Etiket: Yazılım

Kaspersky, sınır ötesi siber suçları engelleme operasyonu kapsamında siber tehdit verilerini INTERPOL ile paylaşıyor
Kaspersky, sürekli gelişen siber tehditlerle mücadele için ulusal kolluk kuvvetleri ve özel sektör kuruluşlarının ortak çabalarını teşvik eden bir girişim olan INTERPOL ve Gateway proje ortaklarının yer aldığı Synergia operasyonuna katılarak, sınır ötesi siber suçlarla mücadeleye katkıda bulundu. INTERPOL üyesi 50’den fazla ülkey kapsayan bu operasyon, kimlik avı, kötü amaçlı yazılım ve fidye yazılımı saldırılarına karışan kötü niyetli altyapının bozulmasına odaklanıyor.

INTERPOL, Eylül – Kasım 2023 tarihleri arasında üç ay süren operasyon boyunca üye devletlerin kolluk kuvvetleri ve özel katılımcılar arasında siber istihbarat alışverişini koordine ederek 60’tan fazla Siber Faaliyet Raporu üretilmesini sağladı. Kaspersky, şirketin birinci sınıf uzmanları tarafından sürekli güncellenen Kaspersky Threat Intelligence ile küresel kaynaklı tehdit verileri de dahil olmak üzere, dünya genelinde tespit edilen kötü amaçlı altyapılara ilişkin verileri paylaşarak operasyonu destekledi.

Bu ortak çabanın sonucunda çeşitli siber suçlarla ilgili yaklaşık 1.300 şüpheli sunucu tespit edildi. Yetkililer kötü niyetli sunucuların %70’i hakkında işlem yaptı ve birden fazla eyalette şüpheli failleri yakalamayı başardı.

Synergia operasyonunun öne çıkanları şöyle:
- Yetkililer 31 kişiyi gözaltına aldı ve 70 şüphelinin daha kimliğini tespit etti.
- Kapatılan komuta kontrol (C2) sunucularının çoğu 26 kişinin tutuklandığı yer Avrupa’da oldu.
- Hong Kong ve Singapur Polisi sırasıyla 153 ve 86 sunucuyu kapattı.
- Güney Sudan ve Zimbabve, dört şüpheliyi tutuklayarak Afrika kıtasında en çok suçlu yakalayan ülkeler oldu.
- Bolivya, kötü amaçlı yazılımları ve bunlardan kaynaklanan güvenlik açıklarını tespit etmek için bir dizi kamu yetkilisini harekete geçirdi
- Kuveyt, mağdurları tespit etmek, saha araştırmaları yapmak ve etkilerini azaltmak için teknik rehberlik sunmak üzere internet servis sağlayıcılarıyla yakın işbirliği içinde çalıştı.
INTERPOL Siber Suçlar Direktörlüğü Müdür Yardımcısı Bernardo Pillot şunları söyledi: “Çok sayıda ülke ve katkıda bulunanların ortak çabalarıyla elde edilen bu operasyonun sonuçları, dijital alanı koruma konusundaki sarsılmaz kararlılığımızı gösteriyor. Kimlik avı, bankacılık zararlı yazılımları ve fidye yazılımı saldırılarının arkasındaki altyapıyı ortadan kaldırarak, dijital ekosistemlerimizi korumaya ve herkes için daha güvenli, daha emniyetli bir çevrimiçi deneyime bir adım daha yaklaştık.”

Kaspersky Halkla İlişkilerden Sorumlu Başkan Yardımcısı Yuliya Shlychkova da şunları ekledi: “Kaspersky, INTERPOL’ün sınır ötesi siber suçluları yakalamak için etkili bir araç olduğunu kanıtlayan operasyonlarına aktif olarak katkıda bulunuyor. Kaspersky dünya genelinde çok çeşitli siber suç operasyonlarını takibe almak için veri, bilgi ve teknolojilere sahip olsa da, INTERPOL gibi uluslararası kolluk kuvvetleri siber suçluları daha fazla araştırmak ve tespit etmek için yasal yetkiye ve kaynaklara sahip. Suça karşı daha kapsamlı ve bütünsel karşı koymayı teşvik eden iş birliğimiz, güvenliğe dair çabaları güçlendiriyor ve bireyleri, işletmeleri ve toplumu bir bütün olarak korumak için zamanında tepki verilmesini ve proaktif önlemler alınmasını sağlıyor.”

