KoçSistem IDC 2017

BT Güvenliği Konferansı ‘ndaydı!

NO. 17 • Şubat 2017 Editör: Özge ÇELİK

KoçSistem Security Operation Center www.kocsistem.com.tr/guvenlik-hizmetleri

Siber Saldırganlar 40 Ülkede Şirketlere Sızdı

Tekrar Güncellendi:GootKit ZARARLISI

Küresel Yük Dengeleme Yönetim Hizmeti

KRİTİK AÇIKLAROCAK AYINA AİT

SAVAŞIN YENİ BOYUTU

SİBER

Soğuk savaşın sürdüğü 1957 yılında SSCB'nin (Sovyet Sosyalist Cumhuriyetler Birliği) yani günümüzün Rusya Federasyonu, Sputnik adlı uyduyu uzaya gönderdi. ABD gerek uzay çalışmalarında geriye düştüğünü düşünerek, ge-rekse SSCB’den gelebilecek nükleer saldırılara karşı bağışıklık oluşturmak amacıyla bir iletişim ağıağı oluşturmak istedi. Soğuk savaş projesi olan bu ağ, akademik çalışmalarla desteklenip günü-müzdeki interneti oluşturdu [SMITSHONIAN]. Savaş projesi olarak oluşturulan bu ağ aynı za-manda modern savaşların yeni bir boyutta yapılmasına da sebep olmuş ve artık siber ortam kara, deniz, hava ve uzaydan sonra 5. savaş alanı olarak belirlendi.

Amerikan Savunma Bakanlığı tarafından yapılan açıklamada internet; telekomünikasyon ağları ve bilgisayar sistemlerini de içine alan, birbirine bağlı bilgi teknolojileri altyapılarının olduğu küresel bir alan” olarak tanımlanmıştır. Diğer bir tanımlama da ise şu şekildeydi; “insanların bilgi-sayarlar ve telekomünikasyon sistemleri aracılığıylaaracılığıyla herhangi bir coğrafi sınırlamaya maruz kalmadan tamamen birbirine bağlı olma durumudur.” [Hildreth] Siber savaş ise, siber uzayı ve içindeki varlıkları korumak için yürü- tülen harekâtların geneline verilen isimdir. Siber saldırı girişimlerine düşman olarak belirlenen hedefe saldırıda bulunmak, karşı savunma yapmayapmak, hedefteki siber uzayda istihbarat ve- rileri toplamak siber savaş faaliyetlerini oluşturmaktadır. Siber savaşların ana hedefi ül-kelerin güvenlik, sağlık, enerji, ulaşım, haberleşme, su, bankacılık, kamu hizmetleri gibi kritik sektörlerinin bilgi sistem altyapılarıdır.

Bir siber tehdit türü olan APT (Advanced Persis-tent Threat) kavramı; çok gelişmiş teknikler kullanılarak tasarlanmış, sistemden kendini gizleyerek ve olabildiğince sistem üzerinde ka-larak sistemden bilgi sızdırma, sistemde casus-luk faaliyetleri düzenleme ya da sisteme zarar verme amacını taşıyan, hedefi net olarak belirlenmiş tehdit türü olarak tanımlanabilir. Genellikle devletlerin kritik altyapılarını hedefle-mektedir.

Siber savaşlarda neler yapılabileceğine gelirsek; hava ve kara trafiğinin sinyalizasyon sistemleri değiştirilebilir, barajlarının kapakları açılabilir, su dağıtım sistemleri kapatılabilir, nükleer santraller hedef alınarak çalışması engellenebilir, finans sektörü durdurulabilir ve benzeri siber saldırılarla ülke halkın silahsız bir şekilde kaosa gigirmesi sağlanabilir. Ayrıca devletlere ait gizli bilgiler, istihbarat birimleri ve casuslar kullan-madan çalınabilmektedir. Geçmiş yıllarda gerçekleşmiş olan siber savaşlardan örnekler aşağıda yer almaktadır:

Çöl Fırtınası Operasyonu (1991): Körfez Savaşı sırasında Hollandalı bilgisayar korsanları tarafından Pentagon bilgisayar sistemine sızılmış, askeri personel bilgileri gibi gizli olma-yan tasnif dışı veriler ele geçirilmiştir.

Ay ışığı Labirenti (1998): Pentagon, NASA ve ABD Enerji Bakanlığı, askeri kurumlar ve üniver-siteler Mart 1998’de Ay Işığı Labirenti olarak ni-telendirilen bir siber saldırıya uğramıştır. Bu ku-rumlardaki askeri gizli bilgiler çalınmıştır. Ameri-kan istihbarat yetkilileri tarafından bu siber

2008'de Gürcistan'a savaş açtı. Bu savaş başlamadan önce siber savaş zaten başlamıştı. Saldırılar, 20 Temmuz 2008 tarihinde Gürcistan Devlet Başkanı Mihail Saakaşvili’nin internet sitesi olan www.president.gov.ge adresini hedef aldı. Bu saldırıların başını çeken DDoS saldırıları idi. Askeri harekâtın başladığı tarihte ise Gür-cistancistan internet sitelerine yönelik saldırılar artmış, birçok siteye erişim engellenmiş ve bazı site içerikleri değiştirilmişti. Bu eylemler hiçbir fizik-sel zarar vermedi. Ancak bu saldırılar çatışmanın çok kritik bir aşamasında Gürcistan hükümetini zayıf düşürmeye yönelik siber saldırılardı. Ayrıca hükümetin şaşkına dönen ulusal ve küresel kamuoyu ile iletişim yeteneğini de etkilediler. Dünya kamuoyu psikolojik olarak etkilenmiş, Gürcistan’a yönelik saldırıların haklı olduğuna yönelik bir imaj oluşturulmaya çalışılmıştır.

