Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Ayrıca: Ukrayna, Fidye Yazılımı Geliştiricisi İddia Edilen Kişiyi Tutukladı; Bolca Yama; ve Tükenmişlik
Anviksha Daha Fazla (AnvikshaDevamı) •
13 Haziran 2024
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta, ABD federal hükümeti siber olayları saydı, Ukrayna polisi iddia edilen bir fidye yazılımı geliştiricisini tutukladı, BlackBasta bir Windows kusurundan yararlanıyor gibi görünüyordu, Salı Yaması’na 51 kusur dahil edildi, SolarWinds ve JetBrains kusurları yamaladı, Alan Turning Enstitüsü yapay zeka hakkındaki bir makalenin çürütülmesini sağladı , Santander şifre değişikliği çağrısında bulundu, Christie’s veri ihlalinden ve siber profesyonellerin tükenmişlikle karşı karşıya olduğundan bahsetti.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
ABD Federal Siber Güvenlik Olayları 2023’te %9,9 Arttı
Beyaz Saray tarafından yayınlanan yıllık Federal Bilgi Güvenliği Modernizasyon Yasası raporu, 2023 mali yılında ABD federal kurumlarındaki siber güvenlik olaylarında %9,9’luk bir artışla toplam 32.211 olayın meydana geldiğini ortaya koyuyor. Raporda, vakaların %38’inden sorumlu olan en yaygın sorun olarak “uygunsuz kullanım” gösterildi. Kimlik avı ve kötü amaçlı e-postalar önemli ölçüde arttı ve olaylar 2022’den 2023’e iki katına çıktı. Olayların hiçbiri Ulusal Siber Olay Puanlama Sisteminde “orta”nın üzerinde derecelendirilmedi.
Raporda 11 önemli olay öne çıkıyor. Bunlardan ikisi Sağlık ve İnsani Hizmetler Bakanlığı’nda, bir yüklenicinin sistemini hedef alan, 2,8 milyon kişinin kişisel verilerini açığa çıkaran fidye yazılımı ve yüklenicilere yönelik 1,88 milyon kişiyi etkileyen sıfır gün saldırısı içeriyordu. Hazine iki olayla karşı karşıya kaldı: bir kodlama hatası nedeniyle vergiden muaf kuruluşlar tarafından doldurulan vergi formlarının kazara kamuya açıklanması ve bir çalışanın hesabına yönelik kimlik avı saldırısı. Adalet Bakanlığı, ABD Polis Teşkilatı Hizmetini ve bir veri analitiği tedarikçisini etkileyen iki fidye yazılımı saldırısıyla karşılaştı. İçişleri Bakanlığı’nda bir geliştiricinin kazara yaptığı politika değişikliği 147.000 kişinin verilerini açığa çıkardı. Tüketici Mali Koruma Bürosundaki sahtekar bir çalışan, 256.000 tüketiciye ilişkin verileri sızdırdı. Ulaştırma Bakanlığı, Park ve Toplu Taşıma Yardımı Sisteminin ihlali nedeniyle 237.000 kişinin verilerinin tehlikeye atılmasına maruz kaldı. Personel Yönetimi Ofisi, muhtemelen MOVEit ile ilgili, 632.000 çalışanı etkileyen bir ihlalle karşı karşıya kaldı ve Enerji Bakanlığı’ndaki MOVEit olayları, nükleer atık programlarına dahil olan 100.000 kişinin verilerini açığa çıkardı.
Ukrayna Polisi LockBit Geliştiricisi Şüpheli Conti’yi Tutukladı
Ukrayna siber polisi, Conti ve LockBit fidye yazılımı çeteleriyle bağlantısı olan Kiev’den 28 yaşındaki bir hacker’ı tespit edip tutukladı. Bilgisayar korsanının, antivirüs tarafından tespit edilemeyecek şekilde kötü amaçlı kodları gizleyen bir yazılım olan kriptolayıcılar geliştirdiği iddia ediliyor.
