İçindekiler
Dergi Arşivi

Siber Güvenlik

Eda Hande YAĞCI / Programcı (Sanayi Genel Müdürlüğü)

 

Türkiye Siber Güvenlik Stratejisi Belgesinde, siber güvenliğin; “Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilgi/verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber güvenlik olayı öncesi durumlarına geri döndürülmesini” ifade ettiği belirtilmiştir [1]. Bu kapsamda siber saldırıların türü, nereden geldiği ve stratejik teknik altyapısının ne olduğunun analiz edilip bilinmesi kritik bir öneme sahiptir.

Siber Saldırılar
Oltalama Saldırısı - Muddywater
Saldırı vektörü, e-posta eki olarak gönderilen makro tabanlı dokümanlar olduğu anlaşılan saldırının, 2018 Ocak ile Mart ayları arasında Orta Doğu ve Orta Asya’daki işletmeleri hedef alan ve başta Türkiye, Pakistan ve Tacikistan olmak üzere birçok ülkenin kritik sanayi tesisini hedef aldığı görülüyor. Kullanıcının dosyayı tıklayarak yazılımı aktif hale getirmesi sağlanıyor [2].


Şekil 1. Türkiye’deki Kullanıcıları Hedef Alan Bir E-Posta


Memcached Sunucuları Kullanarak Dağıtık Hizmet Dışı Bırakma Saldırıları
Kod deposu olarak bilinen GitHub, 28 Şubat 2018 tarihinde bugüne kadar kaydedilen en büyük DDos saldırısına uğradı. Şekil 2’te görüldüğü gibi 1.35 Tpbs veri akışına maruz kalan web sitesi bir süre hizmet veremedi [3].

 

Şekil 2. GitHub Saldırı Hacmi

ABD merkezli bir müşterisinin, Şekil 2’de görüldüğü gibi saniyede 1,7 Tbps’lik veri akışının yaşandığı bir DDoS saldırısına maruz kaldığı açıklandı [4].


Şekil 3. Arbor Network Raporu Saldırı Hacmi

Her iki saldırının ortak noktası web uygulamalarını ve sitelerini hızlandırmak için kullanılan memcached sunucularının kullanılmasıydı [2].

Slingshot Casus Yazılımı


Şekil 4. Küresel Saldırı Coğrafyası

Slingshot operasyonu, araştırmacıların yazılan karakterleri kaydeden şüpheli bir programı fark edip kodun başka bir yerde kullanılıp kullanılmadığını görmek için davranışsal tespit işareti oluşturmasının ardından keşfedildi. Slingshot’ın en çok dikkat çeken özelliği, çok yaygın olmayan saldırı yöntemlerini kullanması. Şimdiye kadar Türkiye ile birlikte Kenya, Yemen, Afganistan, Libya, Kongo, Ürdün, Irak, Sudan, Somali ve Tanzanya’da Slingshot ve ilgili modüllerden etkilenen 100 civarında kurban tespit edildi. Daha fazla kurban keşfedildikçe çoğunda yazılımın ele geçirilmiş yönlendiricilerden bulaştığı görüldü. İndirilen zararlı bağlantı arşivinin kullanıcının bilgisayarına inerek çalıştığı gözlemlenmiştir. Yüklenen çok sayıda zararlı modülle, verilerin dışarı aktarılması kolaylaşmaktadır [5].

Arka Kapı İçeren BitTorrent Yazılımındaki Tehlike
2018 Mart ayının ilk haftasında MediaGet olarak adlandırılan BitTorrent istemcisinin arka kapı içeren bir varyasyonu nedeniyle yaklaşık yarım milyon bilgisayara zararlı yazılım bulaştığı tespit edildi [6]. Microsoft Defender araştırma bölümü tarafından keşfedilen ve ciddi bir zarara yol açmadan önce engellenen saldırıda Türkiye, Rusya ve Ukrayna hedef alınmıştır.