Kırgızistan (2009): 2009 yılının başlarında ABD, Kırgızistan’da bir üs kurmak için girişimlerde bu-lundu. Bu girişimin hemen sonrasında Kırgızistan’ın dört ISP’si (İnternet servis sağlayıcısı) siber saldırılara maruz kalarak batı Kırgızistan’ın %80’ine belli bir süre internet hiz-meti verilememesine sebep olmuştur. Saldırıların üs kurulmasına ilişkin müzakerelerin hemen ardından gelmesi, şüphelerin Rusya üzerine yoğunlaşmasına sebep olmuştur.

2010 yılı ve öncesindeki siber saldırılarda genel-likle hedeflenen sistemleri DDoS saldırıları ile ulaşılamaz hale getirme, provokasyon yapmak ve halkı yanıltmak amacıyla web sitesi içeriği değiştirme veya başka siteye yönlendirme ya da istenmeyen e-posta gönderme gibi çeşitli yön-

casusluğun arkasında Rusya’nın olduğu belirtilmiştir.

NATO Kosova krizi (1999): Kosova krizi sırasında NATO uçaklarının kazara Çin büyükelçiliğini vurması ile Çin kızıl hacker ittifakı oluşturulmuş ve NATO, ABD askeri web sitelerine saldırmışlardır.

EsEstonya Siber Savaşı (2007): İkinci Dünya Savaşı sırasında Estonya, Sovyetler Birliği ile birlikte, Almanya’ya karşı savaşmıştı. Savaş sona erince Bronz Asker Anıtı dikildi. Bu heykel, Estonya’nın Nazi istilasından korunması amacıyla Sovyetler Birliği’nin verdiği mücadeleyi sembolize edi-yordu. 26 Nisan 2007’de Estonya, Bronz Asker HeyHeykeli'ni yerinden kaldırdı. Bir gün sonra heykelin kaldırılması Rusya tarafından kınandı. Daha sonra ise ülkede ayaklanmalar çıktı. Rusya yanlısı göstericiler ülkenin çeşitli yerlerinde gösteriler yapmaya başladı. Özellikle başkent Tallinn’de ayaklanmalar ve yağmalamalar başladı. 27-29 Nisan 2007 tarihleri arasında devletindevletin internet sayfaları ele geçirildi; ufak çaplı DDoS saldırıları başladı; ulusal e-posta sunucularına ve haber portallerine spam saldırıları düzenlendi. Dördüncü günden iti-baren, özellikle 30 Nisan-18 Mayıs tarihleri arasında daha organize saldırılar yapıldı. Ulusal bilgi sistemleri, internet hizmet sağlayıcıları ve bankalara büyük zararlar veren saldırılar oldu.

Gürcistan Siber Savaş (2008): Gürcü kuvvetler, 8 Ağustos 2008 tarihinde bağımsızlığını ilan eden Güney Osetya topraklarına operasyon düzenle-diler. Rusya da bu olayın ardından 11 Ağustos

temler kullanılırdı. Bahsedilen siber tehditlerden daha tehlikeli sonuçlar doğurabilecek sistemlere fiziki zararlar verebilecek ve ileri siber casusluk tehditlerinin kullanıldığı zararlı yazılımlar ortaya çıktı.

Stuxnet, Duqu, Flame, Gauss20102010 yılı ve öncesindeki siber saldırılarda genel-likle servis dışı bırakma, spam mail gönderme, web sitesi içeriği değiştirme/yönlendirme ile provokasyon yapma ve halkı yanıltma amacıyla saldırılar kullanılırdı. Bu tehditlerden daha teh-likeli sonuçlar doğurabilecek ve ileri siber casus-luk tehditlerinin kullanılarak sistemlere gerçek hasar verebilecek zararlı yazılımlar ortaya çıktı. Özellikle endüstriyel sistemler gibi kritik alt yapıları hedef alan zararlı yazılımlar İran’ın iddia edilen nükleer faaliyetlerini durdurma/kontrol altına faaliyetlerinin hemen arkasından geldi. Siber casusluk, istihbarat ve siber sabotaj için oluşturulmuş bu yazılımlar çok büyük bütçeler, devletdevlet desteği ile organize çalışılarak hedef olarak belirlenmiş sistemlere yönelik yazılıyordu. Endüstriyel sistemleri yönetmek için kullanılan sistemler Supervisory Control and Data Acqus-tion kelimelerin baş harflerinden oluşan SCADA terimi ile Türkçede “Merkezi Denetim ve Veri Toplama” olarak karşılık bulmaktadır.

