Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Ayrıca: Yeni Saldırı VPN Kullanıcı Gizliliğini Tehdit Ediyor; Android Kötü Amaçlı Yazılım Finlandiya’yı Hedefliyor
Anviksha Daha Fazla (AnvikshaDevamı) •
9 Mayıs 2024
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta LockBit, Wichita, Kansas, Britanya Kolumbiyası’na yapılan saldırının sorumluluğunu üstlendi, bir saldırıyı araştırdı, “TunnelVision” kusuru VPN kullanıcılarının gizliliğini tehdit etti, bir CEO Cisco ekipman dolandırıcılığından mahkum edildi, saldırganlar bir WordPress eklenti kusurundan yararlandı, siber güvenlik firması ZScaler bir ihlali araştırdı ve Finlandiya, Android kötü amaçlı yazılım dolandırıcılıkları konusunda uyardı.
Ayrıca bakınız: Fidye Yazılımına Müdahale Esası: İlk Erişim Vektörünü Düzeltme
LockBit, Kansas Siber Saldırısının Sorumluluğunu Üstlendi
LockBit fidye yazılımı çetesi, Kansas şehri Wichita’ya düzenlenen siber saldırının sorumluluğunu üstlendi. Olay, yetkililerin çevrimiçi fatura ödemesi için kullanılanlar da dahil olmak üzere BT sistemlerini kapatmasına neden oldu (bkz.: Fidye Yazılımı Saldırısı Kansas City Sistemlerini Kapattı).
Şehir yetkilileri, ağın fidye yazılımıyla şifrelenen bölümlerinin ardından Pazar günü siber saldırıyı duyurdu. LockBit fidye yazılımı grubu, ABD kolluk kuvvetlerinin “LockBitSupp” fidye yazılımı çetesinin liderini 31 yaşındaki Rus vatandaşı Dmitry Yuryevich Khoroshev olarak kamuya açıkladığı gün, Wichita’yı gasp portalında listeledi. Grup, belediye fidyeyi ödemediği takdirde çalınan tüm dosyaları Çarşamba günü ifşa etmekle tehdit ediyor.
Wichita’da su faturaları için otomatik ödemeler, bazı yerlerde halka açık Wi-Fi, belirli kütüphane hizmetleri, kütüphane personeli için e-posta iletişimleri, self-servis istasyonları ve mahalle kaynak merkezlerinde telefon hizmetleri dahil olmak üzere çeşitli hizmetler hâlâ mevcut değil. İtfaiye ve polis departmanları gibi kamu güvenliği hizmetleri manuel raporlamaya başvurdu ve Wichita Transit otobüsleri ve atık depolama hizmetleri yalnızca nakit ödemeleri kabul ediyor.
British Columbia Siber Güvenlik Olayını Araştırıyor
Başbakan David Eby’nin ofisi Çarşamba günü yaptığı açıklamada, Batı Kanada eyaleti British Columbia hükümetinin “hükümet ağlarını içeren karmaşık siber güvenlik olaylarını” araştırdığını söyledi.
Açıklamada, “Şu anda hassas bilgilerin ele geçirildiğine dair bir kanıt yok. Ancak soruşturma devam ediyor ve hangi bilgilere erişilmiş olabileceğini belirlemek için yapacak daha çok işimiz var” deniyor.
Kanada Basını’nın haberine göre, devlet memurları Çarşamba günü geç saatlerde şifrelerini 10 karakterden 14 karaktere yükseltmelerini söyleyen bir e-posta aldı. E-posta, eyaletin baş bilgi sorumlusunun geçen hafta gönderdiği ve o zamanlar rutin bir önleyici tedbir olarak gösterilen bir talebin devamı niteliğindeydi. Eby, hükümetin “soruşturmadan ödün vermeden elimizden geldiğince şeffaf” olacağına söz verdi.
‘TunnelVision’ Saldırısı VPN Kullanıcılarının Gizliliğini Tehdit Ediyor
Leviathan Security araştırmacıları, aynı yerel ağdaki trafiklerini yakalayıp izleyerek VPN kullanıcılarının gizliliğini tehlikeye atabilecek yeni bir saldırı yöntemini ortaya çıkardı. Tehdit “TunnelVision” olarak adlandırılıyor ve CVE-2024-3661 olarak takip ediliyor.
