İhlal Özeti: Meksika Hacker’ların Gözünde

Google, Çarşamba günü dünyanın 12. büyük ekonomisi olan Meksika’da siber casusluk, fidye yazılımı ve mali dolandırıcılıkta artış olduğunu bildirdi.

Değişen küresel ekonomi ve ABD’nin Çin ile yaşadığı jeopolitik gerginlikler Meksika’yı ABD’nin en büyük ticaret ortağı ve aynı zamanda Pekin’in nüfuz oluşturma operasyonlarının hedefi haline getirdi. ABD ile Meksika arasındaki yıllık ticaret hacmi yaklaşık 1,6 trilyon dolara ulaşıyor.

Google Tehdit Analizi Grubu ve Mandiant analizi, Meksika’nın dünyanın dört bir yanından siber casusluk korsanlarını çektiğini, ancak öncelikli olarak Çin, Rusya ve Kuzey Kore’den geldiğini buldu. Çin casusluk grupları özellikle aktifti ve Meksika hükümet kurumlarını, üniversiteleri ve haber kuruluşlarını hedef aldı. Kuzey Koreli aktörler kripto para şirketlerine odaklanırken, Moskova Ukrayna ve NATO ülkelerine odaklandığı için Rus faaliyeti son birkaç yılda azaldı.

Ticari casus yazılım, gazetecilerin, aktivistlerin ve politikacıların akıllı telefon korsanlığı kampanyalarının hedefi olduğu Meksika’da sürekli bir tehdittir. Siber suç da önemli bir endişe kaynağıdır ve fidye yazılımları ve gasp Meksika’yı birçok sektörde etkilemektedir. TAG, bankacılık kimlik bilgilerine, kripto madenciliğine ve tehlikeye atılmış erişim satışına yönelik saldırılar gözlemlemiştir ve Meksika’da en sık gözlemlenen siber suç gruplarından üçü gasp grupları için ilk erişim aracısı olarak görev yapmaktadır. Bu gruplar saldırılarını başlatmak için kimlik avı, kötü amaçlı reklamcılık ve virüslü USB sürücüler kullanır. Meksika işletmeleri en sık LockBit, BlackCat/Alphv ve 8Base’in fidye yazılımı sızıntı sitelerinde görünür.

Kötü amaçlı yazılım dağıtım kampanyaları, alıcıları kötü amaçlı bağlantıları veya dosyaları açmaya ikna etmek için sıklıkla vergi ve finans temalı yemler kullanır. Mandiant, UNC4948 olarak takip ettiği finansal olarak motive olmuş bir tehdit aktörünün, Meksika Vergi İdaresi Servisi’nden kaynaklandığı görünen e-postaları kullanarak SimpleLoader kötü amaçlı yazılımı ve kötü amaçlı tarayıcı uzantıları dağıttığını gözlemledi.

Finansal amaçlı bir diğer bilgisayar korsanı grubu ise UNC5176 olarak bilinen, Meksika’nın devlete ait elektrik dağıtım şirketi Comisión Federal de Electricidad’ı taklit eden bir hacker grubuydu.

FBI, şirketlere son on yılda küresel çapta yaklaşık 55,5 milyar dolarlık kayba yol açan iş e-postası dolandırıcılıklarına karşı dikkatli olmaları konusunda tavsiyede bulundu. FBI’ın İnternet Suçu Şikayet Merkezi’ne göre, Ekim 2013 ile Aralık 2023 arasında 305.000’den fazla BEC olayı meydana geldi ve bunların 158.436’sı Amerika Birleşik Devletleri’nde, 6.545’i ise uluslararası alanda gerçekleşti. Dolandırıcılıklar genellikle tehdit aktörlerinin para transferleri için ikna edici talepler hazırlamasına olanak tanıyan hacklenmiş e-posta hesaplarını içerir.

FBI, Aralık 2022 ile Aralık 2023 arasında küresel kayıplarda %9’luk bir artış gözlemlediğini söyledi. Saklama hesaplarının, üçüncü taraf ödeme işlemcilerinin ve kripto para borsalarının artan kullanımı, artan kayıplara katkıda bulundu.

İngiltere Ulusal Suç Ajansı, bu ayın başlarında Londra Ulaşım Kurumu’na yönelik siber saldırı düzenlediği iddiasıyla bir genci tutukladı.