Kaynak: (BYZHA) Beyaz Haber Ajansı
Şubat 2, 2024
KOBİ’lerin tedarik zinciri saldırılarından korunması için sekiz öneri
Tedarik zincirleri küresel ticareti ve refahı kolaylaştıran bağlayıcı dokulardır. Birbiriyle örtüşen ve ilişkili şirketlerden oluşan bu ağlar giderek daha karmaşık hale geliyor. Çoğu yazılım ve dijital hizmet tedariğini içeriyor, çevrimiçi etkileşimlere dayanıyor. Bu da onları kesintiye uğrama ve tehlikeye girme riskiyle karşı karşıya bırakıyor.

Özellikle KOBİ’ler tedarik zincirlerinde güvenliği yönetmek için proaktif bir arayış içinde olmayabilir ya da bu konuda yeterli kaynağa sahip değildir. Şirketlerin ortaklarına ve tedarikçilerine siber güvenlik konusunda körü körüne güvenmesi mevcut şartlarda sürdürülebilir değil. Dijital güvenlik şirketi ESET tedarik zincirinde gizlenen siber güvenlik risklerinin nasıl azaltılabileceğine yönelik önerilerde bulundu.

Tedarik zinciri riski nedir?

Tedarik zinciri siber riskleri, fidye yazılımı ve veri hırsızlığından hizmet engelleme (DDoS) ve dolandırıcılığa kadar birçok şekilde ortaya çıkabilir. Profesyonel hizmet firmaları örneğin avukatlar, muhasebeciler veya yazılım firmaları geleneksel tedarikçileri etkileyebilirler. Saldırganlar ayrıca yönetilen hizmet sağlayıcılarının (MSP’ler) da peşine düşebilir çünkü tek bir şirketi bu şekilde tehlikeye atarak potansiyel olarak çok sayıda alt müşteri işletmesine erişim elde edebilirler. Geçen yıl yapılan bir araştırma, MSP’lerin yüzde 90’ının önceki 18 ay içinde bir siber saldırıya maruz kaldığını ortaya koydu.

Başlıca tedarik zinciri siber saldırı türleri

Güvenliği ihlal edilmiş tescilli yazılım: Siber suçlular giderek daha cesur oluyor. Bazı durumlarda, yazılım geliştiricilerini tehlikeye atmanın ve daha sonra alt müşterilere teslim edilen koda kötü amaçlı yazılım eklemenin bir yolunu bulabiliyorlar.

Açık kaynak tedarik zincirlerine saldırılar: Çoğu geliştirici, yazılım projelerinin pazara çıkış süresini hızlandırmak için açık kaynak bileşenleri kullanır. Ancak tehdit aktörleri bunu biliyor ve bileşenlere kötü amaçlı yazılım ekleyip, bunları popüler depolarda kullanıma sunuyor. Tehdit aktörleri, bazı kullanıcıların yama yapmakta yavaş davranabileceği açık kaynak kodundaki güvenlik açıklarından da faydalanmakta hızlı davranıyor.

Dolandırıcılık için tedarikçileri taklit etme: Ticari e-posta tehlikesi (BEC) olarak bilinen sofistike saldırılar bazen dolandırıcıların bir müşteriyi kandırarak para göndermesini sağlamak için tedarikçilerin kimliğine bürünmesiyle gerçekleştirilir. Saldırgan genellikle taraflardan birine veya diğerine ait bir e-posta hesabını ele geçirir, devreye girip banka bilgilerinin değiştirildiği sahte bir fatura gönderme zamanı gelene kadar e-posta akışlarını izler.

Kimlik bilgisi hırsızlığı: Saldırganlar, tedarikçiye ya da müşterilerine (ağlarına erişebilecekleri) saldırmak amacıyla tedarikçilerin oturum açma bilgilerini çalar.

Veri hırsızlığı: Birçok tedarikçi, özellikle hukuk firmaları gibi özel kurumsal sırlara vakıf olan şirketler müşterileri hakkında hassas veriler depolar. Bu şirketler, şantaj veya başka yollarla para kazanabilecekleri bilgileri arayan tehdit aktörleri için cazip bir hedef teşkil eder.

