Covid-19 A Gelitirme çalmalarna Yönelik Siber Tehditler balkl rapor, Türkiye ve dünya genelinde koronavirüs a gelitirme çalmalarna ilikin yaplan tespit ve aratrmalardan elde edilen verilerin STMdeki siber tehdit füzyon merkezinde incelenerek analiz edilmesiyle hazrland. Raporda, dünya çapnda 880 binden fazla kiinin ölümüne neden olan koronavirüse kar 155ten fazla kurum, özel irket, üniversitenin a gelitirme aamasnda olduuna dikkat çekildi. Baz alarn, insanlar hasta etmeden bir baklk tepkisi oluturmak için koronavirüsü taklit edecek baka bir yaygn virüsü deitirerek çalt, Oxford ve AstraZenecann aratrmasnn, koronavirüsü taklit eden bir patojene dayandna iaret edildi. Rusya Salk Bakanlnn da, bu patojeni taklit edecek bir a üzerinde çalt, ancak testlerin Oxford aratrmaclar kadar ileri düzeyde olmadna vurgu yapld.
AILAR HAKKINDA STHBARAT çALMA GRM
Raporda, Amerikan, ngiliz ve Kanada hükümetlerinin, bilgisayar korsanlarnn koronavirüs as aratrmasn çalmaya çaltklarn iddia ettikleri hatrlatlarak, Amerikada 2016 ylnda Demokrat Parti sunucularna girme olayna da karan bir bilgisayar korsannn üniversitelerden, irketlerden ve dier salk kurulularndan alar hakknda istihbarat çalmaya çalt ve APT29 (Cozy Bear) olarak bilinen tehdit aktör grubunun, koronavirüs salgnnn yaratt kaostan yararlanmaya çalt iddiasna yer verildi. Raporda, Amerikan istihbarat yetkililerinin, grubun dier ülkelerin çabalarn sabote etmek deil, kendi alarn daha hzl gelitirmek için aratrmalar çalmay hedeflediklerini belirtirken, siber güvenlik uzmanlar, küresel halk salna kastn az olduunu dile getirmektedir denildi.
COZY BEAR GRUBU, AI GELTREN DEVLETLER HEDEF ALIYOR
Cozy Bear tehdit aktör grubunun, kötü amaçl yazlm kullanarak a gelitirmekte olan devlet ve ona bal kurulular hedef aldna iaret edilerek, Saldrnn kurum çalanlarnn parolalarn ve dier kimlik bilgilerini ele geçirmek için kandrmaya yönelik sahte e-postalar göndererek (phishing ve spear phishing) a aratrmasna ve tbbi tedarik zinciriyle ilgili bilgilere eriim salamak için yapld düünülmektedir. Bunlara ek olarak Cozy Bear grubunun elinde bulunan belli bal statik IPlere zafiyet taramas yapt ve bulduu açklklar sömürme çalmalar yapt da görülmütür. Saldrlarn gönderilen sahte e-posta ve zafiyet sömürülerinden sonra saldrganlar tarafndan ele geçirildikleri düünülen parolalar ile ilgili kurulularn alarna szlarak WellMess ve WellMail zararllarnn çaltrlmas eklinde gerçekletirildii deerlendirilmitir. Söz konusu zararllarn içinde bulundurduklar zararl kodlar ile uzaktan komut çaltrma yeteneine, veri alma ve gönderebilme yeteneine ve elde ettii bilgileri komuta kontrol sunucusuna gönderme yeteneine sahip olduu görülmütür ifadeleri kullanld.
COZY BEARIN HEDEFNDE OXFORD DA VAR
Cozy Bear tehdit aktör grubunun hedefinde ngilterede Oxford Üniversitesi ve a üzerinde ortaklaa çalan AstraZeneca irketinin de olduuna dikkat çekildi. Aratrmaclarn, koronavirüs as gelitiren 17 irketin maruz kald siber güvenlik ihlallerini ortaya çkartan bir çalma ile 25 adet sistemde spam gönderimi ve anormal istekler gerçekletirildiini, ayrca 17 irketin 14ünde sömürülmeye açk zafiyetler tespit ettiine dikkat çekildi. Yine bu irketlere ait 30 adet web sunucusu zafiyeti kefedildiine de iaret edilerek, Bu zafiyetler sömürülerek sunuculara doru gerçekletirilen trafiin izlenebilir; parola, kiisel bilgi, kurum bilgilerinin ele geçirilebilir olabilecei tespit edilmitir denildi.