SCADA sistemi geniş alana yayılmış üretim te- sislerin bir merkezden bilgisayar aracılığı ile izlenmesi ve kumandası olarak tanımlanabilir. SCADA sistemleri, birçok alanda faaliyet göster-mektedir. Su, elektrik, doğalgaz, petrol rafine- riler, termik ve nükleer santraller, enerji nakil hatları, uydu kontrol merkezleri, köprü, otoyol,

sanayi tesislerine kadar hayatın tüm alanlarında çok önemli işlevlere sahiptir.

20062006 yılında Amerikan askeri ve istihbarat yet-kilileri gizli bir siber savaş programı hazırladılar. Bu programın amacı İran'ın uranyum zenginleştirme programını durdurmaktı. Kod adı "Olimpiyat Oyunları" olan bu program ile Ameri-kan ulusal laboratuvarlarında İran’ın Natanz kentindeki var olan nükleer santrallerinin sanal bir kopyası çıkartıldı. Amerikan NSA ve İsrail UNIT8200 adlı istihbarat kurumlarının beraber çalışarak hazırlandıkları proje ile o ana kadar görülmüş en karmaşık zararlı yazılım oluşturuldu. 2010 yılında yaklaşık 1000 santrifüj, ki bu sayı İran’daki çalışır durumda olan santrifüj sayısının 1/5'ine denk gelmektedir, hedef alınıp donanımlarıdonanımları çalışılamaz hale getirildiği iddia edilmektedir.

Stuxnet ilk defa haziran ayının ortalarında anti virüs üreticileri arasında çok da popüler olmayan Belarus menşeli küçük bir firma olan VirusBlok- Ada [VIRUSBLOKADA] tarafından tespit edildi. İlk incelemeler virüsün standart bir solucan olmadığını zaten gösteriyordu. Fakat stuxnet’in teknik analizi yapılırken işin boyutu farklı nokta-laralara geldi. Özellikle solucanın çok karmaşık yapısı, kullandığı taktikler ve hedefi göz önüne alınınca, siber savaş adı altında yıllarca dillen-dirilen senaryoların aslında çok da gerçek dışı olmadığı ortaya çıktı. Stuxnet zararlı yazılımından yaklaşık 130.000 bilgisayarın etkilendiği belirtilmektedir. Ayrıca dünya üze- rinde Stuxnet bulaşan bilgisayarların %60'ı İran’da yer almaktadır. [OLYMPICGAMES]

faaliyet gösteren diğer faaliyet ve kuruluşlarda da artış olmuştur.

ZURICHZURICH Grubu’nun her yıl gerçekleştirdiği ve hem kişileri hem de iş dünyasını etkileyecek riskleri araştıran “2017 Küresel Risk Raporu” açıklandı. Her yıl yapılan araştırma, sadece riskleri analiz etmekle kalmıyor, 10 yıllık süreçte küresel gündemi belirleyecek en önemli trendler ile bu trendlerin küresel risklerle olan bağlantılarınıbağlantılarını da ortaya koyuyor. Küresel Risk Raporu’na göre de 2017 için en büyük riskler grubunda terörden sonra siber saldırılar ikinci sırada yer alıyor. Küresel Risk Raporu’nu değerlendiren Zurich Türkiye CEO’su Yılmaz Yıldız, dikkat çeken siber riskler için “Türkiye, geçtiğimiz 5-10 yıllık dönemde dijitalleşmede çokçok önemli mesafeler katetti. Bireylerin yaklaşık yarısı bilgisayar sahibi. Cep telefonu kullanım oranı yüzde 97, internet erişimi yüzde 70’ler se-viyesinde. İnternet bankacılığı kullanımı 45 mil- yonlar seviyesinde. E- ticarete baktığınızda 6 milyar dolardan büyük bir piyasa olduğunu görüyoruz. Siber korsanların kimlik bilgilerini, telefonunuzdan banka şifrelerini herşeyi çalmaları mümkün. Türkiye’de siber risklerle mücadele konusunda hem kamu otoriteleri hem de özel sektör yoğun bir çaba içerisinde. Biz de bu alandaki yaratıcı ürünlerimizle siber risklerin azaltılmasına katkı sağlıyoruz. Özellikle birey-lerden gelen talep de çok fazla. Bireysel kullanıcı iseniz siber dolandırıcılara karşı çok korumazsınız.” ifadelerine yer verdi.

Türkiye İçişleri Bakanlığı’nın hazırladığı Jandar-ma İstihbarat raporu da ‘siber savaşın’ boyutunu

Stuxnet’in keşfinden bir sene sonra Duqu adı verilen yeni bir zararlı yazılım daha keşfedildi. Endüstriyel sistemler hakkında bilgi toplamak için oluşturulan bu zararlı yazılım muhtemelen Stuxnet öncesi istihbarat sağlamak amacıyla oluşturulmuştur. Böylece Stuxnet’in daha etkin çalışması sağlanmıştır.

