Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Ayrıca: Polonya Başbakanı Önceki Yönetimin Pegasus Casus Yazılımını Kullandığını Söyledi
Prajeet Nair (@prajeetspeaks) •
15 Şubat 2024
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta Zeus lideri suçunu kabul etti, Prudential bilgisayar korsanlarını tespit etti, ABD telekomünikasyon şirketlerinin ihlalleri bildirmesi gerekiyor, Microsoft sıfır gün yamalarını uyguladı, araştırmacılar Çin tehdit istihbaratının hatalı olduğunu, fidye yazılımının Romanya sağlık kuruluşlarını vurduğunu, Juniper’in ihlal edildiğini ve Polonya’nın daha önce Pegasus kullandığını iddia etti.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Zeus Bankacılık Truva Atı Lideri Suçunu İtiraf Etti
Zeus siber suç grubunun suçlanan lideri, ABD federal mahkemesinde, BokBot kötü amaçlı yazılımını yaymadaki liderlik rolünü de içeren suçlamaları kabul etti.
Ukrayna uyruklu Vyacheslav Igorevich Penchukov – takma adı Vyacheslav Andreev ve “Tank” – Zeus grubundaki rolü nedeniyle şantajcılardan etkilenen ve yozlaşmış örgütler suçu işlemeye yönelik bir komplo ve kendisiyle ilgili elektronik dolandırıcılık yapmaya yönelik bir komplo suçunu kabul etti. BokBot etkinlikleri. 37 yaşındaki sanığın 40 yıla kadar hapis cezasıyla karşı karşıya olduğu belirtiliyor.
İsviçreli yetkililer Penchukov’u 2022’de ABD yetkililerinin emriyle tutukladı (bkz: Ukraynalının Siber Suç Davasında Tutuklanması Sabrın Faydasını Gösteriyor).
Adalet Bakanlığı, ilk olarak 2009 yılında tespit edilen Zeus bankacılık Truva Atı’nın, finansal motivasyona sahip bilgisayar korsanlarının oturum açma bilgileri de dahil olmak üzere banka bilgilerini ele geçirmesine olanak sağladığını ve bunun da kurbanların milyonlarca dolarlık kayba uğramasına neden olduğunu söyledi.
2018’de Penchukov, IcedID olarak da bilinen BokBot’u dağıtmak için yeni bir çabaya öncülük etti. Kötü amaçlı yazılım, kimlik bilgilerini çaldı ancak aynı zamanda fidye yazılımı için ilk erişim vektörü olarak da görev yaptı. Vermont Üniversitesi Tıp Merkezi BokBot tarafından vurulduğunda, olay 30 milyon dolarlık kayba neden oldu “ve tıp merkezinin iki haftadan fazla bir süre boyunca birçok kritik hasta hizmetini sağlayamamasına neden oldu, bu da hastalar için ölüm veya ciddi bedensel yaralanma riski yarattı.” Adalet Bakanlığı söyledi.
Siber güvenlik muhabiri Brian Krebs, 2022’de Penchukov’un, Rusya yanlısı eski Ukrayna Devlet Başkanı Viktor Yanukoviç’in ailesiyle olan siyasi bağlantısı sayesinde Ukrayna’da soruşturmadan yıllarca kaçabildiğini bildirdi. FBI, Penchukov’u yaklaşık on yıl boyunca en çok arananlar listesinde listeledi.
Prudential Financial Bilgisayar Korsanlığı Olayını Tespit Ediyor
Prudential Financial Pazartesi günü ABD federal düzenleyicilerine, muhtemelen siber suçlu olan bilgisayar korsanlarının “belirli bilgi teknolojisi sistemlerinden gelen idari ve kullanıcı verilerine” ve ayrıca çalışan ve yüklenici kullanıcı hesaplarının “küçük bir yüzdesine” yetkisiz erişim elde ettiğini açıkladı.
Şirket, tehdit aktörünün uzun süre oyalanmasına izin vermediğini söyledi. Prudential, 4 Şubat’taki ihlali ertesi gün tespit ettiğini ve “derhal” bir siber olay müdahale planını devreye soktuğunu söyledi.
Prudential, dünya çapında 50 milyondan fazla müşteriye sigorta, emeklilik planlaması ve varlık yönetimi hizmetleri sağlayarak hizmet vermektedir.
