Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
Ayrıca Kuzey Koreli Hackerlar Rus Füze Üreticisini Ele Geçirdi
Daha Fazla (AnvikshaDevamı) •
10 Ağustos 2023
Information Security Media Group, her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini özetliyor. Bu hafta, Wall Street şirketlere WhatsApp kullandıkları için para cezası verdi, Kuzey Koreli bilgisayar korsanları bir Rus füze üreticisini ihlal etti, Ivanti geri adım attı, fidye yazılımı saldırıları üreticilere 46 milyar dolara mal oldu, bir siber saldırı Gemini Kuzey Gözlemevi’ni kapattı, Android kullanıcılarını ve sağlık çalışanlarının kişisel bilgilerini hedef alan reklam dolandırıcılığı ihlal
Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası
11 Wall Street Firmasına WhatsApp Kullandığı İçin Ceza Kesildi
Salı günü ABD federal düzenleyicileri, şirket işlerini yürütmek için WhatsApp ve Signal gibi akıllı telefon mesajlaşma uygulamalarını kullandıkları için 11 aracı kurum ve yatırım danışmanına toplam 549 milyon dolar para cezası verdi. Wells Fargo, BNP Paribas, Societe Generale ve Bank of Montreal, Menkul Kıymetler ve Borsa Komisyonu ile Emtia Vadeli İşlemler Komisyonu’ndan en yüksek cezaları aldı.
Düzenleyici normlar, finans kuruluşlarının kayıt tutmasını ve çalışanların şirket işlerini yetkisiz iletişim kanalları aracılığıyla yürütmemesini sağlamasını zorunlu kılar. SEC, bu firmaları çalışanları tarafından yapılan resmi iletişimleri düzgün bir şekilde sürdüremedikleri ve koruyamadıkları için suçladı.
Bu, SEC’in Wall Street firmalarına kayıt tutmama nedeniyle bir yıldan kısa bir süre içinde ikinci kez para cezası vermesiydi.
SEC, para cezasına çarptırılan tüm firmaların menkul kıymetler yasalarının kayıt tutma hükümlerini ihlal ettiklerini kabul ettiklerini ve çalışanlarının kanal dışı iletişimlerini izlemek için uyum stratejileri uygulamaya başladıklarını söyledi.
Kuzey Koreli Hackerlar Rus Füze Üreticisini Ele Geçirdi
Kuzey Koreli bilgisayar korsanları, önemli bir Rus füze geliştiricisini hedef alan en az beş ay süren bir siber casusluk operasyonu düzenledi. SentinelLabs’ten araştırmacılar, ScarCruft olarak izledikleri Kuzey Koreli bilgisayar korsanlarının Moskova merkezli roket tasarım firması NPO Mashinostroyeniya’nın sistemlerine dijital arka kapılar yerleştirdiğini gözlemledi.
İzinsiz giriş, 2021’in sonlarında başladı ve Mayıs 2022’de şirketin dahili iletişiminin bilgisayar korsanı etkinliğini tespit ettiği bildirilene kadar devam etti. Casuslar, BT ortamından yararlanarak e-posta trafiğinde gezinmelerine, ağlarda gezinmelerine ve verileri ayıklamalarına olanak sağladı. Verilerin çalınıp sızmadığı veya hangi bilgilere erişildiği belirsizliğini koruyor olsa da olay, Kuzey Kore’nin dost ülkeleri hedef alma isteğini gösteriyor.
Saldırı, bir BT personelinin Kuzey Kore saldırısını soruşturma girişimi sırasında yanlışlıkla iç iletişimleri sızdırmasıyla yanlışlıkla keşfedildi. Bu eksiklik, şirketin Rusya için büyük önem taşıyan ve daha önce Rusya’nın 2014’te Kırım Yarımadası’nı yasadışı olarak ilhak etmesinin ardından yaptırım uygulanan operasyonları hakkında fikir verdi.
Hipersonik füzeler, uydu teknolojileri ve gelişmiş balistik silahlarda önde gelen bir kuruluş olan NPO Mashinostroyeniya, kritik teknolojik ilerlemeler geliştirme misyonuyla uyumlu olarak Kuzey Kore’nin yoğun ilgi gösterdiği alanlarda çok önemli bir rol oynamaktadır.
Ivanti Geri Takip Edildi, Son Hatanın Tüm Sürümleri Etkilediğini Söyledi
BT çözümleri sağlayıcısı Ivanti, Endpoint Manager Mobile aracındaki bir güvenlik açığının platformun yalnızca birkaç sürümünü etkilediğine dair ilk değerlendirmesinde geri adım attı ve kusurun tüm sürümleri etkilediğini ortaya çıkardı.
2 Ağustos’ta Ivanti, MobileIron Core adlı aracı 11.2 sürümüne kadar etkileyen, kritik olarak derecelendirilmiş bir kusur olan CVE-2023-35082’nin ayrıntılarını açıkladı. Kusur, yetkisiz aktörlerin potansiyel olarak kullanıcı bilgilerine erişmesine ve sunucuda değişiklikler yapmasına izin verir. Şirket, MobileIron Core’un 11.3 yükseltmesindeki kusuru düzeltti.