BiBirer sene aralıklarla tespit edilen siber silahlara bir yenisi daha eklenmişti: Flame en büyük en karmaşık siber casusluk yazılımı olarak ortaya çıkan bu yazılım senelerce siber ortamda bilgi toplarken kendisini devamlı güncellemesi ile an-tivirüs tarayıcıları tarafından tespit edilememiştir. 2012 yılında tespit edildiğinde diğerdiğer zararlı yazılımların aksine çok büyük (20MB boyutunda) olması ve modüler olması diğer zararlı yazılımlardan kendisini ayırıyordu. Stuxnet ve duqu örneklerinde olduğu gibi geliştiricileri tarafından dahi bilinmeyen açıklıkları kullanarak uzun süre faaliyet göstermiştir.

2012 yılında çıkan yeni siber silahlardan birisi de Gauss’tu. Bu zararlı yazılım yine Ortadoğu’yu hedef almış fakat bu sefer endüstriyel kontrol sistemleri yerine finansal bilgileri hedef alıyordu.

Rusya’nın,Rusya’nın, ABD’nin ve Çin’in güçlü istihbarat ağına ve yüksek siber yeteneklere sahip olması, başka devletler üzerinde siber tehdit oluşturmaktadır. Dolayısıyla siber tehditler ve siber güvenlik bütün ülkeler için önemli güvenlik unsurlarının başında gelmektedir. Ülkemizde de 2009 yılında siber güvenlik stratejisi olarak hazırlananhazırlanan ilk resmi belgeden sonra bu alanda

ortaya koydu. Rapora göre 2016‘nın ikinci yarısından itibaren Jandarma’ya yönelik siber saldırılar yüzde 965 arttı. Yurtdışından gelen saldırılarda da yüzde 984 artış oldu. Yapılan bu saldırılar, Jandarma Genel Komutanlığının Mu-habere Elektronik ve Bilgi Sistemleri (MEBS) bir-imleri ve sistemlerince engellendi.

McAfee Labs’in 2017 tahminlerine göre, yeni yılda siber suçlular fidye yazılımı, sofistike donanım ve donanım yazılımı saldırıları ve Nesnelerin İnterneti ile “akıllı ev” sistemlerine yönelik saldırılar konularına odaklanacak. Sosyal mühendislik saldırılarını geliştirmek üzere makine öğreniminin kullanımı artacak. Bununla birlibirlikte siber güvenlik sektörü ile kanun koyucu-lar arasındaki iş birliği güçlenecek.

2017’nin öne çıkan siber tehdit öngörüleri ise şunlar: – Fidye yazılımı saldırıları 2017 yılının ikinci yarısında hem hacim hem de etkinlik anlamında düşüş gösterecek.– Windows odaklı ‘exploit’ tehditlerin sayısı azal-maya devam edecek ancak altyapı yazılımı ve sanallaştırma yazılımını hedef alan ‘exploit’ saldırılarında artış beklenecek.– Donanım ve donanım yazılımı, siber suçluların radarında yer almaya devam edecek.– Laptop üzerinden çalışan yazılım kullanan hacker’lar, pek çok farklı amaçla drone kaçırma eylemleri gerçekleştirecek.– Siber hırsızlar mobil cihaz kilitlerini hedef alan mobil saldırılarla bilgi hırsızlığı gerçekleştirecek ve banka hesapları ve kredi kartı gibi finansal bilgileri elde edebilecek.

– Nesnelerin İnterneti odaklı zararlı yazılımlar, akıllı ev sistemlerine sızacak ve bu alanın güvenliği göz ardı edilirse varlıkları yıllarca fark edilmeyebilecek.– Makine öğrenimi, sosyal mühendislik saldırılarının hem sayılarının artmasını hem de daha sofistike hale gelmelerini sağlayacak.–– Sahte reklamlar ve satın alınan “beğeni”ler nedeniyle dijital dünyada güven hızla azalmaya devam edecek.– Reklam verenler arasındaki reklam savaşları şiddetlenecek ve yeni teknikler geliştirilecek, bu teknikleri kopyalayan siber suçlular da zararlı yazılım dağıtım kabiliyetlerini güçlendirecek.–– Politik ya da sosyal amaçlı hack’leme eylemle- rinde bulunanlar, kişisel gizlilikle ilgili konuları açığa çıkarmada önemli bir rol oynayacak.– Siber güvenlik endüstrisi ile kanun koyucular arasındaki güçlenen iş birliği sayesinde artan uygulamalarla siber suçların önüne geçilmede önemli bir adım atılacak.–– Tehditlerle ilgili bilgi ve istihbarat paylaşımı, bu alanda pozitif gelişmeler yaşanmasını sağlayacak.– Siber casusluk, ulus-devletlerde olduğu gibi özel sektör ve yer altı suç dünyasında da yaygınlaşacak.–– Fiziksel ve siber güvenlik endüstrilerinde yer alan kurumlar dijital tehditlere karşı daha gelişmiş ürünler sunmak üzere birlikte hareket etmeye başlayacak.

NNATO’da siber güvenlik elçisi olarak görev yapan Kenneth Geers, 2017’de siber savaşların hızlanacağını, psikolojik operasyonlar dönemi başlayacağını, askeri anlamda, özellikle sosyal

analizinin, siber alanda saklanmayı herkes için güç hale getireceğini söyledi.