Şekil 5. Yazılımın Güncelleme Mekanizmasının Deforme Edilmesi

Detaylı araştırmalar sonucunda saldırının Media Get BitTorrent yazılımının güncelleme mekanizmasını hedef alarak yapıldığı, imzalı mediaget.exe, update.exe programını indirip yeni mediaget.exe’yi indirmesini sağlamak için çalıştığı belirlenmiştir ki orijinali ile aynı özelliklere sahip arka kapı içeren yazılım indirilmesi sağlanmıştır.

Arka kapı içeren zararlı BitTorrent yazılımı, kripto para madenciliği yapıyor. Kurbanların bilgisayarlarına uzak URL adreslerinden zararlı yazılım da indirebildiği belirtiliyor.

 

Şekil 6. Arka Kapı İçeren Yazılım İndirilmesi

Windows 10, Windows 8.1 ve Windows 7’de Microsoft Security Essentials ya da Windows Defender AV çalıştıran kullanıcıların bu saldırıdan etkilenmediği biliniyor [2].

SWIFT Oltalama Saldırısı
2018 Şubat ayının başlarında bankalar arası para transfer sistemi olan SWIFT’i hedef alan yeni bir oltalama saldırısı keşfedildi. Kurbanların kredi kartı bilgilerinin çalınmasının yanı sıra, kullanıcıların cihazları Adwind RAT adı verilen bir uzaktan erişim aracı ile enfekte oluyor. Kullanılan e-postalarda, kullanıcılara hesaplarından havale işlemi başlatıldığı belirtilip kullanıcının eklentiye tıklaması sağlanıyor ve Adwind zararlı yazılımı kullanıcının bilgisayarına bulaşıyor.

Zararlı yazılım kullanıcının yazılım sistem kayıt defterini değiştirip, antivirüs kurulumunu kontrol ediyor. Böylece cihaza zararlı dosyalar yükleniyor ayrıca Windows Geri yükleme seçeneğini devre dışı bırakmaya çalışıyor ki kullanıcı fark etmeden “Kullanıcı Hesap Denetimi” özelliğini kapatmış oluyor [2].
Kullanıcının saldırılardan korunması için kaynağı belli olmayan e-postaların açılmaması, içeriğindeki bağlantılara tıklanmaması veya eklentilerin indirilmemesi; indirilen eklentilerin açılmadan önce taratılması önerilmektedir.

GandCrab Fidye Yazılımı


Şekil 7. GandCrab Fidye Yazılımı

2018 Şubat ayının başında Rus siber saldırı topluluğu tarafından Dark Web üzerinde reklamı yapılan GandCrab adında bir fidye yazılımı keşfedildi.

Yazılım sisteme enfekte olduğunda ödeme yapılmazsa ödenmesi gereken tutar iki katına çıkıyor. Ödemenin Dash kripto para ile yapılmasına izin veriliyor ve hizmet bit alan adını içeren bir sunucu tarafından sağlanıyor.

Fidye yazılımının Dark Web üzerinde yapılan reklamında; fidye ortaklarının, Bağımsız Devletler Topluluğu ülkelerini (Azerbaycan, Ermenistan, Beyaz Rusya, Kazakistan, Kırgızistan, Moldova, Rusya, Tacikistan, Türkmenistan, Özbekistan ve Ukrayna) hedef olarak seçemeyecekleri belirtilmiştir [7].

Saldırıdan yaklaşık bir ay sonra, fidye yazılımının şifresini çözen ücretsiz bir araç piyasaya sürülmüştür.

İzlanda’da Kripto Para Madenciliği Amaçlı Bilgi Hırsızlığı
Bitcoin ve kripto para birimlerine yönelik kripto para borsalarına saldırdıkları, madencilik zararlı yazılımı ve fidye yazılımı yaydıkları hatta kripto para yatırımcılarını kaçırdıkları ve bitcoin borsasını soymayı denedikleri belirtiliyor.

POS Cihazlarından Kart Bilgileri Çalınabiliyor
POS (point-of-sale) cihazlarından, özgün bir tekniğe dayalı olarak ödeme yapılan kart bilgilerini çalan yeni bir zararlı yazılım türü keşfedildi.

