İngiltere, Çin Yapımı Elektrikli Otobüsleri Soruşturuyor

İngiliz hükümeti, ülke genelinde faaliyet gösteren 2.500’den fazla Çin yapımı Yutong elektrikli otobüsün, üreticileri tarafından uzaktan devre dışı bırakılıp devre dışı bırakılamayacağını araştırıyor. The Guardian’ın haberine göre Ulaştırma Bakanlığı ve Ulusal Siber Güvenlik Merkezi, Norveç ve Danimarka’nın benzer Yutong otobüslerinin araçları kapatabilecek uzaktan erişim özelliklerine sahip olduğunu keşfetmesinin ardından soruşturmayı başlattı.

Norveçli yetkililer, pil ve güç fonksiyonlarının uzaktan kontrol edilmesini sağlayan SIM özellikli sistemler buldu ve bu da otobüslerin “durdurulması veya çalışmaz hale getirilmesi” olasılığını artırdı. Danimarka da benzer şekilde araç kontrollerini açığa çıkarabilecek uzaktan teşhis yeteneklerini ortaya çıkardı. Bu bulgular, Birleşik Krallık’ı kendi otobüslerinin de aynı riskle karşı karşıya olup olmadığını değerlendirmeye yöneltti.

Güvenlik açıkları, bakım için tasarlanmış ancak uzaktan müdahale için potansiyel olarak yararlanılabilen telematik ve pil yönetim sistemlerinde yoğunlaşıyor. Bir Yutong sözcüsü medyaya şirketin siber güvenlik ve gizlilik konusunda uluslararası standartlara uyduğunu söyledi.

Kuzey Koreli bir gelişmiş kalıcı tehdit grubu, kayıp cihazları korumak için tasarlanmış bir Google güvenlik özelliğini kötüye kullanan bir uzaktan silme saldırısıyla Güney Koreli Android kullanıcılarını hedefliyor. Güney Koreli siber güvenlik firması Genians, kampanyayı Kimsuky şemsiyesi altında faaliyet gösteren APT37, TA406 ve Thallium olarak da bilinen Konni’ye bağladı.

Saldırganlar, uzaktan erişimli Truva atları ve diğer kötü amaçlı yazılımları dağıtmak için Güney Koreli mesajlaşma uygulaması KakaoTalk’ta sosyal mühendislik kullandı. Kurbanların Google hesapları ele geçirildikten sonra grup, cihaz konumlarını izlemek ve uzaktan sıfırlama komutları vermek, kişisel verileri silmek ve algılamayı geciktirmek için bildirimleri engellemek için Google’ın Find Hub hizmetini ele geçirdi. Genians, bunun Kuzey Koreli bir APT’nin cihazları sıfırlamak için Find Hub’ı kötüye kullandığı bilinen ilk vaka olduğunu söylüyor.

Operasyon iki aşamada gerçekleşti: Temmuz 2024’te başlayan, Güney Kore Ulusal Vergi Servisi gibi güvenilir kuruluşları dolandıran bir hedef odaklı kimlik avı kampanyası ve ardından ele geçirilen KakaoTalk hesapları aracılığıyla kötü amaçlı yazılım yayılımı. Kuzey Koreli genç sığınmacıları destekleyen bir danışman olan kurbanın akıllı telefonu ve tableti 5 Eylül’de uzaktan silindi. Saldırganlar daha sonra, ele geçirilen KakaoTalk oturumunu kullanarak, AutoIt tabanlı komut dosyaları, LilithRAT ve RemcosRAT gibi araçlarla birden fazla kişiye bulaşan, “stres giderme programı” görünümüne sahip kötü amaçlı yazılımlar gönderdi. 15 Eylül’deki ikinci dalga, başka bir kurbanın hesabını kullanarak taktiği tekrarladı.

Genians, Konni’nin güvenilir ilişkilerden ve meşru cihaz yönetimi özelliklerinden yararlanarak casusluk yeteneklerini artırdığını söyledi.

Arka ofis hizmetleri sağlayıcısı Conduent Business Solutions, çeşitli sağlık sigortası sektörü müşterilerinin ve 10,5 milyon bireyin verilerini etkileyen bir hack nedeniyle bu yılın başlarında doğrudan olaylara müdahale için harcanan 25 milyon doların üzerine, ihlal bildirimi masrafları için 25 milyon dolar harcamayı beklediğini söyledi.

Yatırımcılara yönelik düzenleyici bir başvuruda bulunan şirket, hacklenmenin mali durumunu etkileyebilecek ek olası yan etkilerinden bahsetti. “Ocak 2025’teki siber olaydan kaynaklanan gelecekteki riskler ve belirsizliklerin, etkilenen veriler, davalar, itibar kaybı ve düzenleyici eylemlerle ilgili olanlar da dahil olmak üzere şirketin mali durumunu veya faaliyet sonuçlarını olumsuz etkilemesi mümkündür.”

Conduent, veri hırsızlığı olayını içeren bir düzine toplu dava önerisiyle karşı karşıyadır (bkz.: Sürekli Veri Hırsızlığı Olayında Davalar ve Soruşturmalar Birikiyor).

Ekim ayında ihlalin 462.000 Blue Cross Blue Shield of Montana üyesini etkilediğini açıklayan Montana yetkilileri de dahil olmak üzere eyalet düzenleyicileri de soruşturma başlattı (bkz: Montana Yetkilileri Satıcıyla Bağlantılı BCBS İhlalini Araştırıyor).