KültüKültürel dönüşüm süreci ile birlikte, bilgi ve iletişim teknolojilerini etkin ve yaygın bir şekilde kullanan milyarlarca internet kullanıcısı bulun-makta ve günde milyarlarca e-posta gönder-ilmektedir. Yapılan araştırmalara göre 2020 yılına gelindiğinde internete bağlı cihaz seviyesinin 50 milyara çıkması öngörülmektedir. Aynı araştırmalara göre; 2020 yılında dünyada kişi başına düşen birbirleriyle bağlantılı cihaz oranının yüzde 6,48’e çıkması bekleniyor. Ayrıca 2020 yılında, 20 adet tipik ev cihazının üreteceği bilgi trafiğinin, günümüzde üretilen tüm internet trafiğinden daha fazla olacağı tahmin edilmek-tedir.

İnternet şu anda bile dört bir yanımızda. Yıllardır arabaların bilgisayarları vardı, şimdi de internete bağlanıyorlar. Sırada evler var. Buzdolabı, derin dondurucu ve çamaşır makinesi çevrimiçi çalışacak. En büyük atılım makinelerle bütünleşip internetin ağına tam düştüğümüzde gerçekleşecek. Bu duruma "tekillik" deniyor. Yani bibiyoloji ve teknolojinin birleşmesiyle insan ve makinenin bir bütün olması. Tekillik düşüncesinin en ünlü savunucusu Google'ın fi-nanse ettiği Singularity (Tekillik) Üniversitesi rek-törü, yapay zekâ ve bilgisayar uzmanı Ray Kurz-weil. Kurzweil 2029'a kadar bilgisayarların insan-lardan daha akıllı olacağına inanıyor. Doktorlar bugün bezelye kadar aygıtları Parkinson hastalarının beyinlerine yerleştirebiliyorlarsa, (Kurzweil'e göre) 20 yıl sonra elimizde kan hücresi boyutunda aygıtların olması mümkün

medya platformlarına odaklanan yeni bir psikolojik operasyonlar (PSİKOP) dönemi başlayacağını söyledi. Otoriter rejimle yönetilen bir ülkede, hatta belki Rusya, Çin, İran ya da Kuzey Kore’de, internetin getirdiği hızlı bir devrim yaşanacağı, internetin muhalif vatandaşların elinde çok büyük güç olduğunu ve bubu gücün dinamik, tahmin edilmesi güç bir siyasi ortamın oluşmasına yol açacağı üzerinde durdu.

Bu durumun otokratik rejimlerin internet üzeri-nde büyük bir baskı kurmalarına sebep olacağını ve bu durumun da kısa vadede, tüm vatandaşlar için vahim sonuçlar doğuracağını belirtti. Gel-ecek seçimlerin, e-devlet hizmetlerinin ve dijital toplumu koruma yöntemlerinin 2017’de çok tartışılacağı, siber silah kontrolüne yönelik ilk gerçek girişimlere şahit olunacağı üzerinde duran Geers, dünyanın büyük bir hızla Sanal Gerçeklik (SG) dünyasına dönüşeceği ve suç, ca-susluk, devrim ve savaşların, bu yeni dünyada var olmaya devam edeceğini belirtti. Siber alan-daki barış ortamının, internet üzerinde hâkimiy-et kurma isteği yüzünden sürekli bir savaş ortamı şeklinde seyredeceğini ve bu durumun, kritik ulusal altyapılardaki internet güvenliği açısından olumsuz sonuçlar doğuracağını söyle-di. Geers, ABD’de Nesnelerin İnterneti üzerinden yapılan siber saldırılara da dikkat çekerek, uluslararası askeri bilgi ve istihbarat hacker’ları için patlama merkezi haline geleceğini, tost makineleri ve mikrodalga fırınların, yaygın kullanılan casusluk araçları olacağını dile getirdi. Her yere sirayet eden, nesneleri birbirine bağlayan nesnelerin interneti ve stratejik trafik

gibi. Gelecekte insan ve robot karışımı sibernetik organizmalara dönüşmemiz mümkün. Niha- yetinde biz internetin bir parçasına dönüşeceğiz, internet de bize.

Kaynaklar

[SMITSHONIAN] https://goo.gl/l7gC6c

[HILDRETH] HildHildreth, S. A. (2001), "Cyberwarfare Congres-sional Research Service Report for Congress", Congressional Research Service & The Library

[INTIFADA] C.16, S.2 Yrd.Doc.Dr.Muharrem GURKAYNAK, Adem Ali IREN - Reel Dunyada Sanal Acmaz: Siber Alanda Uluslararası Ilişkiler

[VIRUSBLOKADA] https://goo.gl/WNJq4W

[OLYMPICGAMES] https://goo.gl/vnE45y https://goo.gl/vlcCv2https://goo.gl/7ZismKhttps://goo.gl/jCQP38https://goo.gl/iUCeh1https://goo.gl/iUCeh1https://goo.gl/8x5YDehttps://goo.gl/ChkhE2https://goo.gl/QdKQglhttps://goo.gl/Okiatfhttps://goo.gl/IPLHgs