Polis bilgisayar ekipmanlarına, cep telefonlarına ve veri kayıtlarına el koydu. Şüpheli, Ukrayna yasalarına göre elektronik iletişime ve ağlara izinsiz müdahale etmekle suçlandı. Operasyona Hollanda polisi de katıldı.
Çarşamba günkü tutuklama, ABD ve İngiltere polisinin grubun altyapısına el koymasıyla sonuçlanan LockBit fidye yazılımının polis tarafından engellenmesinin ardından geldi. Conti, Rusya’nın 2022’de Ukrayna’yı işgal etmesinin ardından dağıldı. Geçen yıl İngiltere ve ABD, Conti fidye yazılımı grubunun 11 üyesine yaptırım uyguladı (bkz: ABD ve İngiltere, TrickBot’la Bağlantılı 11 Rus Siber Suçluya Yaptırım Yaptı).
BlackBasta Çetesi Microsoft’un Kusurunu Kullanmış Olabilir
Symantec’in Tehdit Avcısı Ekibi’nden araştırmacılar Çarşamba günkü bir blog yazısında, Black Basta fidye yazılımıyla bağlantılı siber suçlu grubunun, Microsoft’un bunun vahşi doğada kullanılmadığına dair inancına rağmen, artık yamalı bir Windows kusurundan yararlanmış olabileceğini söyledi.
Storm-1811 ve UNC4393 olarak da takip edilen Cardinal siber suç grubunun, Windows Hata Raporlama Hizmeti’ndeki bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2024-26169’dan yararlanmak için bir araç kullandığı anlaşılıyor. Symantec, Microsoft’un 12 Mart’ta bir yama yayınlamasından haftalar önce, 27 Şubat’ta bir derleme tarihi tespit ettiğini söyledi.
Araç, görünüşe göre artık yamalı olan bir özellikten yararlandı: werkernel.sys
, hata raporlama işlevlerini yöneten bir Windows dosyası. Bu kusur, bilgisayar korsanlarının Windows kayıt defterinde bir alt anahtar oluşturup kontrol etmesine ve hata ayıklama komut dosyası için ayrılmış kayıt defteri alanına kötü amaçlı yazılım yürütülebilir dosyasının yol adını eklemesine olanak tanıdı. Bilgisayar korsanları alt anahtarı oluşturabilir çünkü werkernel.sys
Kayıt defteri anahtarlarını oluştururken “boş güvenlik tanımlayıcısı” kullandı; bu, ana anahtara bir nesne sahibi ve birincil grup atamadığı, ancak alt anahtar sahipliğini otomatik olarak geçerli kullanıcıya (bu durumda saldırgana) atadığı anlamına gelir.
Symantec, tespit edilen grubun taktikleri, teknikleri ve prosedürleri ile Black Basta aktivitesinin ayrıntılarını veren yakın tarihli bir Microsoft raporunda açıklananlar arasındaki benzerliklere dayanarak aktiviteyi Kardinal’e atfediyor. Symantec’in baş istihbarat analisti Dick O’Brien bir e-postada benzerlikler arasında “Quick Assist, ScreenConnect kullanımı, kötü amaçlı toplu iş dosyaları ve şüpheli cURL davranışı”nın yer aldığını söyledi.
Haziran Yaması Salı, 1 Sıfır Gün Dahil 51 Kusuru Düzeltti
Microsoft’un Haziran 2024 Salı Yaması, 18 uzaktan kod yürütme güvenlik açığı ve kamuya açıklanan bir sıfır gün içeren 51 güvenlik açığına yönelik güncellemeler içeriyor. Güncelleme ayrıca 25 ayrıcalık yükselmesi güvenlik açığını, üç bilginin ifşa edilmesi güvenlik açığını ve beş hizmet reddi güvenlik açığını da kapsıyor.
Microsoft, CVE-2023-50868 olarak izlenen sıfır gün güvenlik açığının, DNSSEC doğrulamasındaki bir güvenlik açığı olduğunu ve “bir saldırganın, bir çözümleyicide aşırı kaynak kullanarak DNS bütünlüğü için tasarlanan standart DNSSEC protokollerinden yararlanabileceğini” söyledi. Mitre, CVE’yi Şubat ayında oluşturdu. BIND, PowerDNS ve Unbound dahil olmak üzere başlıca DNS uygulamaları halihazırda yamalar yayınlamıştır.