Conduent, 13 Ocak’ta “operasyonel bir kesinti yaşandığını ve bir tehdit aktörünün BT ortamının sınırlı bir kısmına yetkisiz erişim elde ettiğini öğrendiğini” söyledi. Şirket, saldırganların 21 Ekim 2024’ten 13 Ocak’a kadar şirketin ağına eriştiklerini ve “sınırlı sayıda” müşteriyle ilişkili bir dizi dosyayı sızdırdıklarını belirledi.

Hyundai Motor Group’un BT hizmetleri kolunun Kuzey Amerika bölümü – Hyundai AutoEver America – bu yılın başlarında gerçekleşen bir siber saldırının ardından bir veri ihlali olduğunu açıkladı. Şirket, 1 Mart’ta yetkisiz erişim tespit etti ve saldırganların 22 Şubat’tan 2 Mart’taki sistemden atılmalarına kadar sistemlerinde bulunduğunu tespit etti.

Bilgisayar korsanları isimler, Sosyal Güvenlik numaraları ve ehliyet numaraları da dahil olmak üzere kişisel verileri içeren sistemlere erişti, ancak şirket herhangi bir bilginin sızdırılıp sızdırılmadığını doğrulayamadı. Veri ihlali bildirimleri yalnızca az sayıda kişinin etkilendiğini gösteriyor.

Hiçbir fidye yazılımı grubu sorumluluğu üstlenmedi ve izinsiz girişin kaynağı bilinmiyor.

Microsoft’un Kasım Yaması Salı günkü düzeltme dökümü, Windows, Office, Azure, Visual Studio ve diğer bileşenlerdeki 63 güvenlik açığını kapsıyordu; bunlara halihazırda kullanımda olan bir sıfır gün de dahil.

CVE-2025-62215 olarak takip edilen en acil kusur, yerel bir saldırganın daha yüksek ayrıcalıklar elde etmesine olanak tanıyan bir yarış koşulundan kaynaklanan Windows Çekirdeği ayrıcalık yükseltme hatasıdır. Hiçbir geçici çözüm bulunmadığından Microsoft, Windows 10, 11 ve Sunucu sistemlerinde anında yama uygulanmasının gerekli olduğunu söyledi.

Beş güvenlik açığı Kritik olarak derecelendirildi. Bunların arasında, Microsoft Office’teki CVE-2025-62199, kötü amaçlı belgeler aracılığıyla uzaktan kod yürütülmesine olanak tanıyan, serbest kullanımdan sonra kullanılabilen bir sorundur. Windows DirectX’in CVE-2025-60716’sı yerel ayrıcalık yükseltmeye olanak tanırken, CVE-2025-60724, GDI+’da ağlar üzerinden RCE’yi etkinleştiren yığın tabanlı bir arabellek taşmasıdır. Visual Studio ayrıca, yerel kod yürütülmesini sağlayan bir komut ekleme hatası olan CVE-2025-62214 için bir düzeltme aldı.

Yamaların çoğu Önemli olarak derecelendirilmiştir ve Akıllı Kart, Kerberos ve WinSock gibi bileşenleri etkileyen ayrıcalık yükseltme kusurlarının hakimiyetindedir. Diğer düzeltmeler; Bilgi ifşası, hizmet reddi ve Monitor Agent’taki arabellek taşması ve Dynamics 365’teki XSS kusurları dahil olmak üzere Azure sorunlarını kapsar.

Açık Web Uygulaması Güvenliği Projesi, yıllık web uygulaması güvenlik açıklarının ilk on listesine iki yeni risk kategorisi ekleyerek, 2021’den bu yana yaygın olarak kullanılan web uygulaması risk sıralamasında yapılan ilk büyük güncellemeyi işaret ediyor.

Test edilen uygulamaların %3,73’ünde görülen risklerin başında “Kötü Erişim Kontrolü” geliyor. “Güvenlik Yanlış Yapılandırması” ikinci sıraya yerleşerek sistemlerin nasıl konuşlandırıldığı ve bakımının nasıl yapıldığına dair devam eden sorunların sinyalini verdi.

“Yazılım Tedarik Zinciri Arızaları”, bağımlılık yönetimi, paket bütünlüğü, yapı hatları ve dağıtım kanallarındaki zayıflıkları kapsayacak şekilde “Hassas ve Güncel Olmayan Bileşenler” üzerine daha önceki odaklanmayı genişletiyor. OWASP, bu zayıflıkların test verilerinde daha az sıklıkta ortaya çıktığını ancak tehlikeye atılmış bağımlılıkların erişimi nedeniyle yüksek potansiyel etki taşıdığını söyledi.

Yeni kategori “Sürekli Güvenlik Açığı Açıklama Hataları”, tutarsız açıklama süreçleri ve iyileştirmedeki gecikmeler de dahil olmak üzere, kuruluşların keşfedilen güvenlik açıklarını raporlama, izleme ve çözme yöntemlerindeki boşlukları ele alıyor.

OWASP, eklemelerin ve yapısal değişikliklerin “semptomlardan çok temel nedene odaklanmayı” ve listeyi modern yazılımların oluşturulma ve sürdürülme şekliyle uyumlu tutmayı amaçladığını söyledi.

Geçen Haftadan Diğer Hikayeler

Bilgi Güvenliği Medya Grubu’ndan New Jersey’deki Gregory Sirico, Boston banliyölerinden Marianne Kolbasuk McGee ve Mumbai’den Pooja Tikekar’ın raporlarıyla.