FCC, Telekom’a Veri İhlallerini Bildirmesi İçin Son Tarih Verdi
ABD Federal İletişim Komisyonu, telekomünikasyona yönelik veri ihlali raporlama kurallarında Aralık ayında yapılan güncellemenin bir ay içinde yürürlüğe gireceğini söyledi. Telekomünikasyon şirketlerinin kişisel tanımlanabilir bilgileri içeren herhangi bir ihlali raporlamasını zorunlu kılan Aralık ayındaki parti kararına Pazartesi günü yapılan güncellemede kurum, 13 Mart’tan itibaren bu uyumluluğu bekleyeceğini söyledi.
Ajans, bir rapor ve talimatla özetlenen güncellenmiş kuralları onaylarken, son yirmi yılda veri ihlallerinin sıklığının ve şiddetinin arttığını söyledi. Son 16 yıldır yürürlükte olan kurallara göre kurum, telekomünikasyon şirketlerinin yalnızca resmi olarak “müşteriye ait ağ bilgileri” olarak bilinen abone verilerini içeren ihlalleri bildirmelerini zorunlu kıldı. CPNI, aranan telefon numarası, arama süresi ve arama süresi gibi bilgileri içerir. FCC, bir telekomünikasyon çalışanının bilgileri iyi niyetle elde ettiği ve verilerin uygunsuz şekilde kullanılmadığı durumlar haricinde, ihlal tanımını “müşteri bilgilerine yanlışlıkla erişim, kullanım veya ifşa”yı da içerecek şekilde genişletti.
Microsoft’un Şubat 2024 Yaması Salı
Microsoft’un Şubat 2024 Salı Yaması, aktif olarak istismar edilen iki sıfır gün de dahil olmak üzere 73 güvenlik açığını gideriyor.
CVE-2024-21351 olarak takip edilen ilkinin CVSS puanı 7,6’dır ve Windows SmartScreen güvenlik özelliği atlama güvenlik açığıdır. Kötü niyetli aktörlerin SmartScreen’e kod eklemesine olanak tanır ve potansiyel olarak verilerin açığa çıkmasına veya sistemin kullanılamamasına yol açar.
CVE-2024-21412 olarak izlenen diğer sıfır gün, CVSS puanı 8,1’dir ve bir İnternet Kısayol Dosyaları güvenlik özelliği atlama güvenlik açığıdır. Bir saldırgan, güvenlik kontrollerini atlamak için hazırlanmış bir dosya göndermek üzere bu durumdan yararlanabilir ve yürütülmesi için kullanıcı etkileşimi gerekebilir.
CVE-2024-21413 olarak takip edilen başka bir kusurun CVSS puanı 9,8’dir ve bir Microsoft Outlook uzaktan kod yürütme güvenlik açığıdır. Başarılı bir şekilde yararlanma, saldırganların Office Korumalı Görünümü atlamasına ve yüksek ayrıcalıklar elde etmesine olanak tanır.
Çin Siber Casusluk İddialarında Teknik Kanıt Yok
Sentinel Laboratuvarlarındaki araştırmacılar, Çin kaynaklarından gelen tehdit istihbarat raporlarının onlara güvenilirlik kazandıracak teknik kanıtlardan yoksun olduğunu söyledi. Pazartesi günü yapılan bir analizde siber güvenlik şirketi, devlet gizliliği yasalarının Çinli siber güvenlik şirketlerinin teknik verileri yayınlamasını engellediğini, ancak “ABD’nin teknik destek olmadan bilgisayar korsanlığı iddialarının alay konusu olduğunu ve haklı olarak öyle olduğunu” söyledi.
Araştırmacılar, Çin’in standart dışı raporlamasına örnek olarak, ABD Ulusal Güvenlik Ajansı’nın havacılık ve uzay araştırmaları yürüten ve Çin ordusuyla bağları olan bir üniversiteyi hacklediğini iddia eden Eylül 2022 tarihli bir raporu gösteriyor. Devlete bağlı siber güvenlik firması Qihoo 360 ve CVERC olarak bilinen Ulusal Bilgisayar Virüsü Acil Müdahale Merkezi, “rapordaki her IP numarasının yarısının ve her takvim tarihinin son iki rakamının çıkarıldığı” bir rapor yayınladı. Fikri mülkiyet düzenlemesi muhtemelen devlet gizlilik yasalarına uymak için yapılmıştı; tarihleri gizlemek ise muhtemelen “iddia edilen operasyonun, raporun yayınlandığı tarihte on yıldan daha eski olduğunu gizlemek için” bir girişimdi.