Diğer önemli düzeltmeler arasında, özellikle Microsoft Outlook’ta olmak üzere birden çok Microsoft Office RCE güvenlik açığı bulunmaktadır. Microsoft ayrıca yerel saldırganların sistem ayrıcalıkları kazanmasına olanak verebilecek yedi Windows Çekirdeği ayrıcalık yükseltme kusurunu da düzeltti.
SolarWinds Yüksek Önem Derecesindeki Kusurları Düzeltir
SolarWinds, bir NATO sızma test cihazının bildirdiği bir sorun da dahil olmak üzere çok sayıda yüksek önemdeki güvenlik açığını gideren platformunun bir güncellemesini yayınladı. Güncelleme, üç yeni güvenlik kusuruna yönelik düzeltmeleri ve üçüncü taraf bileşenlerdeki birden fazla hatayı içeriyor.
Ayrıca Angular’daki orta önemdeki bir kusura yönelik düzeltmeleri ve OpenSSL’deki bazılarının geçmişi yedi yıl öncesine dayanan 10 yüksek ve orta önemdeki sorunu da içeriyor.
SolarWinds ayrıca Serv-U’da yüksek önem derecesine sahip bir dizin geçiş güvenlik açığı olan CVE-2024-28995 için bir düzeltme yayınladı. CVSS puanı 8,6 olan bu kusur, saldırganların ana makinedeki hassas dosyaları okumasına olanak tanıyor. SolarWinds, güvenlik açıklarından herhangi birinin vahşi ortamda istismar edildiğini bildirmedi.
JetBrains IDE’lerindeki Kritik Kusur Tokenları Ortaya Çıkarıyor
JetBrains, IntelliJ tabanlı IDE’lerinde, sürüm 2023.1 ve sonrasında GitHub’daki erişim belirteçlerinin ifşa edilmesine yol açabilecek kritik bir güvenlik açığını düzeltti.
29 Mayıs’ta keşfedilen bu kusur, dünya çapında 10 milyondan fazla geliştirici tarafından kullanılan IntelliJ, PyCharm, WebStorm ve PhpStorm gibi popüler IDE’leri etkiledi. JetBrains, etkilenen tüm IDE’leri ve GitHub eklentisini güncelledi ve eski eklenti sürümlerini JetBrains Marketplace’ten kaldırdı. Geliştiricilere, eklenti tarafından kullanılan tüm GitHub belirteçlerini iptal etmeleri ve güvenliği ihlal edilmiş belirteçler için OAuth ve kişisel erişim belirteci ayarlarını kontrol etmeleri önerilir. JetBrains daha önce TeamCity sunucularında kimlik doğrulamayı atlamayı ve yol geçişini mümkün kılabilecek ciddi güvenlik açıkları konusunda uyarmıştı (bkz: JetBrains’in TeamCity Hataları Sunucunun Devralınmasına Neden Olabilir).
Nesil Yapay Zeka Muhtemelen CVE’leri Suistimallere Dönüştüremez
Alan Turing Enstitüsü’ndeki araştırmacılar, Nisan ayında yapılan bir çalışmanın, GPT-4 destekli ajanların, muhtemelen kötü metodolojiden muzdarip olduğu bildirilen güvenlik açıklarından otomatik olarak yararlanabildiğini ortaya çıkardığını söyledi.
Çalışma, yapay zeka ajanlarının vakaların %87’sinde web sitelerini hacklemek için CVE açıklamalarını kullandığını ve CVSS ölçeğinde daha alt sıralarda yer alan güvenlik açıklarında daha başarılı olduğunu söylüyor.