Pazartesi günü Ivanti, kişiselleştirilmiş yapılandırmalara bağlı olarak CVE-2023-35082’nin tüm sürümleri etkilediğini söyledi.
Orijinal güvenlik açığını bulması ile tanınan Rapid7 araştırmacısı Stephen Fewer, CVE-2023-35082 kusurunun kökenini başka bir güvenlik açığı olan CVE-2023-35078 ile paylaştığını söyledi ve güvenlik açıklarının aynı temel sorundan kaynaklandığını öne sürdü.
CVE-2023-35078, CVSS ölçeğinde 10 olarak atanan, kimliği doğrulanmamış bir uzaktan API erişim hatasıdır. ABD ve Norveç siber güvenlik kurumlarına göre bilgisayar korsanları, Nisan ayında veya muhtemelen daha erken bir tarihte Norveç hükümetini hedef almak için önceki açığı CVE-2023-35081 ile zincirlediler (bkz:: ABD CISA, Ivanti Norveç Hack’lerinin Nisan Ayında Başladığını Söyledi).
Fidye Yazılım Saldırıları Üreticilere 46 Milyar Dolara Mal Olur
İngiliz Comparitech şirketi, imalat sektörünün 2018 ile Temmuz 2023 arasında fidye yazılım saldırılarının yol açtığı 46,2 milyar dolarlık mali kayba uğradığını söyledi.
Compareitech’in analizi, fidye yazılımı olaylarının neden olduğu kesinti süresinin sonuçlarına odaklandı. 40 milyar doları aşan maliyet, 2018’den bu yana 478 saldırı için ödenen fidyeleri hariç tutuyor. Compareitech analistleri, son beş yılda bir üretici tarafından ödenen yalnızca dört kayıtlı fidye örneği gözlemledi. Yine de şirket, “birçok şirket, kendilerini bu saldırılara karşı daha savunmasız hale getireceği korkusuyla bu bilgileri saklayacak” dedi. Düşük başarılı gasp oranı, çetelerin üreticilere saldırmasını engellemedi ve olay başına ortalama 11,2 milyon dolar talep edildi.
En büyük maliyet arıza süresinden kaynaklanmaktadır. Compareitech, dakikada ortalama 8.662 USD’lik bir kesinti maliyeti gözlemledi.
Cyberattack, Gemini North Gözlemevi’ni Kapattı
ABD Ulusal Optik Kızılötesi Astronomi Araştırma Laboratuvarı, sistemlerinde bir siber saldırı girişimi tespit etti ve bu, Hawaii’deki Gemini North teleskopundaki gözlemlerin askıya alınmasına yol açtı. NOIRLab, hasarın önlendiğini ancak soruşturmaların devam ettiğini söyledi. Laboratuvar personeli saldırıyı 1 Ağustos’ta tespit etti ve Çarşamba günü yapılan bir güncellemede, iki teleskoptaki uzaktan gözlemlerin hâlâ kullanılamadığını söyledi.
Reklam Sahtekarlığı Android Kullanıcılarını Hedefliyor
McAfee’nin Mobil Araştırma Ekibindeki siber güvenlik uzmanları, Google Play uygulamalarının cihazın ekranı kapalıyken gizlice reklam görüntüleyen, Google Play politikalarını ihlal eden ve reklamcıları dolandıran Koreli Android kullanıcılarını hedefleyen bir reklam yazılımı kampanyasını ortaya çıkardı. Kampanyada 43 hileli uygulama kullanıldı ve 2,5 milyon indirme birikerek TV/DMB oynatıcılar, müzik indiriciler, haberler ve takvim uygulamaları gibi kategorileri etkiledi. Adware’in gelişmiş taktikleri, Firebase Storage veya Messaging yoluyla uzaktan değiştirme yetenekleri sağlayarak tespit edilmekten kurtuldu. McAfee, potansiyel kimlik avına ve görünmeyen reklamlara yol açan arka plan etkinliklerini etkinleştiren reklam yazılımı izinlerini belirledi. Ekip, uygulamaları kaldıran veya Google politikasına uyacak şekilde güncelleyen Google’a bildirdi.
British Columbia Sağlık Çalışanlarının Kişisel Bilgileri İhlal Edildi
Önemli bir veri ihlali, British Columbia’daki binlerce sağlık çalışanını etkiledi. Bilgisayar korsanları, BC Sağlık İşverenleri Derneği sunucularında barındırılan üç web sitesini hedef aldı. İhlal 9 Mayıs ile 10 Haziran arasında gerçekleşti ve 13 Temmuz’da tespit edildi. İhlal, 240.000 e-posta adresine bağlı pasaport bilgileri, ehliyetler, doğum tarihleri ve sosyal sigorta numaraları gibi kişisel verileri ele geçirmiş olabilir. Fidye talep edilmemesine rağmen, devam eden bir polis soruşturması nedeniyle tam güvenlik açığı açıklanmadı.