Kaynak: [DHA] https://goo.gl/vCc9kt

dor, Kenya, Birleşik Krallık ve Rusya’da bulunu- yor. Saldırganların kimliği henüz bilinmese de baş şüpheliler olarak GCMAN ve Carbanak gruplarının isimleri anılıyor. Açık kaynaklı kötü niyetli kodlar, her gün kullanılan Windows uygulamaları ve tanınmayan alan adları sebe- biyle sorumluların bulunması veya yapılanlar tek birbir grubun yoksa aynı araçları kullanan birden fazla grubun işi olup olmadığının anlaşılması neredeyse imkansız. Kullanılan araçlar saldırılar hakkında detaylı bilgi edinilmesini zorlaştırıyor. Normal bir süreçte araştırmacılar bir olay sonrasında saldırganların ağda bıraktıkları izleri takip ederler, ancak bir sabit sürücüdeki veriler aylaaylarca erişilebilir kalsa da, bellekte kalan izler bilgisayarın yeniden başlatılmasıyla birlikte silinir fakat söz konusu olayda uzmanların bu sefer zamanında yetişebilmiş olmaları yapılan saldırıların ölçeğinin anlaşılmasına yardımcı oldu. Kaspersky Lab Baş Güvenlik Araştırmacısı Sergey Golovanov, saldırganların, faaliyetlerini saklamaksaklamak ve olaylara müdahale edilmesini zorlaştırmak konusundaki kararlılığının, adli in-celemeleri zorlaştıran benzeri tekniklere ve bellek odaklı zararlı yazılımlara olan eğilimi açıklar nitelikte olduklarını söyledi ve ekledi:”Bu sebeple bellek odaklı adli bilişim, zararlı yazılımların ve işlevlerinin analizi konusunda kritik önem kazanmaktadır. Söz konusu olay-larda saldırganlar akla gelebilecek her türlü adli inceleme karşıtı tekniği kullanmışlar; zararlı yazılım kullanmadan bir ağdan başarılı bir şekilde nasıl veri sızdırılabileceğini ve meşru vveya açık kaynaklı uygulamalar yardımıyla kim-liklerini başarıyla saklayabildiklerini göstermişlerdir.”

Küresel siber güvenlik şirketi Kaspersky Lab uzmanları sadece meşru yazılımlar kullanan, bir dizi hedefli “görünmez” saldırı tespit etti. Saldırılar, karışık bir yaklaşım sayesinde beyaz listeleme teknolojilerinden faydalanarak tespit edilemiyor ve adli araştırmacılar için geride neredeyse hiç bir iz veya zararlı yazılım örneği bırakmıbırakmıyor. Saldırganlar sadece istedikleri bilgiyi elde etmelerine yetecek kadar bir süre sistemde kalıyor. Sistem yeniden başlatıldığında ise arkalarında bıraktıkları tüm izler siliniyor.

Meşhur GCMAN ve Carbanak gruplarının baş şüpheliler olduğu saldırılarda öncelikli hedefler arasında ABD, Güney Amerika, Avrupa ve Afrika’daki bankalar, telekomünikasyon şirketleri ve devlet kurumları yer alıyordu. 2016’nın so-nunda BDT ülkelerindeki birçok banka Kaspersky Lab uzmanlarıyla irtibata geçerek, orada olmamasıolmaması gerektiği bir zamanda sunucularının belleklerinde, Meterpreter adlı penetrasyon testi yazılımını bulduklarını bildirdiler. Kaspersky Lab’ın incelemeleri sonucunda Meterpreter yazılımının, diğer bazı yardımcı uygulamalarla birleştirildiği keşfedildi. Birleştirilen bu araçların, bellekte gizlenerek sistem yöneticilerinin şifşifrelerini toplayan ve böylece saldırganlara kurbanlarının sistemlerini uzaktan kontrol imkanı sağlayan zararlı kodlara adapte edilmiş olduğu ve finansal işlemlere erişim sağlamayı hedeflediği ortaya çıktı. Kaspersky Lab tarafından ortaya çıkarılan tabloya göre, çeşitli sektörlerde faaliyet gösteren 140’ın üzerinde büyükbüyük ölçekli kuruluşun ağları saldırıya uğramış ve aralarında Türkiye’den şirketlerin de bulunduğu kurbanların çoğu ABD, Fransa, Ekva-

IBM Trusteer araştırmacıları tarafından yapılan bildirimlerde GootKit v2’nin yeni yapılan kon-figürasyon güncellemeriyle Uk içerisindeki 21 bankadaki kişisel müşterileri hedef aldığı görü- lüyor. Malware’in önümüzdeki günlerde daha farklı bölgelere ve kullanım alanlarına sıçraması bekleniyor.

Yeni EklenenlerGootKit için yapılan güncelleme incelendiğinde malware’in detection sistemlerini geçmek için deployment akışının değiştirildiği görülmüştür. Ayrıca Persistance Setup ve binary dosyalarının da değiştirildiği görülmüştür. •• Deployment safhasında GootKit suspended state olarak mstsc.exe process’i başlatıyor.• Daha sonra droppee’yi %APPDATA%\Microsoft\Internet Explorer\ altında executable (.exe) olarak yazıyor.• OS Group Policy mekanizması leverage edi-lerek persistance sağlanıyor.• GootKit, Scheduled Task kullanarak etkilenen cihazda kalıcılığını devam ettiriyor. Bu task her dakika çalışmak üzere devam ediyor.

