Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
Kötü Amaçlı Yazılım Bulaşmış Saatler, Sosyal Mühendisler İçin Yeni USB Parmak Sürücüsüdür
Mathew J. Schwartz (euroinfosec) •
26 Haziran 2023
Askerlik mensuplarına uyarı: Postada istenmeyen bir akıllı saat aldınız mı? Eğer öyleyse, ne yaparsanız yapın, onu açmayın ve karşı istihbarata veya güvenlik müdürünüze bildirin.
Ayrıca bakınız: Kesin E-posta Siber Güvenlik Stratejisi Rehberi
ABD Ordusu’nun Kriminal Soruşturma Birimi, askeri personelden istenmeyen, ücretsiz akıllı saatler aldıklarına dair bir dizi rapor aldığını söyledi. Cihazlar zamanı söylemekten daha fazlasını yapıyor, kalp atış hızınızı ölçüyor ve ayak seslerini sayıyor.
CID’nin uyarısı, “Bu akıllı saatler kullanıldığında, Wi-Fi’ye otomatik olarak bağlandı ve sorulmadan cep telefonlarına bağlanmaya başladı ve sayısız kullanıcı verisine erişim sağladı” diyor.
Uyarıda, “Hem sese hem de kameralara erişen, aktörlerin akıllı saatlere bağlı konuşmalara ve hesaplara erişmesine olanak tanıyan kötü amaçlı yazılım da mevcuttur” uyarısı, saatlerin ayrıca kullanıcı adlarını ve şifreleri ve bankacılık işlemlerini ele geçirme yeteneğine sahip kötü amaçlı yazılım içerebileceğini de sözlerine ekledi. bilgi.
Siber güvenlik uzmanları, özellikle dijital cihazlar söz konusu olduğunda, bedava öğle yemeği diye bir şey olmadığını biliyor. “Ücretsiz” bir USB parmak sürücü bulun ve bu alanda yeterince uzun süredir bulunan herhangi birinin şüphesi, kötü amaçlı yazılım içerip içermediği değil, cihaz bir PC’ye takılırsa kaç farklı tür ve otomatik olarak çalışacakları olacaktır.
Ne yazık ki ağ savunucuları için, paranoyak olmak için para almayan insanlar genellikle “bedava şeyler” oyununa düşüyor. 2011’de ABD İç Güvenlik Bakanlığı, kaç tane devlet çalışanının ve özel yüklenicinin iş yeri otoparkında buldukları bir USB sürücüsünü bilgisayarlarına takacağını görmek için bir test yaptı.
Kötü haber, savunucular: Bloomberg’in bildirdiğine göre, USB cihazlarından birini alan insanlar, cihazın resmi görünümlü bir logosu veya kasası varsa, bu oranın %90’a yükseldiğini ve bu oranın %60’ını prize taktığını bildirdi.
Bu tür endişeler, özellikle hükümet ağları söz konusu olduğunda teorik değildir. 2008’de, Orta Doğu’daki bir ABD askeri dizüstü bilgisayarına kötü amaçlı yazılım bulaşmış bir flash sürücü takıldı ve bu da kötü amaçlı kodun ABD Merkez Komutanlığı ağına sızmasına yol açtı. Sonuç, “ABD askeri bilgisayarlarının tarihteki en kötü ihlali” olarak tanımlandı. Yetkililer daha sonra saldırının Moskova tarafından düzenlendiğinden şüphelendiklerini söylediler. Buckshot Yankee Operasyonu olarak adlandırılan ve 2010 yılına kadar gizli kalan olaya Pentagon’un tepkisi, hükümet ağlarını daha iyi korumak için doğrudan ABD Siber Komutanlığının başlatılmasına yol açtı.
On yıldan fazla bir süre sonra, saldırganlar kötü amaçlı yazılımları hükümete ve diğer yüksek değerli ağlara gizlice sokmak için USB’yi kullanmaya devam etti. Ocak 2022’de FBI, ulaşım, savunma ve sigorta sektörlerindeki işletmelere Amazon hediye kartı ve USB flash sürücü olduğu iddia edilen kutuların gönderildiği konusunda flaş bir uyarıda bulundu. Dahil edilen talimatlar, alıcılara yürütülebilir dosyayı flash sürücüde çalıştırmalarını söyleyerek, bunun ABD Sağlık ve İnsani Hizmetler Bakanlığı için temel COVID-19 rehberliğini içerdiğini söyledi.
FBI, bu saldırıları 2013’ten beri faaliyet gösteren FIN7 adlı mali amaçlı bir siber suç grubunu suçladı. Grup, satış noktası saldırıları yoluyla ödeme kartı verilerini çalmak için tasarlanmış kötü amaçlı kod da dahil olmak üzere uzun süredir kötü amaçlı yazılım kullanıyor. Güvenlik araştırmacılarının bildirdiğine göre grup, 2020’de REvil gibi hizmet olarak fidye yazılımı araçlarının yanı sıra grubun kendi DarkSide’ını kullanarak büyük av avcılığına odaklandı.
Ucuz Saldırı Vektörleri
Açıkçası, ucuz akıllı saatler yeni USB flash sürücü gibi görünüyor.
Güvenlik açısından bakıldığında, Çin yapımı akıllı saatlerin askeri personele gönderilmesi, bazen “LED D18 Akıllı Saatler” olarak markalanması, yaklaşık 5 ABD Doları’na satılması ve toplu olarak satın alındığında muhtemelen çok daha ucuza mal olması ironiktir. Bir tane isteyen herhangi biri, kendisininkini almak için çok az ödeme yapmak zorunda kalacaktı.
Net olmayan şey, askeri personelin doğrudan hedef alınıp alınmadığı.
Ordu uyarısı, genellikle Çin’de bulunan bazı e-ticaret sitesi satıcıları tarafından, istenmeyen – ve bazen de sahte – ürünleri incelenmek üzere tüketicilere göndererek satışlarını yapay olarak artırmak için kullanılan bir tür dolandırıcılık olan fırçalamayı ifade eder ve ürünleri alınmış olarak sayar. satılmış. İngiliz tüketici gözlemcisi tarafından yapılan bir araştırma Hangisi? 2021’de Birleşik Krallık’ta 1,1 milyon hanenin fırçalama tarafından hedef alındığı bulundu.
ABD askeri personeli, göze çarpıyormuş gibi görünen ama aslında cihazlara kötü amaçlı yazılım yükleyen ve muhtemelen banka hesabı ayrıntılarını çalmaya çalışan suçlular tarafından hedef alınan Amerikalılar arasında olabilir. Veya bir casusluk operasyonunun parçası olarak doğrudan hedef alıyor olabilirler. İlki olsa ve yabancı suçlular kötü amaçlı yazılım yoluyla hassas bilgiler elde etse bile, dolandırıcılar ayrıntıları kendi istihbarat servislerine vermekten çekinmeyebilirler.
ReliaQuest CISO Rick Holland, CNN’e bu saatlerin “yabancı bir istihbarat teşkilatı için değerli bir koleksiyon kaynağı” olabileceğini söyledi. “Daha sonra telefonlarla eşleştirilen saatler, hem askerler hem de birimleri hakkında profiller oluşturmak için değerli olacak daha fazla veriye erişebilir.”
Postayla istenmeyen bir giyilebilir cihaz veya başka bir dijital cihaz alan veya çalıştıkları istihbarat teşkilatının otoparkında bir tane bulan herkes için mesaj basittir: Onlarla alay etmeyin; sağlığınız için iyi değiller.