Tedarik zinciri riskinin türü ne olursa olsun, sonuç aynı olabilir: Finansal ve itibar hasarı ve hukuk davaları, operasyonel kesintiler, satış kaybı ve kızgın müşteriler. En iyi uygulamaları takip ederek bu riskleri yönetmek mümkündür.
- Yeni tedarikçiler için durum tespiti yapın. Bu, güvenlik programlarınızın beklentilerinizle uyumunu ve tehdit koruması, tespiti ve müdahalesi için temel önlemlere sahip olup olmadıklarını kontrol etmeniz anlamına gelir. Yazılım tedarikçileri için bu aynı zamanda bir güvenlik açığı yönetim programına sahip olup olmadıklarına ve ürünlerinin kalitesiyle ilgili itibarlarının ne olduğuna da uzanmalıdır.
- Açık kaynak risklerini yönetin. Bu, yazılım bileşenlerine görünürlük kazandırmak için yazılım kompozisyon analizi (SCA) araçlarının kullanılması, güvenlik açıkları ve kötü amaçlı yazılımlar için sürekli tarama yapılması ve hataların derhal yamalanması anlamına gelebilir. Aynı zamanda geliştirici ekiplerinin ürün geliştirirken tasarım yoluyla güvenliğin önemini anlamalarını sağlar.
- Tüm tedarikçiler için bir risk incelemesi yapın. Tedarikçilerinizin kim olduğunu anlamak ve ardından temel güvenlik önlemlerine sahip olup olmadıklarını kontrol etmekle başlar. Bu, kendi tedarik zincirlerini de kapsamalıdır. Sık sık denetim yapın ve uygun olduğunda endüstri standartları ve yönetmelikleriyle akreditasyonu kontrol edin.
- Tüm onaylı tedarikçilerinizin bir listesini tutun. Denetim sonuçlarınıza göre düzenli olarak listeyi güncelleyin. Tedarikçi listesinin düzenli olarak denetlenmesi ve güncellenmesi, kuruluşların kapsamlı risk değerlendirmeleri yapmasına, potansiyel güvenlik açıklarını tespit etmesine ve tedarikçilerin siber güvenlik standartlarına uymasını sağlamasına olanak tanıyacaktır.
- Tedarikçiler için resmi bir politika oluşturun. Bu, karşılanması gereken SLA’lar da dahil olmak üzere tedarikçi riskini azaltmaya yönelik gereksinimlerinizi ana hatlarıyla belirtmelidir. Genel tedarik zincirinin güvenliğini sağlamak için tedarikçilerin uyması gereken beklentileri, standartları ve prosedürleri özetleyen temel bir belge görevi görür.
- Tedarikçi erişim risklerini yönetin. Kurumsal ağa erişmeleri gerekiyorsa, tedarikçiler arasında en az ayrıcalık ilkesini uygulayın. Bu, tüm kullanıcıların ve cihazların doğrulaması yapılana kadar güvenilmez olduğu, sürekli kimlik doğrulama ve ağ izlemenin ekstra bir risk azaltma katmanı eklediği “Sıfır Güven” yaklaşımının bir parçası olarak uygulanabilir.
- Bir olay müdahale planı geliştirin. En kötü senaryo durumunda, tehdidi kurumu etkileme şansı bulmadan önce kontrol altına almak için iyi prova edilmiş bir planınız olduğundan emin olun. Bu plan, tedarikçileriniz için çalışan ekiplerle nasıl irtibat kurulacağını da içerecektir.
- Endüstri standartlarını uygulamayı düşünün. ISO 27001 ve ISO 28000, tedarikçi riskini en aza indirmek için yukarıda listelenen adımlardan bazılarını gerçekleştirmenin birçok yararlı yoluna sahiptir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
Ocak 29, 2024
ESET yeni bir tehdit grubunu ortaya çıkardı

Dijital güvenlik şirketi ESET, Çin bağlantılı yeni bir APT grubunu ve bu grup tarafından kullanılan sofistike bir implant olan NSPX30’u ortaya çıkardı. ESET Çin bağlantılı APT (sürekli gelişmiş tehdit) grubunu Blackwood olarak adlandırdı.

Blackwood, implantı dağıtırken meşru yazılımlardan gelen güncelleme taleplerini ele geçirmek için ortadaki adam tekniklerinden yararlanıyor. Çin, Japonya ve Birleşik Krallık’tan bireylere ve şirketlere karşı siber casusluk operasyonları gerçekleştiriyor. NSPX30 implantı Tencent QQ, WPS Office ve Sogou Pinyin gibi yasal yazılımların güncelleme mekanizmaları aracılığıyla dağıtılıyor. Araştırma, NSPX30’un gelişiminin izini 2005 yılında Project Wood adı verilen ve kurbanlarından veri toplamak için tasarlanan küçük bir arka kapıya kadar sürüyor. NSPX30, damlalık, yükleyiciler, orkestratör ve arka kapı gibi çeşitli bileşenleri içeren çok aşamalı bir implant. NSPX30 ayrıca çeşitli Çin kötü amaçlı yazılımdan koruma çözümlerinde kendisini izin verilenler listesine ekleme yeteneğine sahip. ESET bu aktiviteyi Blackwood adını verdiği yeni bir APT grubuna bağladığını açıkladı.