“Analistler, ÇHC’nin Çin ve ABD bilgisayar korsanlığı konusunda küresel kamuoyunu değiştirme hedefine ulaşmasına yardımcı olmak için standartlarını düşürmemeli. Bunun yerine, Çinli firmalar ve hükümet tarafından öne sürülen iddialar, küresel siber güvenlik topluluğunun benimsediği aynı, katı analitik standartlara tabi tutulmalıdır. kendi kendine empoze edildi” diyor rapor.
Romanya Sağlık Tesisleri Fidye Yazılımı Saldırısının Etkilerini Hissediyor
Romanya Ulusal Siber Güvenlik Müdürlüğü, yaklaşık 100 tıbbi tesisin üçüncü taraf sağlık yönetim sistemine yönelik fidye yazılımı saldırısından doğrudan ya da önlem olarak çevrimdışı oldukları için etkilendiğini söyledi.
Müdürlük, Hipokrat Bilgi Sistemi sunucularının şifrelenmesi sorumluluğunu herhangi bir grubun üstlenmediğini ancak saldırganların Phobos fidye yazılımı ailesinin bir çeşidi olan Backmydata fidye yazılımını kullandığını söyledi. Bilgisayar korsanları, yaklaşık 171.000 dolar değerindeki 3,5 BTC tutarında fidye talep etti. Yetkililer hastanelerin fidye ödememesini tavsiye etti.
Juniper Destek Portalının İhlali
Juniper Networks’ün destek portalı yakın zamanda destek portalı yükseltmesi nedeniyle ürün ayrıntıları, garanti durumu ve seri numaraları dahil olmak üzere müşteri verilerini açığa çıkardı.
KrebsOnSecurity ilk olarak yanlışlıkla veri ifşasını bildirdi. Açığa çıkan veriler arasında cihaz modeli ve seri numaraları, konum, durum ve destek sözleşmesi ayrıntıları yer alıyordu. Juniper Networks, tanımlanabilir müşteri verilerinin tehlikeye atılmadığını söyledi. Şirket arızanın temel nedenini araştırıyor. Yanlış yapılandırma muhtemelen Eylül 2023’te duyurulan Salesforce destekli destek web sitesi yükseltmesinden kaynaklanmıştır.
Polonya Başbakanı Önceki Yönetimin Pegasus Casus Yazılımını Kullandığını Söyledi
Polonya’nın yeni Başbakanı Donald Tusk Salı günü yaptığı açıklamada, önceki hükümetin hack kurbanlarının önemli bir listesini içeren Pegasus casus yazılımını yasa dışı kullandığına dair kanıta sahip olduğunu söyledi. Tusk, bir mobil cihazın verilerine erişime izin veren casus yazılımın, popülist sağcı parti Hukuk ve Adalet başkanlığındaki yönetim sırasında yasa dışı bir şekilde kullanıldığını iddia etti.
Tusk bu duyuruyu, önceki hükümetle aynı çizgide olan siyasi bir rakip olan Polonya Cumhurbaşkanı Andrzej Duda ile birlikte düzenlediği basın toplantısında yaptı. Associated Press’in haberine göre Tusk, adalet bakanı ve başsavcıdan Duda’ya “Pegasus’un yasal ve yasa dışı bir şekilde satın alındığını ve kullanıldığını %100 doğrulayan” belgeleri sağlamasını istediğini söyledi.
Hukuk ve Adalet’in sekiz yıllık iktidarının ardından Aralık ayında iktidara gelen Tusk, özel bir meclis komisyonunun hükümetin casus yazılım kullanımını araştırdığını söyledi.
Haziran ayında Avrupa Parlamentosu, Macaristan, Polonya ve Yunanistan’ı muhalif kişilere ve diğer kişilere karşı ticari casus yazılım kullanmaları nedeniyle Avrupa Birliği yasalarını ihlal etmekle suçladı (bkz: Avrupa Parlamentosu Ticari Casus Yazılımları Kınadı).
Geçen Haftanın Diğer Haberleri
Bilgi Güvenliği Medya Grubu’ndan Hindistan’ın Mumbai kentindeki Mihir Bagwe ve Washington DC’den David Perera’nın raporları ile.