Siber Suçlar, DDoS Koruması, Uç Nokta Güvenliği
Ayrıca Cloudflare Kayıtları HTTP DDoS Saldırılarında Artış Sağlıyor
Anviksha Daha Fazla (AnvikshaDevamı) •
26 Ekim 2023
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta: casusluk grubu Roundcube Webmail’deki sıfır günü istismar ediyor, Cloudflare HTTP DDoS saldırılarında bir artış kaydediyor, ZScaler IoT saldırılarında bir artış tespit ediyor, Uluslararası Ceza Mahkemesi Eylül ayındaki siber olayının casusluk olduğunu söylüyor, CISA ve HHS bir “Siber” çığırtkanlığı yapıyor ToolKit” adlı eski bir NSA çalışanı, sırları satmaya teşebbüs etme suçunu kabul ediyor ve Kansas mahkeme sistemi hala çevrimdışı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Casusluk Grubu Roundcube Webmail’de Sıfır Günü İstismar Ediyor
Eset, Winter Vivern grubunun Roundcube Webmail sunucusundaki sıfır gün siteler arası komut dosyası çalıştırma güvenlik açığından yararlandığını keşfetti. Kampanya, devlet kurumlarının Roundcube sunucularını ve Avrupa’daki bir düşünce kuruluşunu hedef aldı. Eset, zafiyeti 12 Ekim’de Roundcube ekibine bildirdi ve 16 Ekim’de yama yayınlandı.
Ukraynalı siber savunucular tarafından UAC-0114 olarak takip edilen Winter Vivern, 2020’den bu yana Avrupa ve Orta Asya hükümetlerini hedef alan tanınmış bir siber casusluk grubudur. Kötü amaçlı belgeler, kimlik avı web siteleri ve bir kimlik avı web sitesi gibi ilk erişim yöntemlerini kullanmıştır. özel PowerShell arka kapısı. Rusya veya Belarus ile bağları olduğundan şüphelenilen grup, bu yılın başlarında Ukrayna ve Polonya’daki yetkililer de dahil olmak üzere Avrupa ve ABD hükümetlerini hedef almıştı.
CVE-2023-5631 olarak tanımlanan, yeni istismar edilen XSS güvenlik açığı, özel hazırlanmış bir e-posta mesajı aracılığıyla uzaktan istismara izin veriyor. Saldırganlar, kurbanların Roundcube oturumlarına JavaScript kodu enjekte ederek e-posta mesajlarına erişebilir ve bunları sızdırabilir.
Cloudflare Kayıtlarında HTTP DDoS Saldırılarında Artış
Cloudflare, bu yılın üçüncü çeyreğinde hiper-hacimsel HTTP/2 DDoS saldırılarında bir artış olduğunu bildirdi; buna “kayıtlı tarihteki en karmaşık ve kalıcı DDoS saldırı kampanyalarından biri” de dahildir.
HTTP/2 Hızlı Sıfırlama saldırıları, Ağustos ayının sonlarında ortaya çıkan ve saldırganların daha önce olduğundan 5.000 kat daha fazla trafik oluşturmasına olanak tanıyan bir güvenlik açığını kullandı. Cloudflare, Rapid Reset saldırılarının önceki üç aya kıyasla HTTP DDoS saldırı trafiğinde %65 artışa katkıda bulunduğunu söyledi. Oyun ve kumar şirketleri, en büyük HTTP DDoS trafiği hacminin yükünü taşıyor (bkz.: Sıfır Gün Saldırıları HTTP/2’deki ‘Hızlı Sıfırlama’ Zayıflığından Yararlanıyor).
IoT Kötü Amaçlı Yazılım Saldırıları Dört Kat Arttı
Zscaler’in Salı günü bildirdiğine göre, Nesnelerin İnterneti cihazlarına yönelik kötü amaçlı yazılım saldırıları, bu yılın ilk yarısında geçen yılın aynı dönemine kıyasla %400’den fazla arttı.
Siber güvenlik şirketi, bu artışı Mirai ve Gafgyt kötü amaçlı yazılım ailelerinin sürekli faaliyetlerine bağlıyor. Mirai, 2016’dan bu yana siber savunucuların başına bela oldu; özellikle birisinin kaynak kodunu çevrimiçi olarak sızdırmasından bu yana, IoT cihazlarından botlar oluşturmaya devam eden güncelleme varyantlarına yol açtı (bkz.: Yükselen Condi Botnet Kampanyası Yamasız TP-Link Yönlendiricilerini Etkiliyor).
ZScaler, verilerinde IoT cihazlarının üçte ikisinin bu cihazları hedef aldığını gösteren rakamlara atıfta bulunarak yönlendiricilerin hala tercih edilen IoT hedefi olduğunu söylüyor. “Yönlendiriciler, ağlardaki merkezi konumları, sürekli internet bağlantısı, varsayılan kimlik bilgilerinin yaygın kullanımı ve ürün yazılımı güvenlik açıklarına karşı hassas olmaları nedeniyle IoT kötü amaçlı yazılım hedeflerine hitap ediyor.” Bu duyarlılık, kullanıcıların yönlendiricilerini güncellemeleri konusunda yıllarca süren uyarılara rağmen devam ediyor; ancak yine de çoğu insan için yönlendiricilerin ayarlanması ve cihazları unutması gerekiyor.