İngiliz kolluk kuvvetleri, 5 Eylül’de ulaşım otoritesine yapılan saldırıyla ilgili olarak Bilgisayar Kötüye Kullanımı Yasası’nı ihlal ettiği gerekçesiyle ismi açıklanmayan 17 yaşındaki bir şüpheliyi gözaltına aldığını bildirdi.

2 Eylül’de gerçekleşen saldırı, metro yolcularının temassız ödemelerde sorun yaşamasına ve yetkililerin tekerlekli sandalye kullananlar ve engelliler için toplu taşıma hizmeti olan Dial-a-Ride’ı sunma kabiliyetinin azalmasına yol açtı (bkz: İhlal Özeti: Londra Ulaşımı Hala Siber Saldırı Hissediyor).

Tamamen Londra Ulaşım Kurumu’na ait olan Londra Yeraltı metro sistemini kullanarak günde yaklaşık 4 milyon yolculuk yapıldığı tahmin ediliyor.

Genç, İngiliz kolluk kuvvetleri tarafından sorgulanmasının ardından kefaletle serbest bırakıldı.

TfL, başlangıçta saldırının herhangi bir veri ihlaline yol açmadığını belirtse de, kurum perşembe günü yaptığı güncellemede saldırganın 5.000 yolcunun banka hesap numaraları ve şube kodları da dahil olmak üzere seyahat kartı verilerine eriştiğini bildirdi.

Güncellemede, canlı metro varış bilgileri ve seyahat kartı hizmetlerinin etkilenmeye devam ettiği belirtiliyor.

Araba kiralama devi Avis, iş uygulamalarından birine yetkisiz erişim nedeniyle oluşan veri ihlalini yaklaşık 300.000 müşteriye bildirdi. Şirket, 299.006 kişiyi etkileyen ihlali 5 Ağustos’ta keşfetti. Şirket, ihlali “içeriden kaynaklanan usulsüzlük” olarak tanımladı ancak bildirimde bir çalışanın sorumlu olup olmadığı belirtilmiyor.

Çalınan veriler arasında müşteri adları ve belirtilmemiş kişisel bilgiler yer alıyor. Avis Budget Group’un bir parçası olan Parsippany, New Jersey merkezli firma, gelecekteki ihlalleri önlemek için güvenlik sistemlerini gözden geçiriyor.

Ödeme yazılımı sağlayıcısı Slim CD, 1,7 milyon kişiyi etkileyen ve adlar, adresler, kart numaraları ve son kullanma tarihleri ​​gibi hassas kredi kartı bilgilerini ifşa eden bir veri ihlali bildirdi. İhlal Haziran ortasında gerçekleşti ve şirket olayla ilgili kimlik hırsızlığı veya dolandırıcılığa dair bir kanıt olmadığını söyledi.

Florida merkezli şirket Cuma günü sistemlerine yetkisiz erişimin Ağustos 2023’te başladığını ancak gerçek ihlalin bu yılın Haziran ortasında gerçekleştiğini ve yaklaşık bir gün sürdüğünü söyledi. Şirket saldırganlar veya ihlalin niteliği hakkında ayrıntı vermedi.

Washington eyaletindeki Highline Kamu Okulları, bir siber saldırının bölgeyi K-12 okullarını üç günlüğüne kapatmaya zorlamasının ardından Perşembe günü yeniden açıldı. Bölge, dijital ağının bazı bölümlerini güvenli bir şekilde geri yüklediğini ancak internet erişiminin sağlanmayacağını duyurdu.

Pazar günü açıklanan siber saldırı, Highline’ın okul otobüsü güzergahları, devam takibi ve acil durum iletişimleri gibi önemli operasyonları yönetememesine neden oldu. 17.500 öğrencinin yaşadığı bölgedeki 34 okulun tamamı etkilendi.

Siber güvenlik deneyi, özellikle güncel olmayan WHOIS sisteminde kritik bir güvenlik açığını ortaya çıkardı; bu güvenlik açığı, .mobi üst düzey alan adı. Araştırmacılar, süresi dolmuş alan adını satın alarak dotmobiregistry.netdaha önce WHOIS sunucusu olarak kullanılıyordu .mobihükümet kuruluşlarından, siber güvenlik araçlarından ve sertifika yetkililerinden gelen sorguları manipüle edebilirler. Bu kusur, saldırganların şu gibi büyük etki alanları için sahte TLS/SSL sertifikaları vermelerine olanak tanıyabilir: google.mobi Ve microsoft.mobi.

