Bilgisayar korsanları Kanada’nın kritik altyapısını araştırıyor

Kanada Siber Güvenlik Merkezi Çarşamba günü yayınlanan bir uyarıda, bilgisayar korsanlarının bir eyalet su şebekesinin basınç valflerini hackleyerek hizmetlerin kalitesini düşürdüğü konusunda uyardı. Birçoğu küçük olan, kısıtlı bir bütçeyle çalışan ve bilgisayar korsanlarını savuşturmaya hazır olmayan su hizmetleri, bilgisayar korsanları için büyüyen bir hedef haline geldi (bkz: Zayıf ve Açığa Çıkmış: ABD Su Hizmetleri Çinli Hackerların Hedefi).

Tavsiye belgesi, saldırganların endüstriyel kontrol sistemlerindeki operasyonel ayarlara uzaktan müdahale ederek güvenlik riskleri ve hizmet kesintileri yarattığı son üç olayı listeliyor. Bilgisayar korsanları, su şebekesinin yanı sıra, otomatik bir tank göstergesini manipüle ederek bir petrol ve gaz şirketinde de yanlış alarmları tetikledi. Bir diğeri, sıcaklık ve nem değişikliklerinin fark edilmemesi halinde güvensiz koşullara yol açabileceği bir tahıl kurutma silosuyla ilgiliydi.

Yetkililer, izinsiz girişlerin koordineli olmaktan ziyade fırsatçı olduğunu, medyanın dikkatini çekmek, halkın güvenini sarsmak ve Kanada’nın itibarına zarar vermek amacıyla tasarlandığını söyledi. Herhangi bir yıkıcı hasar bildirilmemesine rağmen yetkililer, endüstriyel sistemlerin açığa çıkmaması gerektiğini söyledi.

İsveç’in devlete ait elektrik şebekesi operatörü Svenska kraftnät, fidye yazılımı grubu Everest’in 280 gigabayt dahili veriyi çaldığını iddia etmesi ve sızdırmakla tehdit etmesinden sonra bir veri ihlalini araştırıyor.

İsveç’in elektrik iletim sistemini yöneten şirket, olayın sınırlı bir harici dosya aktarımı çözümü içerdiğini ve ülkenin elektrik arzını etkilemediğini söyledi.

Everest, hafta sonu sızıntı sitesinde saldırı hakkında bir paylaşım yaparak, şantaj ödemesi almaması halinde verileri yayınlayacağı uyarısında bulundu. ABD Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Salı günü yayınlanan bir danışma belgesinde, Everest fidye yazılımı grubunun 2020’den bu yana aktif olduğunu ve ilk erişim aracısı faaliyetinin yanı sıra veri gaspı ve fidye yazılımı operasyonlarıyla da ilgilendiğini söyledi (bkz.: ABD Yetkilileri Sağlık Sektörünü Everest Çetesi Tehditlerine Karşı Uyardı).

Avustralya vatandaşı bir ABD federal mahkemesinde, Amerikalı bir savunma yüklenicisinden siber ticari sırları çalmak ve bunları siber güvenlik açıklarıyla uğraşan bir Rus komisyoncuya satmak suçunu kabul etti.

39 yaşındaki Peter Williams, adı açıklanmayan bir şirkette çalışırken Nisan 2022 ile bu yılın Haziran ayı arasında ulusal güvenliğe bağlı en az sekiz yazılım istismarı bileşenini çaldı. Williams, Rus broker ile yazılı sözleşmeler imzaladı ve çalınan verileri milyonlarca değerindeki kripto para birimi ödemeleriyle değiştirmeyi kabul etti. Açıkları aktarmak için şifreli kanalları kullandı ve gelirlerini lüks mallara ve mülklere harcadı.

Williams, her biri en fazla 10 yıl hapis ve 250.000 dolar para cezası gerektiren iki ticari sır hırsızlığı suçlamasını kabul etti. Savcılar ayrıca, yasadışı fonlarla satın alındığına inanılan mücevherler, tasarım ürünleri ve gayrimenkuller de dahil olmak üzere 1,3 milyon dolarlık varlığa el konulmasını istiyor.

TechCrunch, Williams’ın L3Harris’in bir bölümü olan Trenchant’ta yönetici olduğunu bildirdi. Mahkeme belgeleri, alıcının, mobil istismarlar için milyonlarca dolarlık ödül teklif etmesiyle tanınan bir Rus sıfır gün komisyoncusu olan Operation Zero olabileceğini öne sürüyor.