ABD, Çin, Kore, Türkiye veya Rusya yerine İsviçre’de konuşlu bir komuta kontrol sunucusuyla bağlantılı olan zararlı yazılım örneğinin zip arşivi olan taşıyıcı dosyası bulunmakta olup tehdide yönelik yapılan araştırmalar esnasında; zararlı yazılım örneğinin haberleştiği komuta kontrol sunucularından birisinin aktif olduğunun ortaya çıkmasıyla, gerçek zararlı yazılımın komuta kontrol sunucularıyla iletişim kurabileceği tespit edilmiştir.

Hidden Cobra Grubu’ndan (LAZARUS) Siber Saldırı Analizi (STM)
8 Mart 2018 tarihinde tespit edilen ve “Hidden Cobra Targets Turkish Financial Sector With New Bankshot Implant” başlığı ile yabancı kaynaklarda yer alan “Türkiye Finans Sektörüne Yönelik Siber Saldırı” iddiaları doğrultusunda “Lazarus Grup (Hidden Cobra)” adı ile bilinen “Siber Suç Örgütünün” saldırıları gerçekleştirdiği belirtilmiştir. Türkiye’nin Finans Sektörü hedef alınarak “Bankshot” zararlı yazılımının (malware) bir varyantının kullanıldığı ve kurbanın bilgilerini elde ederek, belirli finansal kuruluşların sömürülmesi amaçlanmıştır [8].

Grubun gerçekleştirdiği tahmin edilen saldırılar aşağıda sıralanmıştır:
1. Kuzey Kore, anlık kripto kullanıcılarını hedefledi.
2. İngiliz Hükümeti WannaCry sebebiyle Kuzey Kore’yi suçluyor.
3. DHS ve FBI, Kuzey Kore Bağlantılı Malware “FALCHILL” ve “VOLGMER” için alarma geçti.
4. Kuzey Kore’nin DDoS BotNet altyapısı.
5. Lazarus Grubu’nun, 31 ülkede finansal kuruluşlara yönelik yapılan saldırılarla bağlantısı var.
6. Resmi şüphelilerin Kuzey Kore bağlantılı Wcrypt saldırıları.
7. US-CERT, Lazarus Grubu ve Barış Muhafızları etkinliklerini HIDDEN COBRA’nın bir parçası olarak değerlendirdi.

Devlet Dışı Aktörlerin Gerçekleştirdiği Siber Operasyonlarda Devlet Sorumluluğu
Devlet dışı aktörlerin gerçekleştirdiği siber operasyonlarda, devletin organları ya da kamu gücünü kullanarak hareket eden kişi veya birimler tarafından gerçekleşen eylemler, uluslararası hukuka göre o devletin fiili olarak kabul edilmektedir. Siber savaşlarda eylemi gerçekleştiren ile devlet arasında ciddi bir bağıntı olduğu kabul edilerek bu madde, devletleri de sorumlu tutmaktadır. Bu durumu kanıtlayacak deliller de aranacaktır. Siber savaştaki tespit zorlukları aslında devletlerin bir yönüyle kendilerini aklamalarını sağlamak üzere de işleyecektir. Devletlerin kendi siber altyapılarını kullanarak bu konuya yeterince önem vermesi ve güncel önlemler alması amaçlanmıştır [9].

Türkiye ‘2016 - 2019 Ulusal Siber Güvelik Strateji ve Eylem Planı’nda, ulusal siber uzayda bulunan sistem ve paydaşların tamamının güvenliğini sağlamak üzere idari ve teknolojik önlemlerin alınmasını sağlayacak yetkinliğin eksiksiz bir şekilde kazanılması amacıyla, 5 ana eylem ve 41 alt eylemin gerçekleştirilmesi öngörülmektedir [10].

• Siber Savunmanın Güçlendirilmesi ve Kritik Altyapıların Korunması,
• Siber Suçlarla Mücadele,
• Farkındalık ve İnsan Kaynağı Geliştirme,
• Siber Güvenlik Ekosisteminin Geliştirilmesi,
•Siber Güvenliğin Milli Güvenliğe Entegrasyonu.

