Perşembe günü, teşkilatın çok gizli hack araç kutusunu internete sızdıran eski bir CIA programcısı 40 yıl hapis cezasına çarptırıldı. Joshua Schulte’nin cezası, 2017’de CIA tarihindeki en büyük veri ihlaline neden olmaktan dolayı 2022’de verilen suçlu hükmünün yanı sıra, geçen yıl çocuklara yönelik cinsel istismar materyalleri bulundurmaktan jürinin suçlu kararıyla sonuçlanan ayrı bir davayı da kapsıyor. Sızıntı suçlamalarıyla ilgili 2020 yılında jürinin asılmasıyla sonuçlanan bir duruşma da mahkemeye itaatsizlik ve maddi yanlış beyanda bulunma suçlarından mahkumiyet kararlarına yol açtı.
35 yaşındaki Schulte, casusluk hizmeti için sızma araçları geliştirdi ve WikiLeaks’e iPhone’ları, Cisco ağ cihazlarını, Skype’ı ve akıllı TV’leri gözetlemek için kullanılan bir dizi teknik gönderdi (bkz: 7 Gerçek: WikiLeaks’in ‘Vault 7’ CIA Hacking Aracı Dökümü).
New York Güney Bölgesi’nden ABD Başsavcısı Damian Williams, “Joshua Schulte, Amerikan tarihindeki en küstah, en iğrenç casusluk suçlarından bazılarını işleyerek ülkesine ihanet etti” dedi. “Ve bu arada Schulte, kendi kişisel tatmini için mide bulandırıcı istismara maruz kalan çocukların binlerce video ve görüntüsünü topladı.”
Hacker, Cloudflare Saldırısında Çalınan Okta Tokenlarını Kullandı
Cloudflare’in Perşembe günü yaptığı açıklamaya göre, olası bir ulus devlet korsanı, internet altyapı sağlayıcısı Cloudflare tarafından kullanılan, kendi kendine barındırılan bir Atlassian sunucusuna erişmek için Eylül ayında Okta’dan çalınan bir erişim jetonunu ve üç hizmet hesabı kimlik bilgisini kullandı.
Şirket, Okta’nın Ekim ayında saldırıyı açıklamasının ardından kimlik bilgilerini “döndüremediğini” söyledi.
Cloudflare, hiçbir müşteri verisinin veya sisteminin sızmadan etkilenmediğini söyledi ve bu, sıfır güven mimarisini benimsemesine atfedildi. Şirket yöneticileri bir blog yazısında, sıfır güvenin “bir sistemdeki uzlaşmanın tüm organizasyonu tehlikeye atmakla sınırlı olduğu bir gemideki bölmeler gibidir” diye yazdı.
Cloudflare, adını vermediği saldırganı “sofistike” olarak nitelendirdi ve saldırganın “düşünceli ve metodik bir tavır sergilediğini” ve muhtemelen bir ulus devlet operasyonundan geldiğini söyledi.
Şirketin zaman çizelgesine göre, 14 Kasım’dan 17 Kasım’a kadar hacker keşif gerçekleştirdi ve Atlassian Confluence’ı temel alan dahili wiki’ye ve Atlassian Jira’yı temel alan hata veritabanına erişti. Cloudflare, “20 ve 21 Kasım’da, bağlantıya sahip olduklarından emin olmak için erişimi test etmek için geri dönmüş olabileceklerini gösteren ek erişim gördük” dedi.
22 Kasım’da bilgisayar korsanı, kalıcı erişim sağlamak için ScriptRunner adlı Jira otomasyon ve özelleştirme aracını kullandı. Saldırgan “Cloudflare’in Brezilya’nın São Paulo kentinde henüz üretime geçirmediği veri merkezine erişimi olan bir konsol sunucusuna erişmeyi denedi ancak başarısız oldu.”
Şirket, siber savunucuların saldırganın erişimini 24 Kasım’da sonlandırdığını söyledi.
Georgia’nın Fulton İlçesine Yapılan Siber Güvenlik Saldırısı Kesintilere Neden Oldu
Georgia’nın Fulton İlçesi, hafta sonu telefon hatlarını, mahkeme sistemini ve vergi sistemini bozan bir siber güvenlik saldırısıyla boğuşuyor. Etkilenen ilçe çalışanları arasında, eski Başkan Donald Trump ve işbirlikçi olduğu iddia edilenlere karşı bir seçim müdahalesi ceza davasına liderlik eden Bölge Savcısı Fani Willis de yer alıyor.
İlçe Komiserler Kurulu Başkanı Robb Pitts Pazartesi günü düzenlediği basın toplantısında, “Şu anda vatandaşlar veya çalışanlar hakkında herhangi bir hassas bilginin aktarıldığının farkında değiliz, ancak bu konuyu dikkatle incelemeye devam edeceğiz.” dedi.
Atlanta Journal-Constitution Perşembe günü, siber uzmanların saldırının bir fidye yazılımı saldırısı olduğuna ve muhtemelen siyasi amaçlı olmadığına inandığını bildirdi. Gazete, birçok kamu hizmetinin ve ilçe içi operasyonların hala çalışmamasına rağmen ilçenin saldırıdan kurtulmaya çalıştığını belirtti.