ESET Research, Blackwood ve arka kapı Project Wood’u muteks adında yinelenen bir temaya dayanarak adlandırdı. Muteks veya karşılıklı dışlama, paylaşılan bir kaynağa erişimi kontrol etmek için kullanılan bir senkronizasyon aracı. 2005’teki Project Wood implantı, uygulanan teknikler göz önüne alındığında, kötü amaçlı yazılım geliştirme konusunda deneyimli geliştiricilerin işi olarak görünüyor. ESET, Blackwood adını verdiği Çin bağlantılı tehdit aktörünün en az 2018’den beri faaliyet gösterdiğini düşünüyor.

ESET telemetrisine göre, NSPX30 implantı kısa süre önce az sayıda sistemde tespit edildi. Kurbanlar arasında Çin ve Japonya’da bulunan kimliği belirsiz kişiler, Birleşik Krallık’taki yüksek profilli bir kamu araştırma üniversitesinin ağına bağlı Çince konuşan kimliği belirsiz bir kişi, Çin’de bulunan büyük bir üretim ve ticaret şirketi ve mühendislik ve üretim sektöründeki bir Japon şirketinin Çin merkezli ofisleri yer alıyor. ESET, saldırganların, erişimin kaybedilmesi durumunda sistemleri yeniden ele geçirmeye çalıştıklarını da gözlemledi.

NSPX30, damlalık, yükleyiciler, orkestratör ve arka kapı gibi çeşitli bileşenleri içeren çok aşamalı bir implant. Son bileşenlerin her ikisi de Skype, Telegram, Tencent QQ ve WeChat gibi çeşitli uygulamalar için casusluk yetenekleri uygulayan kendi eklenti setlerine sahip. Ayrıca çeşitli Çin antivirüs çözümlerinden kaçınma yeteneğine de sahip. ESET Research, meşru yazılımlar (şifrelenmemiş) HTTP protokolünü kullanarak meşru sunuculardan güncellemeleri indirmeye çalıştığında makinelerin tehlikeye girdiğini belirledi. Ele geçirilen yazılım güncellemeleri arasında Tencent QQ, Sogou Pinyin ve WPS Office gibi popüler Çin yazılımları da bulunuyor. Arka kapının temel amacı denetleyicisiyle iletişim kurmak ve toplanan verileri dışarı sızdırmak. Ekran görüntüsü alabilir, keylogging yapabilir ve çeşitli bilgiler toplayabilir.

Saldırganların engelleme yeteneği, orkestratör ve arka kapı yeni bileşenler indirmek veya toplanan bilgileri dışarı sızdırmak için Baidu’nun sahip olduğu meşru ağlarla iletişim kurarken gerçek altyapılarını anonimleştirmelerine de olanak tanıyor. ESET, NSPX30 tarafından üretilen kötü niyetli ancak meşru görünen trafiğin, ortadaki düşman saldırılarını da gerçekleştiren bilinmeyen durdurma mekanizması tarafından gerçek saldırganların altyapısına iletildiğine inanıyor.

NSPX30 ve Blackwood’u keşfeden ESET araştırmacısı Facundo Muñoz, “Saldırganların kötü niyetli güncellemeler olarak NSPX30’u tam anlamıyla nasıl sunabildiklerini bilmiyoruz zira saldırganların başlangıçta hedeflerini tehlikeye atmalarını olanak tanıyan aracı henüz keşfetmedik” dedi. Muñoz, “Ancak bu yetenekleri sergileyen Çin’e bağlı tehdit aktörleriyle ilgili kendi deneyimlerimize ve Çin’e bağlı başka bir grup olan MustangPanda’ya atfedilen yönlendirici implantlarıyla ilgili son araştırmalara dayanarak, saldırganların kurbanların ağlarına, muhtemelen yönlendiriciler veya ağ geçitleri gibi savunmasız ağ cihazlarına bir ağ implantı yerleştirdiğini tahmin ediyoruz” diye açıklama yaptı.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Ocak 26, 2024

Etiket: Yazılım

Kaspersky, sınır ötesi siber suçları engelleme operasyonu kapsamında siber tehdit verilerini INTERPOL ile paylaşıyor

KOBİ’lerin tedarik zinciri saldırılarından korunması için sekiz öneri

ESET yeni bir tehdit grubunu ortaya çıkardı