İhlal Özeti: Olmayan Qilin Hack’i

İspanyol devlet haber kaynağının Çarşamba günü bildirdiğine göre, İspanyol vergi tahsildarı Agencia Tributaria, gasp grubunun iddialarına rağmen hizmet olarak fidye yazılımı grubu Qilin tarafından saldırıya uğramadı.

Rusça konuşan şantaj grubu, 15 Ekim’de İspanyol vergi dairesini darkweb sızıntı sitesinde listeledi. Rus yeraltı suç dünyasının en aktif gruplarından biri olan grup, teşkilattan 60 gigabayt değerinde veri çaldığını iddia etti.

Agencia Tributaria, Efe’ye, Qilin sitesinde yayınlanan veri sızıntısı örneklerinin sızıntının kaynağının “ilişkisi olmayan bir organizasyon” olduğunu gösterdiğini söyledi. [tax agency] Bir sözcü, Qilin listesi ile Agencia Tributaria arasında “hiçbir bağlantı” olmadığını belirterek, bir hackleme ihtimalini kesinlikle göz ardı edebileceklerini söyledi.

Bilgi Güvenliği Medya Grubu tarafından yayınlanan veriler üzerinde yapılan inceleme, Qilin’in kişisel vergi formlarını ve vergi dairesinden Valladolid şehrinde bulunan üçüncü taraf bir işletme yönetimi firmasına bilgilendirici tavsiyelerin alınmasına ilişkin bir mektubu ele geçirdiğini gösteriyor.

Fidye yazılımı grubu ayrıca bir sigorta şirketi tarafından Valladolid firmasına gönderilen bir e-postayı da yayınladı.

Bu, Rusça konuşan fidye yazılımı bilgisayar korsanlarının, bilgisayar korsanlığı kurbanının kimliğini yanlış anlamaları ilk kez olmayacak. LockBit, 2024’ün ortalarında, muhtemelen ihlal edilmiş bir veri setinde “Amerika Birleşik Devletleri Federal Rezervi” yazan bir belge tespit ettikten sonra ABD Federal Rezervini hacklediğini iddia etti (bkz: Sahte: LockBit’in Federal Rezerv Fidye Yazılımı Saldırısı Olduğu İddiası).

Bir hatırlatma olarak: Kriminal bilgisayar korsanları genellikle aptaldır.

Dünyanın dört bir yanındaki otomobil üreticileri, Hollanda hükümeti ile Hollanda merkezli çip üreticisi Nexperia’nın Çinli sahipleri arasındaki anlaşmazlığın üretimin durmasına yol açabileceği konusunda uyarıda bulunuyor.

Japonya Otomobil Üreticileri Birliği, Nexperia’dan teslimatları garanti edemeyebileceğine dair bir bildirim aldığını söyledi.

Hollanda hükümeti bu ayın başlarında, yarı iletken çip üreticisinin Çinli sahiplerini dışarıda bırakmak ve yurt içi kontrolü dayatmak için bir ekonomik güvenlik yasasına başvurdu. Nexperia’nın düşük kaliteli çiplerinin büyük bir tüketicisi otomobil üreticileridir (bkz: Hollandalı Chip Üreticisi Nexperia’nın Çinli Sahipleri Kilitlendi).

General Motors’tan Mary Barra Salı günü yatırımcılara yaptığı açıklamada, “Olası aksaklıkları en aza indirmek için tedarik zinciri ortaklarımızla birlikte 24 saat çalışan ekiplerimiz var. Durum çok değişken” dedi.

The Financial Times’ın haberine göre Nexperia, Almanya ve Birleşik Krallık’ta yarı iletken plakalar üretiyor ancak nihai ürünlerinin %80’i Çin’de işleniyor.

Alman Volkswagen önümüzdeki haftalarda normal üretime devam edecek ancak sonrasında belirsizlikle karşı karşıya kalacak.

Volvo Cars CEO’su Håkan Samuelsson, “Bazı fabrikaların kapanacağını düşünüyorum” dedi.