Yeni ve büyük bir Gmail veri ihlaline ilişkin raporlar büyük ölçüde abartılıyor; ancak Troy Hunt tarafından dolandırıcılıkla mücadele şirketi Synthient tarafından bir araya getirilen çalıntı ve ihlal edilmiş e-postalar koleksiyonu üzerinde yapılan analiz, siber suçlu yeraltında dolaşan daha önce kataloglanmamış 16,4 milyon e-posta adresini ortaya çıkardı.

Google, milyonlarca kullanıcıyı etkileyen yeni bir Gmail ihlali hakkındaki raporları yanlış olarak nitelendirmek için Pazartesi günü sosyal medyayı kullandı. X’teki gönderiyi okuyun: “Gmail’in savunması güçlü ve kullanıcılar korunmaya devam ediyor.”

Google, ihlal raporlarının “bilgi hırsızlarının yanlış anlaşılmasından kaynaklandığını, herhangi bir kişiye, araca veya platforma yönelik yeni bir saldırıyı yansıtmadığını” açıkladı.

Gerçekte olan şuydu: Bir Synthient araştırmacısı, yayılımı salgın boyutlara ulaşan, verileri ele geçiren kötü amaçlı yazılımlar olan bilgi hırsızları tarafından çalınan kimlik bilgilerini derledi (bkz: Bilgi hırsızları çılgına dönüyor).

Ortaya çıkan veri kümesinde 23 milyar satır vardı. Have I Been Pwned’in kurucusu Troy Hunt tarafından yapılan analiz, verilerde 183 milyon benzersiz e-posta adresi tespit etti; bunların 16,4 milyonu halihazırda Have I Been Pwned’in çalıntı veya ihlal edilmiş kimlik bilgilerini içeren kapsamlı veritabanında yer almıyordu.

Elbette bu 16,4 milyon adres sahte olabilir, ancak Hunt, bu yeni e-postalardan bazılarını gerçek insanlara manuel olarak bağlamayı denediğinde, yolun gerçekten de gerçek insanlara yol açtığını bulduğunu söyledi. “Veriler tekrar tekrar kontrol edildi ve biz de onu yükledik” dedi.

Tehdit aktörleri, siber suç kanallarında ping pong yapan, yıllar öncesine uzanan verileri içerebilecek koleksiyonları, açıkta kalan kimlik bilgilerini rutin olarak birleştirir ve genellikle en son veri ihlalinin boyutu hakkında safkan manşetler üretir.

Uygulama güvenliği sağlayıcısı F5 Pazartesi günü yaptığı açıklamada, yakın zamanda meydana gelen bir ulus devlet ihlalinin mali yılın geri kalanında gelirini etkilemesinin beklendiğini söyledi.

Pazartesi günü yapılan kazanç açıklamasında şirket, “Müşteriler son güvenlik olayının ardından ortamlarını değerlendirmeye ve iyileştirmeye odaklandıkça F5, satış döngülerinde yakın vadede bazı aksamalar öngörüyor” dedi.

Şirket, bu ayın başlarında, daha sonra Çin ile bağlantısı kurulan bir ulus devlet saldırganının, geliştirme sistemlerine uzun vadeli erişimi sürdürdüğünü, kaynak kodunu çaldığını ve şirketin amiral gemisi BIG-IP ürün serisiyle ilgili araştırmaları doğruladığını doğruladı. ABD’li yetkililere göre, ihlalin ardından hedef alınanlar arasında bilinmeyen sayıda federal ağ da vardı. F5, izinsiz girişin kanıtını ilk olarak Ağustos ayında tespit etti. F5 Finans Müdürü Cooper Werner yatırımcılara “Etkilenenler aslında BIG-IP müşterileriydi” dedi. Bilgisayar korsanları tarafından çalınan verilerin “müşterilerimizin küçük bir yüzdesini etkilediğini” ekledi.

F5 ürünleri şu anda Fortune 500 şirketlerinin %85’i tarafından kullanılıyor ve 170’den fazla farklı ülkede 23.000 müşteriyi destekliyor. Hisse senedi fiyatı bu haftaki işlemlerde yaklaşık %14 düştü.