GootKit Hakkında20142014 yazında keşfedilen GootKit günümüzde kullanılan en gelişmiş bankacılık Trojanlarından birisi olarak nitelendiriliyor. Genellikle Avrupa’da varlık gösteriyor, kişisel ve şirket bankacılığında fraud saldırılarda kullanılıyor.

GootKitGootKit halen devam etmekte olan bir malware projesi olmakla birlikte gelişmiş gizlilik ve süreklilik göstermenin yanında etkilenen cihazın browserında direkt olarak görülebilen dinamik

web injection’lar gibi gerçek zamanlı web tabanlı aktiviteler göstermekte. En çok kullanılan üç web tarayıcı da GootKit tarafından etkilen- mekte: Internet Explorer, Mozilla Firefox ve Google Chrome.

KKendi sınıfı ve seviyesindeki diğer malware’lerin aksine GootKit geçmiş jenerasyonlardan kalma sızdırılmış Source Code’a bağlı çalışmıyor. ZeuS Trojan Web Injection Mechanism’den ödünç alınmış birkaç modül dışında tamamen private olarak node.js ile geliştirilmiş bir malware. IBM Trusteer’ın yaptığı açıklamaya göre GootKit RusyaRusya’dan küçük bir siber çete tarafından geliştirilmiş olup çete malware’in kaynak kodunu satmaya veya paylaşmaya yanaşmıyor.

Yayılma YöntemleriGootkit farklı yöntemler kullanılarak endpoint’lere aktarılabiliyor. Bunlardan sonun-cusu Aralık 2016 ve Ocak 2017’de görülmüş olup malwarein bazı Office makrolarının e-posta attachment’larından ve Godzilla Loader’dan yayıldığını gösteriyor.

Son birkaç haftadaki GootKit aktivitesine bakıldığında UK dışında US ve Fransa’da da bazı aktiviteler tespit edilmiş.

Geçtiğimiz Günlerde Görülen GootKit Aktiviteleri - IBM Trusteer

AV Algılama İsimleriAntivirüs cihazlarının ZeuS GootKit’i tespit etmesi süre alabiliyor, bazı durumlarda ise hiç tespit edemiyorlar. Bazı AV motorları tarafından belirtilen aliaslar aşağıdadır:

Win327Kryptik.FNMITTrojan.GenericKD.4226576Trojan-Dropper.Win32.Injector.qbvxRDN/Generic.hbg

Global Bakış AçısıGloGlobal olarak bakıldığında GootKit finansal mal-ware sıralamasında 8. sırada bulunuyor. Trojan 2015 yılından beri aktif durumda ve genellikle hedeflerini dikkatli bir şekilde seçiyor. Panda, Sphinx ve FlockiBot gibi varyantlar ile ZeuS trojanı %28’lik pay ile listenin başında geliyor.

Detaylı bilgi için aşağıdaki linklerden de faydala-nabilirsiniz:

https://securityintelligence.com/gootkit-bob-bing-and-weaving-to-avoid-prying-eyes/

https://securelist.com/blog/research/76433/inside-the-gootkit-cc-server/

Son birkaç haftadaki GootKit aktivitesine bakıldığında UK dışında US ve Fransa’da da bazı aktiviteler tespit edilmiş.

Malware IOCs (Indicators of Compromise)

Malicious Döküman4a8d2c1f5c6a1bf210ceaaa0114e4943

Malware Örnekleri60e079ec28d47ef85e93039c21afd19c 60e079ec28d47ef85e93039c21afd19c d2cf4a495fb23b4f60868580163ba241

CVE-2016-6269SummaSummary: Multiple directory traversal vulner-abilities in Trend Micro Smart Protection Server 2.5 before build 2200, 2.6 before build 2106, and 3.0 before build 1330 allow remote attackers to read and delete arbitrary files via the tmpfname parameter to:(1) log_mgt_adhocquery_ajaxhandler.php, (2) log_mgt_ajaxhandler.php, (3) log_mgt_ajaxhandler.php or (4) tf parameter to wcs_bwlists_handler.php.Published: 1/30/2017 5:59:00 PMCVSS Severity: v3 - 9.1 CRITICAL v2 - 7.5 HIGH

Özet:Özet: Trend Micro Smart Protection Server da birbirinden farklı directory traversal zafiyetleri tespit edilmiştir. Bu zafiyet ile uzaktan kod çalıştırma denemeleri amaçlanmış ve bu sayede yüksek ayrıcalık elde edilmeye çalışılmıştır. Trend Micro tarafından zafiyetin giderilmesi ile ilgili update yayınlanmıştır.