American Airlines’ın sahibi Envoy Air, Clop fidye yazılımı çetesinin American Airlines’ı veri sızıntısı sitesinde listelemesinin ardından Oracle E-Business Suite uygulamasını etkileyen bir güvenlik olayını doğruladı. Envoy Air, American Eagle markası altında faaliyet göstermektedir.

Elçi ayrı bir kuruluş olarak faaliyet göstermektedir ancak biletleme, planlama ve yolcu hizmetleri için American Airlines’ın ağına entegre edilmiştir. Clop, havayolu şirketini müşteri güvenliğini ihmal etmekle suçlayan mesajlar yayınlayarak, çalıntı olduğunu söylediği Envoy verilerini sızdırmaya başladı. Havayolu, sınırlı miktarda ticari bilgi ve ticari bağlantının ele geçirilmiş olabileceğini ancak hiçbir hassas müşteri verisinin ifşa edilmediğini söyledi.

Bu olay, Ağustos ayında başlatılan ve Oracle müşterilerini hedef alan daha geniş bir Clop kampanyasının bir parçası. İlk raporlar, saldırganların yamalı güvenlik açıklarından yararlandığını ileri sürdü ancak Oracle daha sonra CVE-2025-61882 olarak izlenen sıfır gün kusurunun kullanıldığını doğruladı.

Experian Hollanda, Genel Veri Koruma Yönetmeliğinin birden fazla ihlali nedeniyle Hollanda Veri Koruma Otoritesi tarafından kesilen 2,7 milyon euro – 3,2 milyon dolar – para cezasını ödemek zorunda kalacak.

Bir soruşturma, kredi raporlama ve analiz firmasının, bireyleri bilgilendirmeden veya rızalarını almadan, Ticaret Odası, telekomünikasyon ve enerji şirketleri de dahil olmak üzere çeşitli kamu ve özel kaynaklardan kişisel veriler topladığını ortaya çıkardı. Experian, verileri hizmet sağlayıcılar ve satıcılar için kredi puanları oluşturmak ve kredi faiz oranlarını, mevduatları ve diğer finansal kararları etkilemek için kullandı.

Düzenleyici, Experian’ın Avrupa gizlilik yasasını ihlal ederek veri toplamayı haklı çıkarmadığı, tüketicileri bilgilendirmediği veya uygun rızayı almadığı sonucuna vardı.

Dünyanın en büyük kredi raporlama firmalarından biri olan Experian, karara itiraz etmeyeceğini söyledi. Şirket ayrıca 2025 yılı sonuna kadar Hollanda’daki tüm faaliyetlerini durduracağını ve kişisel bilgi veritabanının tamamını sileceğini duyurdu.

Çin’e bağlı tehdit aktörleri, kusurun Temmuz ayında kamuya açıklanmasının ardından çok sayıda yüksek profilli hedefi ihlal etmek için Microsoft SharePoint’teki CVE-2025-53770 olarak takip edilen ToolShell güvenlik açığından yararlandı. Symantec ve Carbon Black’ten araştırmacılar Çarşamba günü yaptığı açıklamada, kurbanlar arasında Orta Doğu’daki bir telekomünikasyon şirketinin, bir Afrika ülkesindeki devlet dairelerinin, Güney Amerika’daki devlet kurumlarının ve bir ABD üniversitesinin bulunduğunu söyledi.

Diğer olası kurbanlar arasında Afrika’daki bir devlet teknoloji kurumu, Orta Doğu’daki bir hükümet departmanı ve Avrupalı ​​bir finans şirketi yer alıyor.

Microsoft Temmuz ayında, Linen Typhoon ve Violet Typhoon olarak takip edilen iki Çinli ulus devlet aktörünün internete yönelik SharePoint sunucularını hedef alan bu güvenlik açıklarından yararlandığını bildiği konusunda uyarmıştı. Microsoft’un takip ettiği Çinli fidye yazılımı tehdit aktörü Storm-2603 de ToolShell’den yararlandı. Çinli bilgisayar korsanları, Ivanti EPMM ve SAP NetWeaver sistemlerini hedef alan casusluk kampanyalarıyla bağlantılı olan Zingdoor, ShadowPad ve KrustyLoader gibi kötü amaçlı yazılımları dağıtmak için bu güvenlik açığını silah haline getirdi.