Uluslararası Ceza Mahkemesi’nde Casusluk Girişimi
Uluslararası Ceza Mahkemesi, beş hafta önce uğradığı siber saldırıya ilişkin ek ayrıntıları açıkladı ve olayın hedefli bir casusluk operasyonu olduğunu belirtti. Merkezi The Hauge, Hollanda’da bulunan coiurt ilk olarak açıklandı Saldırı eylül ortasında. Mahkeme saldırganlarla ilgili açıklama yaptı. Şu an itibariyle veri güvenliğinin ihlal edildiğine dair bir belirti yok.
CISA, HHS Tout Siber Araç Seti
ABD Siber Güvenlik Altyapısı ve Güvenlik Ajansı, 2023 yılında fidye yazılımlarına karşı proaktif önlemler aldığını ve 65’ten fazla ABD sağlık kuruluşu için “fidye yazılımı öncesi bildirimler” yürüttüğünü açıkladı. Sağlık ve İnsani Hizmetler Bakanlığı ile iş birliği içinde yapılan bu bildirimler, kötü amaçlı şifrelemeyi engellemeyi ve olası saldırılara karşı erken uyarı sağlamayı amaçlamaktadır. CISA ve HHS, güncellenmiş Sağlık Sektörü Siber Güvenlik Uygulamaları ve HPH Sektörü Siber Güvenlik Çerçevesi Uygulama Kılavuzu gibi kaynakları birleştiren kapsamlı bir siber güvenlik “araç seti”ni tanıttı. Araç seti ayrıca, siber dayanıklılığı artırmak için ücretsiz güvenlik açığı taraması ve testi sunan CISA’nın Siber Hijyen Hizmetlerini de içeriyor.
NCC Group’un yakın tarihli bir raporu, Eylül ayında sağlık sektörüne yönelik fidye yazılımı saldırılarında %86’lık bir artış olduğunu ortaya çıkardı ve sektörün tehdit aktörleri açısından çekiciliğinin altını çizdi. Saldırılardaki artış, özellikle ilaç firmalarını etkileyen, 2023 boyunca kalıcı bir tehdidin sinyalini veriyor.
Eski NSA Çalışanı Sırları Satmaktan Suçunu İtiraf Etti
Eski Ulusal Güvenlik Ajansı çalışanı Jareh Sebastian Dalke Pazartesi günü, gizli ulusal güvenlik bilgilerini Rusya’ya satmaya teşebbüs etme suçunu kabul etti. Colorado’lu 31 yaşındaki gazi Dalke, Rus ajanı kılığına giren gizli bir FBI ajanına bilgi sağladığı için ömür boyu hapis cezasıyla karşı karşıya kalabilir. Cezanın 26 Nisan 2024’te verilmesi planlanıyor ve Dalke en fazla ömür boyu hapisle karşı karşıya kalacak.
Eski bilgi sistemleri güvenlik tasarımcısı, Rusya’ya üçüncü bir ülkenin askeri saldırı yeteneklerine ilişkin tehdit değerlendirmesini ve ABD’nin savunma yeteneklerine ilişkin hassas ayrıntıları sağlamaya çalıştı. Federal savcılar, Dalke’nin Ağustos ve Eylül 2022 arasında, Rus ajanı olduğuna inandığı, aslında FBI’ın çevrimiçi gizli çalışanı olan bir kişiye üç gizli belgeden alıntılar göndermek için şifrelenmiş bir e-posta hesabı kullandığını söylüyor.
Daha sonra, hedeflenen Rus ajanla Denver şehir merkezindeki Union İstasyonunda buluşmayı ayarladı ve burada gizli ulusal savunma bilgilerini içeren dört dosyayı aktardı. Dosyaları gönderdikten hemen sonra federal ajanlar onu tutukladı.
Güncelleme: Kansas Mahkeme Sistemi Hala Çevrimdışı
Kansas yetkilileri hâlâ eyalet mahkemelerinin çoğunu iki hafta boyunca felce uğratan ve bunu bir “güvenlik olayı” olarak nitelendiren bir bilgisayar kesintisiyle boğuşuyor. Kesinti, avukatları geleneksel kağıt dosyalama yöntemlerine başvurmaya zorladı, çevrimiçi kayıt aramalarını engelledi ve fiziksel belgelerin birikmesine neden oldu. Etkilenen mahkemeler, daha düşük bir kapasiteyle çalışıyor ve sonunda ayırma ve tarama gerektirecek büyüyen kağıt yığınlarını yönetme zorluğuyla başa çıkıyor.
ISMG’den Marianne Kolbasuk McGee’nin Boston banliyölerinden bildirdiği raporla.