Siber Suçlar, Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Ayrıca: Linux Kötü Amaçlı Yazılımı 70K Yönlendiricileri etkiliyor, Daha Fazla MOVEit Fallout, Estée Lauder Hit by Breach
Daha Fazla (AnvikshaDevamı) •
20 Temmuz 2023
Information Security Media Group, her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini özetliyor. Bu hafta, ABD’nin Çin Büyükelçisi Çin bilgisayar korsanlarının son kurbanı oldu, Linux kötü amaçlı yazılımı 70.000 SOHO yönlendiricisine bulaştı, Norveç veri koruma kurumu Meta’nın reklamlarını yasakladı, MOVEit ihlali 1,2 milyon müşteriyi etkiledi, bir Rus tıbbi laboratuvarı bir fidye yazılımı saldırısına uğradı ve Estée Lauder bir ihlalin ardından bazı sistemleri kapattı.
Ayrıca bakınız: Efsaneyi Çürütmek: OT’yi Güvenceye Almak Mümkün
ABD’nin Çin Büyükelçisi MS Exchange Hack’lerinde En Son Kurban
Wall Street Journal tarafından Perşembe günü üst düzey kaynaklara dayandırılan bir habere göre, ABD’nin Çin Büyükelçisi Nicholas Burns, ABD Dışişleri ve Ticaret departmanları da dahil olmak üzere dünya çapında 25 farklı kuruluştaki yetkililerin e-posta hesaplarına yönelik son zamanlarda Çin’in hacklenmesinin son kurbanı. Çinli ulus devlet bilgisayar korsanlarının Microsoft Office’teki sıfır gün güvenlik açığından yararlandığından şüpheleniliyor, 11 Temmuz’da açıklandı. Microsoft, Storm-0558 olarak tanımlanan tehdit aktörünün 13 Mayıs’tan beri bir belirteç doğrulama sorunundan yararlandığını ve e-posta hesaplarına erişim elde etmek için sahte kimlik doğrulama belirteçleri kullandığını söyledi.
Saldırılar, Avrupa Parlamentosu’nun Çin politikası hakkındaki toplantısı ve ABD’nin Çin’e yaptığı diplomatik gezilerle aynı zamana denk geldi. Bilgisayar korsanları, büyükelçiye ek olarak, diplomatik ilişkilerin yeniden kurulmasına yardımcı olmak için Dışişleri Bakanı Antony Blinken’e Çin’e kadar eşlik eden Doğu Asya Dışişleri Bakan Yardımcısı Daniel Kritenbrink’in e-posta hesabını da hedef aldı.
Linux Kötü Amaçlı Yazılımı 70.000 SOHO Yönlendiricisini Etkiledi
Black Lotus Labs, Lumen Technologies’deki tehdit araştırma ekibi tarafından AVrecon adlı yeni bir botnet keşfedildi. Gelişmiş kötü amaçlı yazılım, Mayıs 2021’den bu yana en az iki yıl boyunca tespit edilmedi ve 20 ülkede 70.000’den fazla Linux tabanlı küçük ofis/ev ofis yönlendiricisine bulaştı. Botnet, 40.000’den fazla IP adresini elinde tutmayı başardı.
AVrecon öncelikle Linux tabanlı Arm cihazlarını hedefler ve özellikle SOHO yönlendiricilerine odaklanır. Bu yönlendiriciler genellikle standart uç nokta güvenlik çözümlerinden ve uzun süre boyunca bilinen güvenlik açıklarından yoksundur ve bu da saldırganların avantaj sağlamasına olanak tanır.
AVrecon başarısını incelikli yaklaşımına borçludur. Kötü amaçlı yazılım, yaygın kesintilere neden olmak yerine sessizce çalışarak tespit edilmekten kurtulmasına izin verdi. Öncelikle bir uzaktan erişim Truva Atı olarak işlev gördü ve özellikle Facebook ve Google reklamlarına yetkisiz tıklamalar yoluyla reklam geliri elde etmek gibi dolandırıcılık faaliyetleri için kullanıldı.
Bir yönlendiriciye virüs bulaştığında, AVrecon güvenliği ihlal edilmiş aygıtın bilgilerini katıştırılmış bir birinci aşama komuta ve kontrol sunucusuna iletti. Oradan, cihaz diğer C2 sunucularına bağlanmak için talimatlar aldı. Black Lotus araştırmacıları, en az Ekim 2021’den beri faaliyette olan bu tür 15 sunucuyu ortaya çıkardı. Kötü amaçlı yazılım, güvenliği ihlal edilmiş yönlendiriciler ile C2 sunucuları arasındaki iletişimi x.509 sertifikaları kullanarak şifreledi ve araştırmacıların parola püskürtme girişimlerinin başarısını değerlendirmesini zorlaştırdı.
Norveç Veri Koruma Kurumu Tarafından Yasaklanan Meta Davranışsal Reklamlar
Norveç’in veri koruma kurumu Datatilsynet Çarşamba günü, Meta’nın Norveç’te kullanıcıların iznini almadan Facebook ve Instagram’da davranışsal reklam yayınlamasını yasaklayan acil bir emir yayınladı. Yasak ilk üç ay boyunca geçerli olacak. Meta’nın, kullanıcıları izlemeye ve profil oluşturmaya dayanmayan içeriğe dayalı hedefleme gibi diğer hedefli reklamcılık biçimlerini yürütmesine hâlâ izin verilmektedir. Meta, kullanıcıların onayını alırsa davranışsal reklamcılığa devam edebilir. Yasağa uyulmaması ve kullanıcıların tercihi olmaksızın gizlilik düşmanı davranışsal reklamlar yayınlamaya devam edilmemesi, günde yaklaşık 100.000 ABD dolarına varan para cezalarıyla sonuçlanabilir.
