30 Nisan 2022

Rekor siber saldırı yaşandı, sizi neden ilgilendiriyor?

Dünyanın en büyük siber saldırılarından birisi nisan başında bir kripto platformuna düzenlenmiş. Bu "bizi ilgilendirmiyor" demeyin, çünkü asker bilgisayarlardan birisi olma olasılığınız her zaman var. Asker bilgisayarla kalsanız iyi, yanı sıra bilgileriniz de çalınmış olabilir

Bir süredir ortalıkta karmaşa var. Birileri "e-devlet hacklendi" iddiasında, başka birileri "gazetecileri hackledim" iddiasında. Tam bir "kurt puslu havayı sever" durumu.

Geçtiğimiz hafta birisi gazeteci, iki kişinin ortalığı yanlış yönlendirdiği bir olaya şahit olduk; "e-Devlet hacklendi, hem de şimdiye kadar en büyük" köpürtmesi ile karşılaştık. Kime yaradı derseniz, o gece Telegram kanalından satış yapan dolandırıcılara.

Gazeteciler oltaya geldi mi?

Sonra dün "gazetecilerin hesapları çalındı" türü haberler gördük[1]. Çünkü birileri ya da birisi, başta Nevşin Mengü olmak üzere, bazı gazetecilerin telefonlarını birleştirdiği birden fazla WhatsApp grubu kurdu. Gazetecilere "Ethereum ödeyin yoksa bilgilerinizi ifşa ederim" türünden mesajlar yolladı.

Olaya baktığımızda, siber saldırıdan ziyade, oradan, buradan toplanan bilgilerle yapılan bir işlem gördük ama yine de siber güvenlikçilere sorduk. "Çakallık" olarak adlandırdıkları olayı, "farklı kaynaklardan alınan bilgilerle dolandırıcılık denemesi" ya da "bir reklam/endişe yaratma çalışması" olarak tanımladılar.

Yani ortada "yeni" bir hacklenme yok. Onun yerine daha önce farklı sitelerden (yakın zamandaki yemeksepeti.com gibi veri sızıntılarını hatırlayın) ya da kuryelerden (adres bilgileri konusunda kargo firmalarının zayıflıkları olduğunu bir başka olayda görmüştük [2]) veya bizzat kimlik kartlarının verildiği (şirketlerin girişindeki güvenlik yapılanmaları) yoluyla bu bilgiler sızabiliyor. En eskisi de hatırlayacaksınız 50 milyon kişinin verisinin sızması olayı idi (seçim bilgileri ve bir partiden sızdı denilmişti).

Dolandırıcılar bu bilgileri satın alıyorlar. Bu bilgilerle "telefon dolandırıcılığı" yapılıyor. Şimdi farklı bir şeklini WhatsApp üzerinde görmüş olduk. WhatsApp'ın grup özelliğini kullanan dolandırıcı / dolandırıcılar muhtemelen ikna edebilecekleri (oltalayacakları) birilerini aradılar ya da toplu bir endişe hali yaratmayı hedeflediler. Biraz da dalga geçiyor gibi gözüküyorlardı.

Bir nevi reklam da yapmış oluyorlar. Geçen sefer ki "e-Devlet hacklendi" telaşlanması içinde (resimden görebileceğiniz üzere) Telegram kanallarında 150 dolardan kişisel bilgi setleri satıyorlardı.

Oltalama yaptılar da ne oldu derseniz, illa 1-2 kişi oltalanmış olabilir. Daha yeni tanıdığım ve büyük bir şirkette çalışan birisinin, telefon dolandırıcıları tarafından 700 bin TL dolandırıldığını öğrendim. Bu dolandırıcılar derslerini iyi çalışıyorlar. Konuştuğum bir siber güvenlikçi, detaylı veri tabanları tuttuklarını, eski ve yeni bilgileri (adres, şirket değişikliği vs) devamlı takip edip güncellediklerini anlatıyor.

"Veri Zenginleştirme" tekniği ile bir çeşit "Combolist" olarak toplanan bu veriler aranan kişiyi ("sizin hakkınızda her şeyi biliyoruz" şeklinde) ikna etmeye yönelik olarak kullanılıyor. "Ben kanmam" demeyin, bir yol bulabiliyorlar. Siz kanmasanız, kullandığınız cihazların açıkları kullanılabiliyor. Yani hep dikkatli ve tetikte olmakta yarar var.