Ülkenin öncelikle kritik altyapılarını koruyan etkin bir siber savunma:
Değerli varlıkların savunmasının güçlendirilmesi, saldırıyı boşa çıkartmak/etkisini azaltmak ve karşı saldırı başlatarak ve karşı tarafın kabiliyetleri maliyeti yüksek dahi olsa analiz edilerek caydırıcılık sağlanması.

Siber saldırı yapması olası hedeflere yönelik etkin siber istihbarat:
Siber tehditlerin daha önceden analizinin yapması ve hedeflerin kabiliyetlerinin belirlenerek siber savunma tedbirlerinin alınması, saldırganın kimliğinin tespit edilmesi, saldırganı caydırmaya yönelik tedbirler alınması.

Olası siber saldırılara karşı etkin misilleme sağlayacak siber taarruz yeteneği:
Karşı saldırıya yönelik misilleme planı oluşturulup, saldırganların taarruz yetenekleri gözetilmeli, karşı saldırıya hazır olunmalıdır. Bu yeteneklerin maliyeti, siber savunmada misilleme korkusu oluşturup siber savunma açısından faydalı olacaktır.

Siber güvenlik konusunda ulusal ve uluslararası alanda etkin koordinasyon ve iş birliği:

Ülkedeki kurum ve kuruluşların koordineli olarak iş birliği içerisinde olmasına ve uluslararası düzeyde de iş birliği ve koordinasyona ihtiyaç duyulacaktır.

Siber tehditlere ve saldırılara karşı bütün yeteneklerin kullanılması, koordinasyon ve iş birliğinin sağlanması için etkili komuta ve kontrol:

Bilişim sistem ve altyapılarının etkin bir biçimde kullanılabilmesi için siber güç unsurlarıyla beraber insan, coğrafi, ekonomik, politik, psikososyal, bilimsel ve teknolojik ve askeri güç unsurlarıyla beraber komuta kontrol sistemiyle iş birliği içerisinde savunma, taarruz ve istihbarat yeteneklerini kullanmalıdır.

Siber tehditlere ve saldırılara karşı caydırıcılık niyet ve kararlılığının karşı tarafa bildirilmesi için etkin duyuru ve açıklama politikası:

Saldırganların üstünde baskı oluşturup, caydırıcılık stratejisinin uygulanması için gücün ve yeteneğin önceden bilinmesi veya bilinmemesi gereken konuların da gizli kalması siber saldırı anında etkili olacaktır.

Siber güvenlik ve caydırıcılık stratejilerinin uygulanmasına yönelik ortaya çıkabilecek olası durumlara ve koşullara da duyarlı yüksek durumsal farkındalık:

Bilişim sistem ve altyapılarının tüm seviyelerdeki kullanıcılarının niteliklendirilmesi (analiz, eğitim, tatbikat vb).

Siber güvenlik ve caydırıcılık stratejilerinin güncellenmesi ve geliştirilmesi:

Saldırıyı gerçekleştiren kişi, grup, kurum, ülke vb. ögelerin yetenekleri tespit, analiz ve değerlendirme sonuçlarına göre siber güvenlik ve stratejisi belirlenip güncellenmelidir.

Siber güvenlik ve caydırıcılık stratejilerinin güçlü ve merkezi bir otorite tarafından oluşturulması ve uygulanması:

Siber güvenlik ve caydırıcılıkta başarı elde etmek için doğru ve ayrıntılı strateji politikalarının oluşturulması ve kararlılıkla uygulanması gerekmektedir. Oluşturulan bu strateji ve politikaların güçlü ve merkezi bir otorite tarafından uygulanması önem teşkil etmektedir [10].

Siber saldırıların oluşturacağı mevcut zararlara önlem olarak alınan kararlar doğrultusunda “National Institute of Standards and Technology (NIST) siber olay müdahale süreçleri ile ilgili olarak yayınladığı makalede” SOME birimlerince uygulanması gereken “müdahale süreçleri” oluşturulmuştur: Hazırlık, tespit ve analiz, sınırlandırma, düzeltme ve iyileştirme ve olay değerlendirme.

