İhlal Özeti: Brezilya Polisi USDoD’u Tutukladı

Brezilya Federal Polisi, Çarşamba günü yaptığı açıklamada, FBI tarafından işletilen siber güvenlik forumu InfraGard’a erişim sağlamak için 2022’de Amerikalı CEO kılığına girmekle övünen hacker’ı tutukladıklarını söyledi.

BreachForums suç forumunda “USDoD” takma adını kullanan bir bilgisayar korsanı, 47.000 e-posta adresi de dahil olmak üzere InfraGuard’ın 80.000’den fazla üyesinin tümünün ayrıntıları olduğunu söylediği 50.000 $’a satmayı teklif etti (bkz.: Hacker’ın ABD FBI Siber Güvenlik Forumunu İhlal Ettiği Bildirildi).

USDoD ayrıca, sahibi ve tek çalışanı bu ayın başında ABD federal mahkemesinde iflas koruması talep eden veri komisyoncusu NationalPublic Data’dan Aralık 2023’te 1,3 milyon ABD sakinine ait kişisel bilgilerin çalınmasının arkasındaki bilgisayar korsanıdır (bkz.: Geçmiş Kontrolü Firma Ulusal Kamu Verileri İhlali Doğruladı).

Brezilya polisi, ilk kez Bleeping Computer tarafından bildirilen bir açıklamada, hacker’ın memleketi, Güney Amerika ülkesinin güneydoğu eyaleti Minas Gerais’te bulunan Belo Horizonte’de bir arama ve el koyma emri ile tutuklama emrini uyguladıklarını söyledi. Polis, bilgisayar korsanının federal polis verilerini Mayıs 2020’de ve tekrar Şubat 2022’de satışa sunduğunu iddia etti.

USDoD, Eylül 2023’te Avrupalı ​​uçak üreticisi Airbus’ın hacklenmesi ve 3.200 satıcı adının, e-postasının ve posta adresinin ele geçirilmesi sorumluluğunu üstlendi. Bilgisayar korsanı, bir Türk havayolu şirketinden çalınan oturum açma bilgileriyle erişim elde ettiğini söyledi. Temmuz ayında, BreachForums’ta, o sırada kendi zorluklarıyla karşı karşıya olan siber güvenlik firması CrowdStrike’ın “tehdit aktörlerinin tam listesini” içeren bir e-tablo yayınladı (bkz.: CrowdStrike Kesintisi Kayıpları Sağlık Hizmetlerini ve Bankacılığı Zorlayacak).

USDoD’nin kimliği aylardır açık bir sır olarak kaldı. CrowdStrike e-tablosunu yayınladıktan sonra Brezilyalı yayın Tecmundo, USDoD’nin Minas Gerais sakini olan “Luan BG” adlı bir Brezilyalı olduğunu belirten sızdırılmış bir CrowdStrike raporu olduğunu söylediği şeyi yayınladı.

Cybernews günleri sonra, açık kaynaklı istihbarat araçlarını kullanan bir araştırmacının kendisini 33 yaşındaki Luan Goncalves olarak tanımladığını bildirdi. Goncalves daha sonra HackRead’e yaptığı açıklamada “Evet, Luan konuşuyor. Koşmayacağım, Brezilya’dayım” diye yazarak kendini açığa vurdu. , doğduğum şehirle aynı.”

İnternet Arşivi, bu ayın başlarında felç edici bir dağıtılmış hizmet reddi saldırısı ve ardından 31 milyon kullanıcıyı etkileyen bir veri ihlali de dahil olmak üzere bir dizi saldırının ardından iskelet biçiminde çevrimiçi olarak geri döndü (bkz.: İnternet Arşivi Veri İhlalinden 31 Milyon Hesap Açığa Çıktı)

Ana sayfa temel bir sayfa yükler ve arşivin Wayback Makinesi salt okunur modda kullanılabilir. Arşivler güvende ve İnternet Arşivi sosyal medya platformu Bluesky’de “Web koleksiyonlarımızın sağlam kalmasını sağlamak için bir gün içinde daha fazla web taraması açmayı umuyoruz” dedi.

Ağ izleme firması Netscout, Cuma günü DDoS saldırısının yaklaşık üç saat sürdüğünü ve saniyede beş gigabit trafiğin siteye akın ettiğini bildirdi. Saldırıda üç IP adresi hedef alındı ​​ve TCP RST saldırıları ve HTTPS uygulama katmanı saldırıları kullanıldı; işaretler Mirai türevi bir botnet’i işaret ediyordu. Saldırı trafiğinin çoğu Kore, Çin ve Brezilya’daki güvenliği ihlal edilmiş IoT cihazlarından kaynaklandı.

Microsoft, Active Directory kimlik bilgilerini çalmak için Kerberos kimlik doğrulama protokolünü hedef alan bir siber saldırı olan Kerberoasting’in artan etkisi konusunda alarma geçti. Bilgisayar korsanları artık şifre kırmayı hızlandırmak için GPU’ları kullanıyor ve bu da saldırıları daha etkili hale getiriyor.

Microsoft’un Kurumsal ve İşletim Sistemi Güvenliğinden Sorumlu Başkan Yardımcısı David Weston, Cuma günkü bir blog yazısında yöntemi bir istismar sonrası teknik olarak tanımladı. Saldırganlar bir ağa erişim sağladıktan sonra Active Directory hesaplarına bağlı hizmet biletleri talep eder. Bilgisayar korsanları, şifreleri ortaya çıkarmak için çevrimdışı olarak NTLM karma değeriyle şifrelenmiş biletleri kırar.

