler, kendi sistemlerini korumak için aşağıdaki adımları atmalıdır:

• Güvenlik yazılımlarını güncelleyiniz.
• Şüpheli bağlantıları ve hizmetleri kapatınız.
• Gelişmiş güvenlik duvarları kullanarak izinsiz erişimlerin önüne geçiniz.

Güvenliğinizi artırmak için yazılımlarınızı güncel tutmayı ve düzenli güvenlik denetimleri yapmayı unutmayınız.

Son günlerde, Rus askeri istihbarat grubu APT28’in Birleşik Krallık’taki savunmasız yönlendiricileri hedef aldığı ortaya çıktı. National Cyber Security Centre (NCSC) tarafından tespit edilen bu durum, internet kullanıcılarının bağlantılarının kötü niyetli bir sunucu üzerinden yönlendirilmesine sebep oluyor. Bu süreçte kullanıcıların hassas verileri, oturum açma bilgileri, arama geçmişleri ve özel mesajları ele geçiriliyor.

Bağlantıların Yeniden Yönlendirilmesi

• APT28, DNS sorununu kullanarak, kullanıcıların bağlantılarını kötü niyetli sunuculara yönlendiriyor.
• Kullanıcılar, verilerinin ele geçirildiğinden habersiz bir şekilde interneti kullanmaya devam ediyor.
• Yönlendirilen veriler, yalnızca internet servis sağlayıcılarından (ISP) değil, aynı zamanda bu Rus sunuculardan da sızdırılıyor.

Veri Hırsızlığının Nedenleri ve Sonuçları

APT28’in niyetleri tam olarak net değil, ancak geniş bir veri havuzu oluşturmayı hedefledikleri düşünülüyor. Bu veri, birçok alanda kullanılabilir:

• İş Dünyası: Altyapı ve askeri müteahhitler ile ilgili veriler büyük ilgi görüyor.
• Bireysel Kullanım: Bireylerin sosyal medyada yanlış yönlendirilmesine neden olabilecek veriler de toplanıyor. Bu tür manipülasyon örnekleri, Cambridge Analytica skandalıyla açığa çıkmıştı.

Online Güvenliği Artırmanın Yolları

NCSC, bireylerin bu tür veri hırsızlıklarına karşı korunmasına yönelik kılavuzlar sunuyor, ancak bu genellikle büyük işletmelere yönelik. Şahsi verilerinizi korumak için en etkili yollardan biri, bir VPN kullanmaktır.

• VPN’ler, verinizi şifreleyerek gizliliğinizi korumanıza yardımcı olur.
• Büyük VPN sağlayıcıları, evdeki tüm cihazların yönlendirilmesini kolayca sağlayabilir.

Bu tehditlerin farkında mısınız? Online güvenliğinizi artırma yolları hakkında ne düşünüyorsunuz?

FBI, pro-İran hacktivist grubu Handala ile bağlantılı iki web sitesini ele geçirip kapattı. Geçtiğimiz hafta, bu grup ABD’nin tıbbi teknoloji devi Stryker’a karşı yıkıcı bir siber saldırı gerçekleştirdiğini iddia etmişti.

Perşembe gününden itibaren Handala’nın hacklerini yayımladığı web sitesinin içeriği, İçişleri Bakanlığı’nın harekete geçtiğini bildiren bir bant ile değiştirildi. Ayrıca, grup tarafından, İsrail askeri ve savunma yüklenicisi Elbit Systems ve NSO Group ile olan bağlantıları nedeniyle birçok kişinin ifşa edildiği diğer bir web sitesi de kapatıldı.

FBI ve Adalet Bakanlığı, web sitelerinin neden kapatıldığı konusunda açıklama yapmadı. Ancak yapılan açıklamalarda, ABD yetkililerinin bu sitelerin bir yabancı devlet ile bağlantılı hackerlar tarafından işletildiğine inandıkları gözlemleniyor.

Açıklamada, “Hukuk mühafaza yetkilileri bu alanın, bir yabancı devlet aktörü adına veya onunla koordineli bir şekilde kötü niyetli siber faaliyetleri sürdürmek, kolaylaştırmak veya desteklemek için kullanıldığını tespit etti,” denildi. “Amerika Birleşik Devletleri Hükümeti, devam eden kötü niyetli siber operasyonları kesintiye uğratmak ve daha fazla sömürüyü önlemek amacıyla bu alanın kontrolünü almıştır.”

TechCrunch, alan adının atama kayıtlarını inceleyerek web sitesinin el konulduğunu doğruladı. Şu an kayıtlar FBI tarafından kontrol edilen sunuculara işaret ediyor.