Planlama/Hazırlık (ISC 2017)
Tatbikat planlama süreci, katılımcılar, tatbikat senaryosu/alt senaryoları, enjeksiyonları, tatbikat ortamının hazırlanması ile birlikte tatbikatın olağan seyrinde yürütme düzenini belirler.

Olay Tespit ve Analiz – Sınırlandırma – Düzeltme ve İyileştirme

Siber saldırı durumu gerçekleştiğinde, bu saldırının hedefinin ve metodunun anlaşılması yapılacak savunma çalışmasının kalitesini doğrudan etkilemektedir. Güvenlik analistlerinin daha önceden bu tür bir saldırıyla karşılaşmış olmaları hızlı müdahalede bulunma ve hasarın önlenmesi açısından önem teşkil etmektedir.

Başarılı bir “Olay Tespit ve Analiz” aşamasından sonra, saldırının yaratacağı negatif etkileri azaltmak ve saldırının yayılmasına engel olarak kontrol altına almak amacıyla sınırlandırma çalışmaları yapılmaktadır [11].

Kaynaklar

[1].Şenol,Mustafa,Türkiye’de Siber Saldırılara Karşı Caydırıcılık, http://www.iscturkey.org/assets/files/ISC_Turkey_2017_Bildiriler_Kitabi.pdf, 2017 (erişim:https://www.bilgiguvenligi.org.tr/faaliyetler/etkinlikler/2017-2/)

[2].https://www.stm.com.tr/documents/file/Pdf/siber-tehdit-durum-raporu-ocak-mart-2018.pdf , 2018

[3].https://blogs.akamai.com/2018/03/memcached-fueled-13-tbps-attacks.html , (aktaran:https://www.stm.com.tr/documents/file/Pdf/siber-tehdit-durum-raporu-ocak-mart-2018.pdf , 2018)

[4].https://asert.arbornetworks.com/netscout-arbor-confirms-1-7-tbps-ddos-attack-terabit-attack-era-upon-us/ , (aktaran: https://www.stm.com.tr/documents/file/Pdf/siber-tehdit-durum-raporu-ocak-mart-2018.pdf , 2018)

[5].https://thehackernews.com/2018/03/slingshot-router-hacking.html, (aktaran : https://www.stm.com.tr/documents/file/Pdf/siber-tehdit-durum-raporu-ocak-mart-2018.pdf , 2018)

[6].https://thehackernews.com/2018/03/windows-malware-hacking.html , (aktaran : https://www.stm.com.tr/documents/file/Pdf/siber-tehdit-durum-raporu-ocak-mart-2018.pdf , 2018)

[7].http://securityaffairs.co/wordpress/68636/malware/gandcrab-raas.html, (aktaran : https://www.stm.com.tr/documents/file/Pdf/siber-tehdit-durum-raporu-ocak-mart-2018.pdf , 2018)

[8].https://www.stm.com.tr/documents/file/Pdf/Hidden%20Cobra%20Sald%C4%B1r%C4%B1s%C4%B1_STM%20Siber%20F%C3%BCzyon%20Merkezi_Siber%20Tehdit%20%C4%B0stihbarat%C4%B1_2018-03-12-14-37-48.pdf , 2018

[9].Gümüşbaş, Ahmet, devlet dışı aktörlerin gerçekleştirdiği siber operasyonlarda devlet sorumluluğu, https://siberbulten.com/makale-analiz/devlet-disi-aktorlerin-gerceklestirdigi-siber-operasyonlarda-devlet-sorumlulugu/

[10]. T.C. UDHB , 2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı, T.C. UDHB Yay. Ankara, 2016.(aktaran :Şenol, Mustafa, http://www.iscturkey.org/assets/files/ISC_Turkey_2017_Bildiriler_Kitabi.pdf, 2018 ) (erişim:https://www.bilgiguvenligi.org.tr/faaliyetler/etkinlikler/2017-2/)

[11].Yeşiltepe,Cem,https://siberbulten.com/makale-analiz/siber-olay-mudahale-sureclerinde-nist-modeli/