Weston, Kerberoasting’i hedef hesapları sorgulamak, hizmet kayıtlarını almak ve şifreleri kırmak için açık kaynaklı araçlar kullanılarak gerçekleştirilebilecek “düşük teknolojili, yüksek etkili bir saldırı” olarak nitelendirdi. Saldırganlar geçerli kimlik bilgilerini aldıktan sonra, güvenliği ihlal edilmiş ağlarda hızla hareket edebilirler.

Microsoft Tehdit İstihbaratı, 8 Ekim’de OneDrive, SharePoint ve Dropbox gibi meşru dosya paylaşım hizmetlerinden yararlanan kimlik avı kampanyalarında artış olduğunu bildirdi. Kurbanlar, kimlik doğrulama isteyen e-posta bildirimleri alır ve bu da, ortadaki düşman kimlik avı sayfasına yönlendirir. Kampanyalar genellikle iş e-postalarının ele geçirilmesine yol açarak mali dolandırıcılığa, veri hırsızlığına ve yanal ağ hareketine neden olur.

Microsoft, kötü amaçlı dosyaları barındırmak için güvenilir satıcıların ele geçirilen hesaplarını kullanan saldırganları tespit etti. Kaynağa güvenen alıcılar, gizlenmiş kimlik avı bağlantılarına sahip belgeleri doğrular ve görüntüler. Daha sonra kullanıcılardan kimliklerini bir şifre ve MFA ile doğrulamaları isteniyor ve saldırganların diğer hesaplara erişmesine olanak sağlanıyor.

Google Salı günü, daha önce C++’ın en uygun, yüksek performanslı seçim olduğu ortamlarda bile bellek açısından güvenli dillerin benimsenmesini artıracağına söz verdi.

Google, sıfır gün saldırılarında kullanılan bilinen güvenlik açıklarının dörtte üçünün bellek güvenliği güvenlik açıkları olduğunu tahmin ediyor. Endüstriyi hafıza güvenliği dillerini benimsemeye teşvik etmek, Biden yönetiminin siber güvenlik politikası gündeminin dikkate değer bir parçası oldu (bkz.: İhlal Özeti: Beyaz Saray Hafıza açısından Güvenli Diller Çağrısında Bulundu).

Silikon Vadisi devi, Android programlamada Rust’u daha fazla kullanmaya başlayacağını ve C++ kod tabanlarını “ölçekli” şekilde uyarlamak için çalışacağını söyledi. Google, “C ve C++ belleğini güvenli hale getirmeyecek olsak da, sahip olduğumuz koddaki güvenlik açıklarının alt sınıflarını ortadan kaldırmanın yanı sıra, istismar azaltımları yoluyla kalan güvenlik açıklarının risklerini de azaltıyoruz” dedi. BT ayrıca korumalı alan oluşturma ve ayrıcalık tespiti gibi tekniklerin kullanımını genişletme ve kod tabanını bulanıklaştırma ve diğer teknikler yoluyla hata testine tabi tutma sözü verdi.

Google ayrıca çip düzeyinde Yetenek Donanımı Geliştirilmiş RISC Talimatlarını (kısaca CHERI) araştırdığını söyledi. Google, Cambridge Üniversitesi’ndeki araştırmacılar tarafından Birleşik Krallık ve ABD hükümetlerinin desteğiyle tasarlanan CHERI’nin “özellikle gömülü sistemler gibi güvenlik açısından kritik ortamlarda çekici olan daha hassas bellek korumaları ve güvenlik kontrolleri sağlayabileceğini” söyledi (bkz: CHERI Destekçileri Bellek Güvenliği Çipini Geliştirmek İçin İttifak Kuruyor).

Fransız haber sitesi LeMagIT’in haberine göre Volkswagen Grubu, 8Base adlı bir fidye yazılımı grubunun şirketten hassas bilgileri çaldığını iddia etmesinden sonra şirketin BT altyapısının etkilenmediğini söyledi.

8Base, faturaları, makbuzları, muhasebe belgelerini, kişisel verileri, iş sözleşmelerini ve diğer gizli bilgileri elde ettiğini iddia ederek Volkswagen’i sızıntı sitesinde listeledi.

8Base, 2023’ün başlarında ortaya çıkışından bu yana, veri hırsızlığını, dosya şifreleyen kötü amaçlı yazılımları dağıtmadan önce kuruluşlara fidye ödemeye baskı yapmak için bir araç olarak kullanarak 400’den fazla kurbanı hedef aldı. Alman şirketi daha önce 2011’den 2014’e kadar sistemlerine erişen Çin devleti destekli bilgisayar korsanları tarafından ele geçirilmişti.

Amazon, geçen yıl müşterilere sunulmasından bu yana 175 milyondan fazla müşterinin şifresiz güvenlik özelliğini kullandığını duyurdu. E-ticaret devi, geçiş anahtarlarının kullanıcıların geleneksel yöntemlere göre altı kat daha hızlı oturum açmasına olanak tanıdığını söyledi.

Geçiş anahtarları, akıllı telefonlar, bilgisayarlar ve USB güvenlik anahtarları gibi cihazlarda güvenli bir şekilde saklanan, biyometrik kimlik doğrulamaya veya PIN’lere bağlı dijital kimlik bilgileridir. Bir geçiş anahtarı oluşturulduğunda, özel anahtar cihazın güvenilir platform modülünde güvenli bir şekilde depolanırken çevrimiçi hizmet yalnızca genel anahtarı alır. Bu sistem, geçiş anahtarlarının veri ihlallerine, kimlik avı saldırılarına veya kötü amaçlı yazılımlara karşı daha az savunmasız olması nedeniyle güvenliği artırır.

Geçen Haftadan Diğer Hikayeler