Araştırmacılar, Aralık 2023’te yenilenmemiş alan adını edindikten sonra sahte bir WHOIS sunucusu kurdular ve birkaç gün içinde 135.000’den fazla benzersiz sorgu aldılar. Askeri ve hükümet kuruluşlarına ait sistemler, süresi dolan sunucuya başvurmaya devam etti.

En endişe verici bulgu, etki alanı sahipliğini doğrulamak için manipüle edilmiş WHOIS verilerini kabul eden GlobalSign gibi CA’ların güvenlik açığıydı. Araştırmacılar bunu CA’yı bir sertifika vermeye kandırarak gösterdiler. micrsoft.mobi Sahte bir e-postaya.

ABD Medicare ve Medicaid Hizmetleri Merkezleri ve Wisconsin Fiziksel Hizmet Sigorta Şirketi, yaklaşık 947.000 kişiye 2023 MOVEit saldırısıyla ilgili olarak korunan sağlık bilgilerinin ihlal edildiğini bildirdi (bkz: Bilinen MOVEit Saldırısı Mağduru Sayısı 2.618 Kuruluşa Ulaştı).

Kuruluşlar Cuma günü WPS’nin CMS’yi 8 Temmuz’da bilgilendirdiğini ve etkilenen verilerin Medicare talep verileri gibi kişisel sağlık bilgilerini içerdiğini söyledi. WPS, Medicare taleplerini ve ilgili hizmetleri ele alan bir CMS yüklenicisi.

WPS, Mayıs ayında üçüncü taraf bir siber güvenlik firmasının yardımıyla MOVEit dosya transfer sistemini inceledi. 8 Temmuz’da WPS, etkilenen dosyaların bazılarının Sosyal Güvenlik numaraları ve doğum tarihleri ​​gibi tanımlayıcı bilgiler ve Medicare yararlanıcı tanımlayıcıları da dahil olmak üzere kişilerin kişisel bilgilerini içerdiğini tespit etti.

CMS ve WPS, kimlik hırsızlığı veya ihlal edilen bilgilerin uygunsuz kullanımıyla ilgili herhangi bir rapordan haberdar olmadıklarını söyledi.

Siber güvenlik şirketi Fortinet, Perşembe günü yaptığı açıklamada, “az sayıda Fortinet müşterisine ait sınırlı verileri” tehlikeye atan, üçüncü tarafa ait, bulut tabanlı, paylaşımlı bir dosya sürücüsüne yetkisiz erişim sağlandığını bildirdi.

Şu anda değeri yaklaşık 50 milyar dolar olan şirket, Avustralyalı iş dünyası yayını Capital Brief’e yaptığı açıklamada, güvenlik olayının operasyonlarını, ürünlerini veya hizmetlerini etkilemediğini söyledi.

“Müşterilerle gerektiği şekilde doğrudan iletişim kurduk,” dedi bir şirket sözcüsü. “Bugüne kadar, bu olayın herhangi bir müşteriyi etkileyen kötü niyetli bir faaliyete yol açtığına dair hiçbir belirti yok.” Capital Brief, güvenlik ihlalinin Fortinet’in Asya-Pasifik kolunun verilerini etkilediğini bildirdi.

Güney Koreli siber güvenlik firması Genians’ın raporuna göre, devlet destekli Kimsuky grubuyla bağlantılı Kuzey Kore bağlantılı bilgisayar korsanlığı grubu Konni, Rusya ve Güney Kore’yi hedef alan siber casusluk faaliyetlerini artırdı.

Konni, 2021’den beri Rusya Dışişleri Bakanlığı, Endonezya’daki Rusya Büyükelçiliği ve çeşitli Güney Koreli işletmeler de dahil olmak üzere yüksek profilli hedeflere odaklandı. Grup, sistemleri kötü amaçlı yazılımlarla enfekte etmek için genellikle vergiler, burslar ve finansla ilgili kimlik avı e-postaları kullanır.

Geçtiğimiz Haftadan Diğer Kapsamlar

Hindistan, Bengaluru’dan Information Security Media Group’tan Prajeet Nair; Hindistan, Pune’dan Jayant Chakravarti; Güney İngiltere’den Akshaya Asokan ve Boston banliyölerinden Marianne Kolbasuk McGee’nin haberleriyle.