Bunu yazdığımda hep şunu da ekliyorum. Bu kötü olaylar sadece internette olmuyor, aynı karşılık fiziksel hayatta da var. Yolda yürürken kapkaça uğramak ya da evinize hırsız girmesi ya da hayatınızın bir yerlerinde dolandırılmak gibi. Yani bu siber olayları, farkında olmanız için yazıyoruz ve fiziksel hayatta olduğu gibi, anahtarlarınızı (şifreler), cihazlarınızı, baktığınız içerikleri dikkatle koruyun demek istiyoruz.

Bir koyundan birkaç post mu? 

Şimdi gelelim hackerlar tarafından elde edilen bu kimlik bilgilerinin kullanıldığı başka bir noktaya.

Siber saldırıların bir cinsi dDOS  yani "servis engelleme saldırıları"dır. Bu saldırılar, "asker bilgisayarlar" ile yapılır. Yani, açığı olan dolayısıyla içine sızılan ve "trojan" yerleştirilen bilgisayarlarla.

Trojan yani "kötücül kod" yerleştirilmiş bilgisayarlar, komuta merkezinden saldırı emri aldığında, verilen hedefe saldırır. Yani "ddos saldırısı" yapar. Bu arada bilgisayarın sahibi bunu fark etmeyebilir (ancak bilgisayarı yavaş çalışmaya başlamışsa, ya da çok ısınıyorsa, bilgisayarında güvenlik yazılımı varsa gibi yerlerden farkına varılabilir).

Ddos saldırısı için ele geçirilen bilgisayarlardaki bu trojanlar aynı zamanda hesap bilgilerini (kullanıcı-şifre) çalabilir (geçen e-Devlet hacklemesi denilen olay aslında buydu).

Anlayacağınız hackerlar bir koyundan birkaç post çıkarabilirler. Hackledikleri bilgisayarı bir nevi asker haline getirip, dDos saldırılarda (bazen de Bitcoin madenciliğinde) kullanabilirken, içeriden aldıkları hesap bilgilerini satabilirler. Tabii ki başka şeyler de olabilir (elde ettikleri kimi kimlikler admin bilgileri ise daha ileri saldırılar ve veri sızıntıları görülebilir).

Nisan başında dünya çapında en büyük siber saldırılardan birisi meydana geldi

Ukrayna-Rusya savaşının ortasında, karşılıklı siber saldırıların arttığı bir ortamda yaşıyoruz. Siber güvenlik firmaları tarafından, geçen yıla nazaran dDos saldırılarının 4,5 kat arttığı raporlanıyor.

Hem Ukrayna kendisi ve gönüllüleri ile dDos yapıyor, hem Rusya. Dolayısıyla "asker bilgisayarlara" ihtiyaç var. Bu nedenle bu ara daha da dikkatli olun diyelim.

İşte bu asker bilgisayarların yarattığı bir olay. İnternet altyapı ve güvenlik şirketi olan Cloudflare saniyede 15,3 milyon istek (RPS) yapan dağıtık hizmet reddi (dDoS) saldırısını engellediğini açıkladı. Nisan başında gerçekleştiği kaydedilen saldırı "şu ana kadar tarihteki en büyük birkaç HTTPS DDoS saldırılarından biri" olarak nitelendirildi.

Cloudflare'den Omer Yoachimik ve Julien Desgats saldırı konusunda şöyle yazdılar[3]:

"Bu, gördüğümüz en büyük uygulama katmanı saldırısı olmasa da, HTTP S üzerinden gördüğümüz en büyük saldırıdır . HTTPS DDoS saldırıları, güvenli bir TLS şifreli bağlantı kurmanın daha yüksek maliyeti nedeniyle gerekli teknik kaynaklar açısından daha pahalıdır. Bu nedenle, saldırganın saldırıyı başlatması ve kurbanın karşılaması daha pahalıya mal olur. Geçmişte (şifrelenmemiş) HTTP üzerinden çok büyük saldırılar gördük, ancak bu saldırı, ölçeğinde ihtiyaç duyduğu kaynaklar nedeniyle öne çıkıyor.