VERLER GÜVENDE TUTULMALI
Raporun sonuç bölümünde a çalmalarnda elde edilen bilgiler, formüller, çktlar vb. daha nice verilerin sakland ortamlarn güvende tutulmas gerektiine iaret edilerek öyle denildi:
Yaplan aratrma aslnda koronavirüs nezdinde çalan firmalar için geçerli olsa da dünyada birçok kurumun bu ve bunlara benzer zafiyetleri bulunmaktadr. Kusurlarn önüne geçilmesi için irketlerin tamam personelini bilgi güvenlii alannda eitime tabi tutmal ve özellikle oltalama (phishing, spear phishing) konularnda farkndal arttracak eitimler ve programlar oluturmaldr. Tabi buna irketin BT departmannda çalan kiiler de dahildir. Güvenlik duvarnda yaplandrlm yanl bir politika ile kritik sunucu ve servisler, istenmeden de olsa internetten eriilebilir ve saldrganlarn hedefi haline gelebilir. Snr güvenliinin etkin bir ekilde salanmas için eriim yetkileri, güvenlik cihazlarnn konfigürasyonlarnn kurum politikalarna göre yaplandrld belli aralklar ile test edilmelidir. Güvenlik duvarnda uygulacak a segmentasyonu ile de kurumun a güvenlii arttrlmaldr. DMZ, yönetim a, sunucular ve istemciler vb. alar oluturularak a trafii en etkin ekilde izlenmelidir.
FELAKET KURTARMA MERKEZ OLMALI
Belli dönemlerde yaplan szma testlerinin yerine sürekli szma testlerinin yaptrlmas ve ortaya çkabilecek zafiyetlerin kapatlmas gerektii belirtilerek, Zafiyet ve yama yönetimi süreçlerinin etkin bir ekilde gerçekletirilmesi, bilinen zafiyetlerden dolay kurumlarn maruz kalabilecei güvenlik tehditlerini de azaltacaktr. sürekliliinin salanmas için önemli sunucular ve güvenlik cihazlar yüksek eriebilirlik ile çalmal, sunucularn sk sk yedei alnmal, kritik sistem ve sunucular için felaket kurtarma prosedürleri hazrlanmal ve en önemlisi kurumun baka bir lokasyonda felaket kurtarma merkezi olmaldr. Tabii ki kurumun bütün istemci ve sunucularna anti-virüs programlarnn da yüklenmesi, bu yazlmlarn güncel tutulmas da bilinen zararllara kar önemli bir savunma salayacaktr. Kurumun güvenlik altyapsnn ve gerçekleen olaylarn sürekli izlenmesi, siber tehdit istihbarat kaynaklarnn etkin kullanm ile WellMess ve WellMail gibi zararllardan kurumlarn korunmas adna önemli admlar olarak deerlendirilmektedir. Bu tedbirler ile kurumlarn altyaplar ve Covid-19 a aratrmalar gibi önemli verileri saldrganlardan çok büyük ölçekte korunabilecektir denildi.
SALDIRILAR DAHA çOK BLG ELDE ETMEK çN
STM Güvenlik Müdürü Kadir Murat Biçer, siber ortam içinde kymetli olan bilgilerin olduu tüm ortamlara yaplan saldrlar gibi uluslararas a çalmalarnda da siber saldrlarn olduuna dair verilere ulatklarn belirtti. Biçer, Saldrlar yaplrken daha çok yine aldatma e-postalar ile kullanclara ve sistem yönetim yetkileri olan onlarn istenilen zararllar tklayp kendi makinelerine indirmeleri ve bu zararllar ile ilgili bilgi ortamn ifreleyerek bu ifreleri, bilgileri kendi istedikleri komuta kontrol sunucularna gönderdiklerini tespit ettik. Bu saldrlarn daha çok bilgiyi elde etmek ve bilgiyi kendi çkarlar, amaçlarna kullanmak için yapldn müahede ettik. Saldrlar esnasnda bu tarz a çalmalarn verileri deitirilmi olsayd toplum salnn daha fazla etkilenme ihtimali vard. Fakat u anda saldrlar daha çok bilgi etmek için. Yine bu saldrlar a çalmalarnda gecikme meydana getirebilir ve a çalmalarnn sonuçlanmasn geciktirebilir dedi.
GZLLK, BÜTÜNLÜK, EREBLRLK
Biçer, siber güvenliin üç temel baca gizlilik, bütünlük ve eriebilirlie dikkat çekerek, Burada gizlilik bacana kar yaplan saldrlardan bahsediyoruz. Gerekli zafiyet ve risk yönetimlerinin yaplmas ve bunlara kar eitimlerin yaplmas çok önemli. Güvenlik camiasna söylemek istediim gizli verilerini, kendileri için kymetli verileri güvenlik altna alabilmek için belli kurallara uymalar ve siber güvenlii olay olduu an deil olay olmadan önce önemsemelerini öneriyorum deerlendirmesinde bulundu.