Detaylı Bilgi İçin: Detaylı Bilgi İçin: https://success.trendmicro.com/solution/1114913

CVE-2017-5342Summary: In tcpdump before 4.9.0, a bug in multiple protocol parsers (Geneve, GRE, NSH, OTV, VXLAN and VXLAN GPE) could cause a buffer overflow in print-ether.c:ether_print().Published: 1/27/2017 8:59:01 PMCCVSS Severity: v3 - 9.8 CRITICAL v2 - 7.5 HIGH

Özet:Özet: Tcpdump'ta buffer-overflow zafiyeti tespit edilmiştir. Bu sayede saldırgan uygulama ile rastgele kod çalıştırarak sistemi kötüye kullana-bilecektir. Ayrıca hata ile sonuçlanan exploit de- nemeleri de DOS(denialof-service)'a sebebiyet verebilmektedir. 4.9.0 versiyonundan öncekilerde zafiyet mevcuttur. Bu yüzden son sürüm önerilmesürüm önerilmektedir.

Detaylı Bilgi İçin: http://www.securityfocus.com/bid/95852/info

Kaynak: https://nvd.nist.gov/

DedikeBuBu hizmet, dedike yük dengeleme (Load Balan- cer) yönetim ihtiyacı olan müşteriler için yük dengeleme sistemi yönetimi sağlanmasını kapsar. Yük dengeleme yönetim hizmeti , Koç-Sistem tarafından sorunsuz olarak sağlanan yük dengeleme sistemi yönetimi ile müşterinin ihtiyaçları doğrultusunda gerçekleştirilir. MüşMüşteri sistemi yönetime alma öncesi Koç-Sistem tarafından gerekli testlerden geçirilir ve ancak yeterliliği onaylandıktan sonra yönetime alınır. Hizmet kapsamında sistemin merkezi yönetim sistemleri ile 7x24 izlenmesi ( online otomatik alarm mekanizması dahil ) ve proaktif yönetim sağlanmaktadır. Sistem ile ilgili olarak çağrılar, müşterinin bakım hizmeti kapsamında üretici ve/veya 3. parti bakım iş ortaklarına aktarılır ve takip edilerek sonuçlandırılır.

PaylaşımlıBu hizmet, KoçSistem veri merkezinde sanal veya fiziksel sunucusu bulunan müşteriler için sunucular arası yük dengeleme hizmeti verilme-sini kapsar. Paylaşımlı yük dengeleme iki ya da daha fazla sunucu arasında yükü paylaştırma teknolojisinin paylaşımlı bir donanım ortamından sunulmasıdır. Bu teknolojiyi kulla-narak en iyi kaynak kullanımı, en yüksek işlem hacmi, en düşük cevap süresi sağlanabilir; su-nucular üzerinde oluşan aşırı yük azaltılabilir. Tek sunucu kullanmak yerine, yük dengeleme ile birden fazla sunucu kullanarak yedekleme sağlanabilir.

Dedike ve paylaşımlı olarak, temel ve ileri seviye yük dengeleme hizmeti olmak üzere iki model sunulmaktadır. İleri seviye yük dengeleme yön-

temlerinden biri olan GSLB Yönetimi; birden fazla lokasyonda bulunan sunuculara yük dengeleme yapılması ve yüksek erişilebilirliğin sağlanması teknolojisinin yönetilmesidir.

GloGlobal Traffic Manager (GTM) ile sağlanan hizmet ile; yüksek performanslı donanım, kullanıcıların nerede ve ne zaman geçiş yaptığı konusunda işletme mantığı güderek yük denge-leme, müşteri konumuna göre en iyi kaynağın belirlenmesi (Coğrafi Konumların üçüncü parti veritabanı içerir ve aylık olarak güncellenir.), izle-menin son kullanıcıya uygulamanın en iyi şekilde kullanılabilirliğini sağlaması, veri merkezleri arasındaki oturumların kalıcılığının ve dinamik yük devrinin sağlanması, DNSSEC ortamında çalışılabilirliği gibi avantajları vardır.

Bunların yanında DNS ve uygulamaları ölçeklendirme ve yönetme, uygulama performansını ve kullanılabilirliğini iyileştirme, sağlam, esnek ve güvenli DNS altyapısı oluşturma, DNS DDoS saldırılarını kolayca ha- fifletme ve IPv4 ve IPv6 desteklemesiyle DNS güvenliğinizi de üst seviyelere çıkarır.

IDC BT Güvenliği Konferansı 2017

KKoçSistem olarak 9 Şubat tarihinde düzenlenen IDC BT Güvenliği Konferansı’nda yer aldık. Koç-Sistem BT Güvenliği Yönetilen Hizmetler Birim Yöneticisi Serkan Özden, sunumuyla beğeni top-larken; gelişen teknoloji ve artan siber tehditlere karşı sunduğumuz Yönetilen Güvenlik Hizmetlerimiz de her zamanki gibi ilgi odağı oldu.

SunumumuzdaSunumumuzda da belirttiğimiz üzere kurumlar artık her gün onlarca güvenlik tehdidi ile başa çıkmak zorunda. Bu konuların üstesinden gele-bilmek ve geleceğe emin adımlarla ilerlemek için toplam bir kurumsal bakış açısına her zamankin-den daha fazla ihtiyaç bulunuyor. Bu ihtiyacı gi-dermek adına KoçSistem geniş yönetilen güvenlik hizmetleriyle müşterilerine hizmet vermeye devam ediyor.