TunnelVision saldırı yöntemi, ağ altyapısını ustaca manipüle ederek saldırganların VPN trafiğini ele geçirmesine olanak tanıdığı için uzun süreler boyunca tespit edilmeden çalışma potansiyeline sahiptir. VPN kullanımı bağlamında, şifrelenmiş olan HTTPS trafiği, TunnelVision tekniğini kullanan saldırganlara anlaşılmaz veriler olarak görünmektedir. Ancak şifrelenmemiş HTTP trafiği saldırganlar tarafından yakalanıp okunabilir, bu da iletişimin içeriğini ve gönderildikleri hedefleri açığa çıkarabilir.
TunnelVision, bir DHCP sunucusunu yapılandırma seçeneğinden yararlanır. Özellikle, DHCP sunucusunun, sınıfsız IP adreslemeyi kullanarak istemcinin yönlendirme tablosuna statik yollar sağlamasına olanak tanır. Sınıflandırılmış IP yönlendirmesi onlarca yıldır kullanılmamaktadır. Sınıfsız adresleme, hileli DHCP sunucularının yönlendirme tablolarını değiştirmesine ve VPN trafiğini yerel ağlara yeniden yönlendirmesine olanak tanır. Saldırganlar, kullanıcının ağında bu tür sunucular kurarak trafiği kendilerine yönlendirerek, güvenli bir VPN bağlantısının görünümünü korurken gözetleme yapabilmelerini sağlar.
Saldırı doğrudan DHCP’yi, yönlendirme tablolarını veya VPN güvenliğini ihlal etmese de trafiği tünel dışına yeniden yönlendirerek VPN şifrelemesini etkili bir şekilde atlar.
CEO, 100 Milyon Dolarlık Sahte Cisco Ekipman Programından Mahkûm Edildi
Çeşitli çevrimiçi mağaza vitrinlerini denetleyen bir holdingin CEO’su Onur Aksoy, yaklaşık 100 milyon dolar değerindeki sahte Cisco ağ ekipmanının satışını organize etmekten altı buçuk yıl hapis cezasına çarptırıldı. Yetkililer, 40 yaşındaki Floridalıyı Haziran 2022’de Miami’de sahte ürün kaçakçılığı ve posta ve elektronik dolandırıcılık da dahil olmak üzere suçlamalar nedeniyle tutukladı.
Aksoy, Haziran 2023’te suçunu kabul ederek, toplu olarak Pro Network Varlıkları olarak bilinen 19 şirket ve 25 eBay ve Amazon mağazası aracılığıyla operasyona dahil olduğunu kabul etti. Dolandırıcılık, sahte Cisco etiketleri ve ambalajlarıyla işaretlenmiş, Hong Kong ve Çinli sahtecilerden on binlerce değiştirilmiş ağ cihazının ithal edilmesini içeriyordu.
Orijinal çevrimiçi platformlar olarak satılan bu ürünler, hükümet, sağlık, eğitim ve askeri kuruluşlar tarafından kullanılmaktadır.
Aksoy’un kaçırma taktikleri arasında kolluk kuvvetlerinin dikkatini dağıtmak için sahte takma adlar ve teslimat adresleri kullanmak da vardı. Aksoy, Cisco’nun uyarılarına ve kolluk kuvvetlerinin müdahalesine rağmen Temmuz 2021’deki tutuklanmasına kadar ısrar etti ve bunun sonucunda 7 milyon doların üzerinde sahte cihaz ele geçirildi.
Aksoy’un hapis cezasına ek olarak Cisco’ya 100 milyon dolar tazminat ödemesi ve ele geçirilen sahte malları da geri alması gerekiyor.