Diğer olaylar arasında, CVE-2021-36942 olarak izlenen PetitPotam aracılığıyla ayrıcalık yükseltme ve kimlik bilgilerini toplamak ve kalıcı erişimi sürdürmek için araziden uzakta yaşayan araçlarla DLL yandan yükleme teknikleri kullanılarak SQL sunucularının, Apache HTTP’nin ve Adobe ColdFusion’ın istismar edilmesi yer alıyordu.

Symantec, Glowworm, Earth Estries ve FamousSparrow olarak takip edilen bilgisayar korsanlarının önceki kampanyalarıyla örtüşmeler buldu ancak tüm etkinlikleri tek bir gruba bağlayamadı. Kanıtlar, saldırganların muhtemelen casusluk amacıyla kimlik bilgilerini çalmayı ve gizli, kalıcı ağ erişimi kurmayı amaçladığını gösteriyor.

Forescout’taki araştırmacılar, TP-Link Omada ve Festa VPN yönlendiricilerinde, saldırganların keyfi komutlar yürütmesine ve yetkisiz kök erişimi elde etmesine olanak tanıyan iki güvenlik açığı keşfetti. Kusurlar, CVE-2025-7850 – CVSS 9.3; ve CVE-2025-7851, CVE-2024-21827 için hata ayıklama işlevselliğini erişilebilir bırakan ve alternatif saldırı yolları oluşturan tamamlanmamış bir 2024 yamasından kaynaklanmaktadır.

Omada ER605v2 yönlendiriciyi analiz ettikten sonra araştırmacılar, 2024 yamasının CVE-2024-21827 adresli olduğunu ancak kalan hata ayıklama kodunun CVE-2025-7851 aracılığıyla kök erişimine izin verdiğini buldu. Ayrıca, Web kullanıcı arayüzünün WireGuard VPN ayarlarında, özel bir anahtar alanının uygun şekilde sterilize edilmediği ve kimliği doğrulanmış kullanıcıların işletim sistemi komutlarını root olarak çalıştırmasına izin veren bir komut ekleme hatası tespit ettiler. Belirli dağıtımlardan kimlik bilgileri olmadan bile yararlanılabilir ve bu da potansiyel saldırı yüzeyini genişletebilir.

Forescout, TP-Link’in Lua komut dosyası dili tabanlı cihaz çerçevesi olan LuCI sürümünün bir güvenlik açığı geçmişine sahip olduğunu söyledi. Her iki kusur da ürün yazılımı güncellemelerini yayınlayan TP-Link’e bildirildi.

New York muhasebe firması Wojeski & Company, 4.700’den fazla New Yorklunun kişisel bilgilerinin açığa çıkmasına neden olan iki veri ihlalinin ardından 60.000 dolar ödeyecek ve daha güçlü siber güvenlik önlemleri uygulayacak.

New York Başsavcısı Letitia James, müfettişlerin firmanın müşteri verilerini yeterince koruyamadığını ve fidye yazılımı saldırısı mağdurlarına bildirimi bir yıldan fazla geciktirdiğini tespit ettikten sonra anlaşmayı duyurdu. 2023 ve 2024’teki ihlaller; isimleri, Sosyal Güvenlik numaralarını, sürücü ehliyetlerini ve diğer hassas ayrıntıları açığa çıkardı.

Anlaşmanın bir parçası olarak Wojeski’nin hassas verileri şifrelemesi, çalışanların erişim kontrollerini geliştirmesi, siber güvenlik eğitimi vermesi ve etkilenen kişilere ücretsiz kredi izleme olanağı sunması gerekiyor.

Geçen Haftadan Diğer Hikayeler

Bilgi Güvenliği Medya Grubu’ndan New Jersey’deki Gregory Sirico ve Kuzey Virginia’dan David Perera’nın raporlarıyla.