Koi Güvenlik araştırmacıları, PhantomRaven adlı büyük ölçekli bir tedarik zinciri saldırısının, kimlik doğrulama belirteçlerini, CI/CD sırlarını ve GitHub kimlik bilgilerini çalmak için tasarlanmış kötü amaçlı npm paketleri aracılığıyla geliştiricileri hedef aldığını ortaya çıkardı.

Kampanya Ağustos ayından bu yana aktif ve toplu olarak 86.000’den fazla indirme kaydeden 126 npm paketini devreye aldı. Paketlerin birçoğu meşru projeleri taklit ediyor veya yapay zeka asistanlarının kodlama önerileri sırasında var olmayan ancak makul paket adlarını halüsinasyona uğrattığı “slopsquatting” yoluyla oluşturuldu. Bazı kötü amaçlı paketler GitLab ve Apache’nin araçlarının kimliğine bürünür ve birçoğu hala npm’de mevcuttur.

PhantomRaven paketleri, uzaktan dinamik bağımlılıklar tekniğinden yararlanarak hiçbir bağımlılık bildirmez, ancak kurulum sırasında harici URL’lerden yükleri alıp çalıştırır; üstelik bunların tümünü kullanıcı etkileşimi olmadan yapar. Yük yüklendikten sonra, virüs bulaşan sistemin profilini çıkarıyor, ortam değişkenlerini tarıyor ve npm, GitHub Actions, GitLab, Jenkins ve CircleCI’den gelen tokenlar da dahil olmak üzere verileri dışarı çıkarıyor. Çalınan bu kimlik bilgileri, tedarik zincirinde daha fazla uzlaşmaya yol açabilir.

Japon reklam devi Dentsu, ABD merkezli yan kuruluşu Merkle’de çalışan ve müşteri verilerinin çalınmasına yol açan bir siber güvenlik olayını doğruladı.

Şirket, Merkle ağının bir bölümünde “anormal aktivite” tespit ettiğini söyledi. DecisionMarketing tarafından aktarılan dahili bir nota göre, ele geçirilen bilgiler arasında maaş bordrosu bilgileri, banka bilgileri, maaşlar ve iletişim bilgileri yer alıyor.

Dentsu, ihlalin Japonya merkezli hiçbir sistemi etkilemediğini söyledi.

Siber güvenlik firması Sekoia, Transparent Tribe ve APT36 olarak takip edilen Pakistan merkezli bir tehdit aktörünün, DeskRAT adlı Golang tabanlı bir uzaktan erişim Truva Atı ile Hindistan devlet kurumlarını hedef alan yeni bir hedef odaklı kimlik avı kampanyası başlattığını söyledi.

Ağustos ve Eylül aylarında aktif olan operasyon, Cyfirma’nın bu yılın başlarında detaylandırdığı benzer bir kampanyaya dayanıyor. Bilgisayar korsanları, hükümet çalışanlarını PDF’lere benzeyen kötü amaçlı dosyalara tıklamaları için kandırarak Hint Linux tabanlı işletim sistemini hedef aldı. Dosyalar açıldığında casus yazılım yükleyerek saldırganların hassas hükümet sistemlerine uzun vadeli erişimini sağlar (bkz.: Şeffaf Kabile, Hindistan Hükümetine Karşı Kötü Amaçlı Dosyalar Dağıtıyor).

Yeni kampanya Boss Linux sistemlerini hedef alıyor ve WebSocket tabanlı komuta ve kontrol kuruyor. Kalıcılığı destekler system hizmetler, cron işler, autostart dizinler ve .bashrc değişiklikler. DeskRAT dosyalara göz atabilir, belirli verileri toplayıp sızdırabilir ve ek veriler dağıtabilir.

Araştırmacılar, kampanyanın komuta ve kontrol “gizli sunucularının” genel DNS kayıtlarından gizlendiğini söyledi. QiAnXin XLab tarafından ortaya çıkarılan ilgili bir kampanya, anti-analiz teknikleri, PowerShell tabanlı kalıcılık ve TCP veya WebSocket iletişimleri içeren, DeskRAT’ın bir Windows çeşidi olan StealthServer’ı ortaya çıkardı.

Analistler, kampanyaların Güney Asya’da artan siber gerilimleri yansıttığını ve APT36’nın istihbarat toplama ve kesintiye yönelik platformlar arası araçlarını geliştirmeye devam ettiğini söyledi.

Geçen Haftadan Diğer Hikayeler

New Jersey’deki Bilgi Güvenliği Medya Grubu’ndan Gregory Sirico’nun raporuyla.