FBI ve Adalet Bakanlığı, TechCrunch’ın yorum talebine hemen yanıt vermedi.

Perşembe günü grubun resmi Telegram kanalında yapılan açıklamalarda Handala, web sitelerinin çevrimdışı olduğunu kabul etti ve el koyma işlemlerini “sesimizi susturma yönündeki çaresiz bir girişim” olarak nitelendirdi.

“Bu dijital saldırı eylemi, baskıcı ve aldatıcı olanların kalplerinde yarattığımız korku ve kaygıyı sadece daha fazla ön plana çıkarmaktadır,” yazdı hackerlar. “Delilleri silmeye ve suçlarını sansür ve sindirme yoluyla gizlemeye çalışıyor olsalar da, bu durum sadece misyonumuzun etkisini doğruluyor. Adalet mücadelesi, bir web sitesinin kapatılmasıyla durdurulamaz, gerçek arayışı devam edecek ve daha da güçlenecektir.”

Handala’nın X hesabı da yakın zamanda askıya alındı.

Grup, resmi sohbet hesabına gönderilen bir mesaja yanıt vermedi.

Handala, en azından 7 Ekim 2023’teki Hamas saldırılarından beri faal olduğu ve İran rejimi ile bağlantılı olduğu düşünülüyor. Geçtiğimiz hafta grup, 56.000’den fazla çalışana sahip ABD tıbbi şirketi Stryker’a düzenlediği saldırıyı, İran’daki bir okula, çoğu çocuk olan en az 175 kişinin ölümüne yol açan ABD hükümeti tarafından gerçekleştirilen bir füze saldırısına karşı bir misilleme olarak tanımladı.

Geçen yıl Stryker, Savunma Bakanlığı’na tıbbi cihazlar temin etmek üzere 450 milyon dolarlık bir sözleşme imzaladı.

Handala’nın, Stryker’ın iç idare hesabına girerek şirketin Windows ağına neredeyse sınırsız erişim sağladığı bildiriliyor. Bu noktada, hackerların Stryker’ın Intune panellerini ele geçirerek, çalışan dizüstü bilgisayarları ve mobil cihazları uzaktan yönetmelerine olanak tanıyan bu aracın kontrolüne sahip oldukları iddia ediliyor. Bu, veri silme yeteneğini de içeriyordu.

Hackerlar, bu panellere erişimle hem şirketin hem de çalışanlarının sahip olduğu cihazları silme imkanına sahip oldular.

Stryker, Salı günü yaptığı açıklamada, saldırının ardından bilgisayarlarını ve iç ağını yeniden kurmaya devam ettiğini belirtti.

Birleşik Krallık merkezli İranlı aktivist ve bağımsız siber casusluk araştırmacısı Nariman Gharib, TechCrunch’a yaptığı açıklamada, bu el koymaların iyi bir haber olduğunu belirtti.

“Bu grubun organizasyonel ve yönetim yapısı şu anda dağıtılmış durumda ve bu grup üyeleri, rejimin diğer siber güçleri gibi herhangi bir anında füzelerle hedef alınabilir,” dedi Gharib. “Fakat bu, faaliyetlerinin duracağı anlamına gelmiyor — hayır. Bu grup, IRGC ile bağlantılı medya aracılığıyla gelecekteki sızıntıları yayınlayabilir,” şeklinde ekledi.

Son zamanlarda ortaya çıkan “World Leaks” adlı yeniden markalaşmış bir zorbalık çetesi, Dell’in ürün gösterim platformlarından birini ihlal etti ve firmayı fidye ödemeye zorlamak için harekete geçti. Bu durum, büyük bir teknoloji şirketinin bile siber güvenlik tehditleri karşısında ne denli savunmasız olabileceğini gösteriyor.

Dell, olayla ilgili olarak BleepingComputer’a yaptığı açıklamada, bu tehdit aktörünün Müşteri Çözüm Merkezleri platformuna eriştiğini doğruladı. Bu platform, Dell’in ürünlerini ve çözümlerini müşterilere tanıtmak için tasarlanmış bir alan. Dell’in açıklamasında, bu ortamın müşteri ve ortak sistemlerden, ayrıca Dell’in kendi ağlarından ayrılmış olduğu belirtildi.