Yasak, AB Adalet Divanı’nın, Meta’nın bölgedeki reklamlarla kullanıcıları mikro hedeflemeye yönelik iddia ettiği ve meşru çıkarlar olarak bilinen yasal dayanağı geçersiz kılan bir kararı takip ediyor. ABAD kararı, meşru çıkarların Meta’nın gözetleme reklamcılık işi için geçerli bir dayanak olmadığını vurguladı.
Meta, davranışsal reklamlar için meşru çıkarlara dayanmasının yasallığı hakkında “devam eden bir tartışma” önererek yasağa yanıt verdi, ancak ABAD kısa süre önce bu yasal dayanağın bu tür amaçlar için geçersiz olduğunu açıklığa kavuşturdu.
Yasağa ek olarak, Norveç DPA’sı, konuyu daha fazla işlem yapılması için Avrupa Veri Koruma Kurulu’na havale edebileceği konusunda uyardı ve bu da potansiyel olarak tüm AB’de davranışsal reklamcılığın yasaklanmasına yol açabilir.
MOVEit, 1,2 Milyon Emeklilik Yardımı Bilgi Müşterisini Etkiliyor
ABD merkezli nüfus araştırma hizmeti sağlayıcısı Pension Benefit Information, Clop fidye yazılımı grubunun Progress Software’in MOVEit Transfer web uygulamasında sıfır gün güvenlik açığından yararlanması nedeniyle büyük bir veri ihlali yaşadı. Başlangıçta PBI, Maine Başsavcılığına yaptığı bir dosyada 371.359 kişinin veri güvenliği olayından etkilendiğini bildirdi. Bununla birlikte, ABD Sağlık ve İnsan Hizmetleri Bakanlığı Medeni Haklar Dairesi’ne yapılan ayrı bir dosyalamada şirket, ihlalin en az 1.209.825 kişiyi etkilediğini açıkladı.
En büyük ve en kapsamlı ölüm ilanı veritabanlarından birine sahip olmasıyla tanınan PBI, binlerce kuruluşa nüfus yönetimi çözümleri sunmaktadır.
PBI, web sitesindeki bir veri ihlali bildiriminde, siber saldırının MOVEit yönetim portalı yazılımını kullanan bazı müşterileri etkilediğini ortaya çıkardı. Progress Software, ihlali Mayıs ayı sonlarında tespit etti ve istismar edilen güvenlik açığını gidermek için 2 Haziran’da derhal bir güvenlik düzeltme eki yayınladı.
PBI, araştırmasında, bir tehdit aktörünün sıfır gün güvenlik açığından yararlanarak 29 Mayıs ile 30 Mayıs arasında PBI’nin MOVEit Transfer sunucularından birine erişim kazandığını tespit etti. Bu süre zarfında bilgisayar korsanı, müşterilerin adları, kısmi posta adresleri, Sosyal Güvenlik numaraları ve doğum tarihleri dahil olmak üzere belirli verileri sızdırdı. PBI, “temel sistemlerinin veya yazılımının” ihlalden etkilenmediğini doğruladı.
Rus Tıp Laboratuvarı Fidye Yazılım Saldırısından Sonra Felç Oldu
Bir Rus tıbbi laboratuvarı olan Helix, sistemlerini felç eden ve test sonuçlarının müşterilere birkaç gün boyunca teslim edilememesiyle sonuçlanan büyük bir siber saldırı yaşadı. Şirketin sistemlerine fidye yazılımı bulaştırma girişimini içeren saldırı, Helix’in web sitesi, mobil uygulaması ve diğer e-sağlık hizmetlerinin işlevselliğini bozdu. Rus devlete ait haber ajansı Tass’ın Pazartesi günü yaptığı açıklamaya göre, laboratuvarın teknoloji ekibi bu hizmetleri fidye ödemeden kısmen geri yüklemeyi başardı.
Birçok kişi, hastaneye yatış amacıyla veya COVID-19 testleri yaptırmak için sonuçlara acilen ihtiyaç duyduklarını söyledi. Saldırıya yanıt olarak şirket, tüm müşteri parolalarını sıfırladı ve gelecekteki olayları önlemek için daha güçlü güvenlik protokolleri uyguladı.
Siber saldırının arkasındaki sorumlu taraf hala bilinmiyor ve finansal ya da siyasi motivasyonları hala belirsiz.
Estée Lauder İhlalden Acı Çekiyor, Bazı Sistemleri Kapatıyor
Kozmetik devi Estée Lauder, sorumluluğunu Alphv/BlackCat ve Clop fidye yazılımı çetelerinin üstlendiği ciddi bir fidye yazılımı ihlalinin kurbanı oldu. Güvenlik araştırmacısı Dominic Alvieri ve diğerleri bildirildi Twitter’daki ihlali ve saldırının Salı günü canlı yayına geçtiğini söyledi.
Estée Lauder, yetkisiz bir üçüncü tarafın bazı sistemlerine erişim sağladığını doğruladı ve buna yanıt olarak şirket bazı sistemleri devre dışı bıraktı ve bir soruşturma başlattı.
Estée Lauder, düzeltme çabalarına odaklanıyor, ancak olayın ticari faaliyetlerinde aksamalara neden olacağı konusunda uyardı. Kozmetik şirketi, Menkul Kıymetler ve Borsa Komisyonu’na bir açıklama yaptı.
Fidye yazılımının şirketin ağına mı yerleştirildiği yoksa saldırının veri hırsızlığına dayalı şantaj üzerine mi odaklandığı henüz belli değil.