15 saniyeden kısa süren saldırı, bir kripto paneli çalıştıran Professional (Pro) planındaki bir Cloudflare müşterisini hedef aldı. Kripto panelleri, Merkezi Olmayan Finans projelerini potansiyel yatırımcılara sunmak için kullanılır. Saldırı, gözlemlediğimiz bir botnet tarafından başlatıldı - aynı saldırı parmak izine uyan 10M rps kadar yüksek büyük saldırılar gördük."

Cloudflare, bu son saldırı trafiğinin yüzde 15'inin Endonezya'dan, gerisinin Rusya, Brezilya, Hindistan, Kolombiya ve ABD'den geldiğini, kabaca 6 bin güvenliği ihlal edilmiş cihazdan oluşan bir botnet'ten başlatıldığını söyledi.

Grafikten göreceğiniz üzere, saldırının yüzde 2,5 - 3 düzeyinin Türkiye'den geldiği anlaşılıyor. Dikkatle bakılırsa TTnet üzerinden yapıldığı da gözüküyor (ASN-9121). Eğer 6000 makineden bahsediliyorsa, Türkiye'deki 150-200 makinenin bu saldırıya karışmış olduğu anlaşılıyor. Gerçi bunlar bireyselden ziyade, servis sağlayıcı bilgisayarları gibi gözüküyor.

Yoachimik ve Desgats bu konuya işaret ediyor:

"İlginç olan, saldırının çoğunlukla veri merkezlerinden gelmesidir. Yerleşim ağı İnternet Servis Sağlayıcılarından (ISS'ler) bulut bilişim ISS'lerine büyük bir geçiş görüyoruz."

Rekor kıran dDoS saldırıları son aylarda giderek daha yaygın hale geldi. Ağustos 2021'de Cloudflare, şimdiye kadar görülen en büyük uygulama katmanı saldırısı olarak nitelendirdiği 1,7 Tbps'lik saldırıyı ve bu yılın başlarında Microsoft, saniyede 2,4 Tbps'yi aşan birden çok dDoS saldırısını engellediğini açıkladı.

Özetle, dünyanın en büyük siber saldırılarından birisi nisan başında bir kripto platformuna düzenlenmiş. Bu "bizi ilgilendirmiyor" demeyin, çünkü asker bilgisayarlardan birisi olma olasılığınız her zaman var. Asker bilgisayarla kalsanız iyi, yanı sıra bilgileriniz de çalınmış olabilir. Bu nedenle bir daha tekrarlayalım: Bilgisayar ve telefonlarınıza sahip çıkın, tanımadığınız yerlerden gelen linkleri tıklamayın ve yazılımlarınızı güncel tutun, önünüze gelen uygulamayı da indirmeyin.

Herkes iyi bayramlar.


Kaynakça

[1] Gazeteci Nevşin Mengü de Hacklendi! Hackerlar, Bilgilerini Çaldıkları Ünlülerle WhatsApp Grubu Kurdu

[2] Yurtiçi Kargo Veri Tabanına Erişim Nasıl Sağlandı? Hacker mı? Sızıntı mı?

[3]Cloudflare blocks 15M rps HTTPS DDoS attack

Yazarın Diğer Yazıları

Neden bazı sitelere erişimde sıkıntı oldu?

Çeşitli hizmetler veren Cloudflare'i ülkemizde en çok "dDOS temizleme hizmetleri" ile biliyoruz. Trendyol'undan, Yemeksepetine, çeşitli gazetelerden, eksisozluğe, arabam.com'a kadar pek çok sayıda Türk web sitesi tarafından da kullanılıyor. Detayları Dağhan Uzgur'a sorduk

Trendyol "buybox" soruşturmasında, Rekabet Kurumu’na taahhüt metni sundu

İddiaya göre e-ticaret platformları, müşteriye gösterilecek satıcı konusuna daha doğrusu satıcılar arasında fiyatlara müdahale edebiliyor ve böylece son kullanıcının alım şartlarını etkiliyor

Avrupa endişeli, dikkatler denizaltı kabloları üzerinde

Denizaltı kablolar, uluslararası veri trafiğinin yaklaşık yüzde 99'unu taşıyan küresel internet bağlantısının omurgasını oluşturur. Bu kablolar, bulut bilişim, finansal işlemler ve medya akışı gibi hizmetleri etkinleştirerek küresel iletişim için kritik öneme sahip

"
"