İhlal Detayları ve Veri Güvenliği

Dell, “Son zamanlarda bir tehdit aktörü Çözüm Merkezimize erişim sağladı, bu alan Dell’in ticari müşterileri için ürünlerini göstermek ve kanıt konseptlerini test etmek amacıyla tasarlanmıştır,” şeklinde bilgi verdi. Açıklamada, ihlal edilen verinin büyük ölçüde sintetik (uydurma) olduğuna dikkat çekildi. Kullanılan verilerin çoğu, yalnızca ürün gösterim amaçlı veya Dell scriptleri, sistem verileri ve test çıktılarından oluşmakta.

Fakat ihlalin detayları, tehdit aktörlerinin değerli veriler elde ettiğini düşündüğünü gösteriyor. Yetkililere göre, ele geçirilen bu verilere örnek tıbbi veriler ve mali bilgiler de dahildir ancak bunların tamamen uydurma olduğuna işaret edildi. Sadece son derece eski bir iletişim listesinin gerçek veri olarak çalındığı bildirildi.

Çözüm Merkezleri ve Kullanıcı Uyarıları

Dell’in Müşteri Çözüm Merkezleri, Dell’in müşteri ağlarından ve iç sistemlerinden ayrılmıştır. Kullanıcılara, özel veri yüklememeleri konusunda birden fazla uyarı yapılmıştır. BleepingComputer, Dell’e nasıl bir ihlal yaşandığına dair sorular yöneltti fakat şirket, bu bilgilere şu anda ayrıntı veremeyeceklerini belirtti, zira ihlal hâlâ inceleme aşamasında.

Dell’in rüşvet talebi hakkında başka açıklaması olup olmadığı sorulduğunda ise, bu konuda ek bilgi vermediği bildirildi.

World Leaks’ın Tarihçesi ve Yeni Stratejisi

World Leaks, Hunters International olarak bilinen bir fidye yazılım grubunun yeniden markalaşmış halidir. Bu grup, dosya şifrelemeden tamamen veri zorbalığına geçmeye karar vermiştir. 2023 sonunda kurulan Hunters International, kod benzerlikleri nedeniyle Hive ile ilişkilendirilmişti. O zamandan bu yana, tehdit aktörleri dünya genelinde 280’in üzerinde saldırı gerçekleştirdiğini iddia etmiştir.

Geride bıraktığımız Ocak ayında, Hunters International’ın adını World Leaks olarak değiştirmesi; fidye yazılımının artık kârlı olmadığı ve risk taşıdığı kaygısıyla gerçekleştirilmiştir. Bunun yerine, tehdit aktörleri artık veri çalmaya odaklanarak zorbalık saldırıları düzenlemektedir. Bu yeni stratejiyle birlikte, özelleştirilmiş bir veri sızdırma aracı kullanmayı benimsemişlerdir.

Veri İhlalleri ve Etkileri

World Leaks, kurulduğundan bu yana veri sızdırma sitelerinde 49 organizasyona ait verileri yayımlamıştır. Ancak henüz Dell’i listelemediği görülmektedir. Bu durum, Dell’in siber güvenlik önlemlerini sorgulanmasına sebep olmuştur. Hedef alınan diğer firmalarla birlikte, World Leaks’in sabotajlarına maruz kalan birçok şirketin de olması, bu grup için bir tehdit oluşturma potansiyeli taşımaktadır.

World Leaks’in ortakları, son dönemde SonicWall SMA 100 cihazlarını hedef alarak kendi özel OVERSTEP rootkit’ini yüklemiştir. Macnica’da tehdit araştırmacısı olan Yutaka Sejiyama, BleepingComputer’a yaptığı açıklamada, World Leaks veri sızdırma sitesinde yer alan 46 şirketten 10’unun SMA 100 cihazlarını kullandığını belirtmiştir.

Siber Güvenliğin Önemi ve İyileştirme Stratejileri

Bu tür ihlaller, büyük ölçekli firmaların ve bireysel kullanıcıların siber güvenlik açısından ne denli dikkatli olmaları gerektiğini bir kez daha gösteriyor. Özellikle büyük şirketlerin, müşteri verilerini korumak adına stratejik önlemler almaları ve güvenlik açıklarını minimize etmeleri büyük önem taşımaktadır.

Şirketler, siber güvenlik tehditlerini önlemek için eğitim, teknolojik yatırımlar ve risk yönetimi stratejileri geliştirmektedir. Ayrıca, çalışanların siber güvenlik konusundaki farkındalığını artırmak ve olaylara hızlı müdahale etmek üzere hazır durumdaysa, gelecekte gerçekleşebilecek ihlalleri en aza indirebilirler.

Güncel Siber Güvenlik Haberleri – 2