Ukrayna, Rus ‘Siber Ordu’ Hacker’ını Tutukladı
Ukrayna iç güvenlik servisi kurumu Telegram’da, Rus istihbarat destekli hacker grubu Rusya Siber Ordusu’nun şüpheli bir üyesini tutukladığını söyledi. Yetkililer, Kharkiv’den bir teknoloji uzmanı olduğu belirlenen kişinin hükümet web sitelerine DDoS saldırıları düzenlediğini söyledi. Şüphelinin gruba Telegram’daki bir hacker kanalı aracılığıyla katıldığı iddia ediliyor.
Yetkililer, adamın bir hastaneyi vuran saldırı da dahil olmak üzere füze saldırıları için hedef bilgileri sağladığını söyledi. Suçlu bulunması halinde en fazla 12 yıl hapis cezasına çarptırılabilir.
USB Tabanlı Kötü Amaçlı Yazılım Kampanyası İtalyan Kuruluşları Hedef Aldı
Mandiant tarafından UNC4990 olarak takip edilen mali motivasyonlu bir tehdit grubu, İtalyan kuruluşlarına virüs bulaştırmak için USB aygıtları kullanıyor ve kötü amaçlı yükleri barındırmak için GitHub, Vimeo ve Ars Technica haber sitesinin forum bölümü gibi üçüncü taraf web sitelerini kullanıyor.
Tehdit istihbarat şirketi, tehdit aktörlerinin arkasındaki bilgisayar korsanlarının en az 2020’den beri aktif olduğunu ve sağlık, ulaşım, inşaat ve lojistik sektörlerindeki hedefleri desteklediğini söyledi. Bilgisayar korsanlarının yükleri barındırmak için kullandığı meşru hizmetler saldırıya uğramadı. Mandiant, “Bu kuruluşların hiçbirinde bu suiistimale izin verecek şekilde yanlış yapılandırılmış bir şey yok” dedi. Vimeo örneğinde, bilgisayar korsanları, geniş progresif rock grubu Pink Floyd hakkındaki bir videonun açıklamasına kodlanmış bir veri ekledi. Video artık mevcut değil.
Enfeksiyon, kurbanın bir USB cihazındaki kötü amaçlı bir LNK kısayol dosyasına tıklamasıyla başlar ve bu da BrokerLoader ve Vetta Loader olarak da bilinen Emptyspace adlı Mandiant indiricisini yükleyen kodlu bir PowerShell komut dosyasının yürütülmesine yol açar. İndirici, üçüncü taraf bir web sitesinde gizlenen yürütülebilir veriyle iletişim kurar.
Tehdit aktörleri, keyfi komut yürütme, kripto para hırsızlığı için pano içeriğini değiştirme, çıkarılabilir sürücüye virüs bulaştırma, ekran görüntüsü alma, sistem bilgisi toplama ve C2 sunucusuyla iletişim kurma yeteneğine sahip Mandiant çağrıları Quietboard’u kullanan bir arka kapı kullanıyor.
Planet Home Lending, Müşterilerini Fidye Yazılımı Saldırısı Hakkında Bilgilendiriyor
Planet Home Lending, Rusça konuşan gasp çetesi LockBit tarafından saldırıya uğradığını ve yaklaşık 200.000 müşteriye Kasım ayında meydana gelen veri ihlali olayı hakkında bilgi verdiğini söyledi. Banka dışı kredi veren, ihlali Citrix Bleed olarak bilinen NetScaler cihazlarındaki bir güvenlik açığına bağladı (bkz.: Citrix Bleed İstismarlarının Ortasında NetScaler Uyarıyor: Oturumları Öldürün).
Güvenliği ihlal edilen kişisel tanımlanabilir bilgiler arasında isimler, adresler, Sosyal Güvenlik numaraları, kredi numaraları ve mali hesap ayrıntıları yer alır. Şirket, fidye talebini ödemediğini ve tehdit aktörüne herhangi bir fidye ödemeyi planlamadığını söyledi.
Ukrayna Kritik Altyapısı Hedeflendi
Devlete ait birçok Ukraynalı kritik altyapı operatörü, geçen hafta Kiev’deki Parkovy veri merkezi tesisi tarafından bakımı yapılan bulut tabanlı bilgi sistemlerine yapılan bir siber saldırı nedeniyle hizmet kesintisi yaşandığını bildirdi.
Devlete ait enerji şirketi Naftogaz da dahil olmak üzere en az beş Ukraynalı kuruluş hizmet kesintisini doğruladı; ulusal posta servis sağlayıcısı Ukrposhta; devlet demiryolu Ukrzaliznytsia, DSBT, ulaşım güvenliğinden sorumlu kurum; ve Ukrayna’nın işgal altındaki bölgelerinde yaşayanlar için kurulan devlet televizyon kanalı.
Parkovy, geçen Cuma günü veri erişimini yeniden sağladı ancak mevcut yedeklerden tamamen kurtarmanın 48 saat süreceğini tahmin etti.
Geçen Haftanın Diğer Haberleri
Bilgi Güvenliği Medya Grubu’ndan Mumbai, Hindistan’daki Mihir Bagwe ve Washington, DC’den David Perera’nın raporları ile