Enstitü raporu, ajanların güvenlik açıklarını mı geliştirdiğinin yoksa bunları yalnızca bir web araması yoluyla mı tespit ettiğinin net olmadığını söylüyor. Her ne kadar bazı CVE’ler, büyük dil modelinin eğitim verileri için veri kesme verilerinin ardından halka açık hale gelse de, aracıların web arama araçlarıyla donatıldığı ortaya çıktı. Raporda, “Sonraki çalışmalar, güvenlik açıklarının 11’inde halka açık bir istismarın bulunduğunu gösterdi” ifadesine yer verildi.
“Bu, orijinal makalenin LLM temsilcilerinin istismarları kendiliğinden ortaya çıkan bir davranış olarak yazabilecekleri yönündeki iddiasına şüphe düşürüyor ve bu da onların büyük olasılıkla istismarı çevrimiçi olarak aradıklarını gösteriyor.”
Raporda yapay zekanın, bulanıklaştırma yoluyla güvenlik açıklarını ortaya çıkarmak, hedef ağları haritalamak ve varlıkları taramak gibi yöntemlerle tehditleri hafifletmeye yardımcı olabileceği belirtiliyor.
Santander Bank, Müşterilerinden Siber Saldırı Sonrası Şifrelerini Değiştirmelerini İstedi
Santander Bank, İspanya, Şili ve Uruguay’daki müşterilere ait müşteri bilgi dosyalarını içeren bir veri ihlali sonrasında müşterilerine şifrelerini değiştirmelerini tavsiye etti (bkz: Hacker Santander Bank’ın Görünür Müşteri Verilerini Satıyor).
El Confidencial Çarşamba günü, bankanın müşterilere isimler ve doğum tarihleri de dahil olmak üzere verilerin sızdırılan veri setinin bir parçası olduğunu ancak bilgisayar korsanlarının müşterilerin banka hesaplarına doğrudan erişmesine izin veren verilerin olmadığını bildirdiğini bildirdi. Bununla birlikte, sızdırılan bilgilere göre şifrenin tahmin edilmesinin kolay olması ihtimaline karşı şifre değişikliği önerildi.
Santander, ihlali üçüncü taraf bir veritabanı sağlayıcısında meydana gelen bir olaya bağladı ancak adını vermedi.
Christie’s Fidye Yazılımı Saldırısı 45.798 Kişiyi Etkiledi
The Register’ın haberine göre, geçen ay İngiltere merkezli müzayede evi Christie’s’e yapılan RansomHub fidye yazılımı saldırısı, saldırganların iddia ettiği 500.000 kişiden çok daha az olan 45.798 kişinin bilgilerinin çalınmasına yol açtı. İhlal 8 Mayıs ile 9 Mayıs tarihleri arasında meydana geldi ve depolanan bazı verilerin dışarı sızmasıyla sonuçlandı. Ele geçirilen veriler isimler ve kimlik belgesi numaralarını içeriyordu. Christie’s, RansomHub ile yapılan görüşmelerin veriler açığa çıkmadan önce çöktüğü için fidyeyi ödemedi.
Çoğu Siber Güvenlik Uzmanı İş Değiştirmeyi Düşünüyor
Bitdefender’ın 2024 Siber Güvenlik Değerlendirme Raporu, siber güvenlik ortamında önemli bir değişimi ortaya koyuyor; yanıt veren 5 kişiden 3’ü önümüzdeki yıl içinde yeni bir iş arayacağını belirtiyor; bu da geçen yılın sonuçlarına göre %25’lik bir artışı temsil ediyor.
Ankete 1.200’den fazla BT uzmanı katıldı; bunların %70’i “şirketimin karşı karşıya olduğu güvenlik endişeleri nedeniyle” sıklıkla hafta sonları çalıştıklarını söyledi. Neredeyse dörtte biri, etkili bir şekilde yönetilmesi gereken çok fazla sistem olduğunu söyledi ve yanıt verenlerin %71’i, güvenlik çözümlerinin vaat edilen ilgiyi karşılamadığını hissettiğini söyledi; bu oran geçen yıla göre %54’tü.
Geçen Haftanın Diğer Haberleri
Bilgi Güvenliği Medya Grubu’ndan Washington DC’deki David Perera ve güney İngiltere’deki Akshaya Asokan’dan gelen raporlar.