WordPress Eklenti Kusuru Yetkisiz Yönetici Erişimine İzin Veriyor
Tehdit aktörleri, WordPress için LiteSpeed Cache eklentisindeki, savunmasız web sitelerinde yetkisiz yönetici hesapları oluşturmalarına olanak tanıyan yüksek riskli bir güvenlik açığından yararlanıyor. CVSS puanı 8,3 olan CVE-2023-40000 olarak izlenen kusur, depolanan siteler arası komut dosyası çalıştırma saldırılarını kolaylaştırarak saldırganların özel hazırlanmış HTTP istekleri aracılığıyla ayrıcalıkları yükseltmesine olanak tanıyor.
LiteSpeed, güvenlik açığını geçen Ekim ayında 5.7.0.1 sürümünde düzeltti ve eklentinin en son sürümü 25 Nisan’da yayımlanan 6.2.0.1’dir. WordPress’in güvenlik kanadı WPScan, web sitelerinin %16,8’inin hala yolu olmayan sürümleri çalıştırdığını tespit etti.
Bu kusur, tehdit aktörlerinin WordPress dosyalarına kötü amaçlı JavaScript kodu yerleştirmesine izin veriyor ve yetkisiz yönetici hesapları, saldırganlara güvenliği ihlal edilmiş web siteleri üzerinde tam kontrol ve kötü amaçlı yazılım ekleme ve eklenti yükleme de dahil olmak üzere kötü amaçlı eylemler gerçekleştirme olanağı sağlıyor.
Zscaler Şüpheli Veri İhlalini Araştırıyor
Güvenlik firması Zscaler, bir bilgisayar korsanının şirkete ait güvenliği ihlal edilmiş erişimi bir suç forumunda satışa sunduğu iddiasının ardından test ortamındaki şüpheli bir ihlali araştırıyor.
Tehdit aktörü IntelBroker, “kimlik bilgileriyle dolu gizli ve son derece kritik günlükler” olduğunu iddia ettiği şeyleri yayınladı. Liste ilk olarak Çarşamba günü dark web analisti Dark Web Informer’ın ardından ortaya çıktı. gönderildi Grubun sosyal medya platformu X’teki reklamı.
Çarşamba günü Zscaler, sızıntının muhtemelen internete maruz kalan izole bir test ortamından kaynaklandığını söyledi. Şirket daha sonra sunucuyu kapattı ve hedeflenen BT ortamının herhangi bir müşteri verisi içermediğini söyledi. Zscaler yorum talebine hemen yanıt vermedi.
IntelBroker’ın hükümetlere ve şirketlere ait bilgilerin suç forumlarında yayınlanması konusunda bir geçmişi vardır. Yakın zamanda ABD Dışişleri Bakanlığı yüklenicisinin verilerini ve General Electric’in ABD Savunma İleri Araştırma Projeleri Ajansı ile ortak projelerine ilişkin verileri listeledi (bkz: Görünen GE Hack’i Ulusal Güvenlik Kaygılarını Artırıyor).
Finlandiya, Banka Hesaplarını Hedefleyen Android Kötü Amaçlı Yazılımlara Karşı Uyardı
Finlandiya Ulaştırma ve İletişim Ajansı, çevrimiçi banka hesaplarının güvenliğini ihlal etmeyi amaçlayan, devam eden bir Android kötü amaçlı yazılım kampanyası hakkında halkı uyardı. Dolandırıcılık, bankalardan veya MobilePay gibi ödeme hizmeti sağlayıcılarından gelen yanıltıcı Fince SMS mesajlarını içeriyor. Alıcılara, dolandırıcıların koruma için bir McAfee uygulaması yüklemelerini önerdiği belirli bir numarayı aramaları talimatı veriliyor. Uygulama, tehdit aktörlerinin kurbanların banka hesaplarına erişmesine izin veren bir kötü amaçlı yazılımdır.
Önde gelen finans kuruluşu OP Financial Group, bağlantı içeren sahte mesajlarla ilgili benzer bir uyarı yayınladı. Kampanya özellikle Android cihazları hedef alıyor ve etkilenen bireylere, kötü amaçlı yazılım yüklemeleri durumunda derhal bankalarıyla iletişime geçmeleri çağrısında bulunuyor.
Geçen Haftanın Diğer Haberleri
Güney İngiltere’deki Bilgi Güvenliği Medya Grubu’ndan Akshaya Asokan ve Washington, DC’den David Perera’nın raporlarıyla