(Kaynak : Security Affairs | Orjinal Makale | Yazan : Pierluigi Paganini  | Çeviri : Nurhilal Çifter )

İran İran’ın nükleer programını sabote etmek için İsrail ve Suudi Arabistan’ın Stuxnet gibi yeni siber silah planladığını bildirdi: Suudi istihbarat teşkilatı ile MOSSAD, Stuxnet’den daha etkili bir zararlı yazılımının (malware) tasarımında işbirliği yapıyorlar.

İran Fars Ajansı, İsrail ve Suudi Arabistan’ın İran nükleer programını imha etmek ve casusluk yapmak amacıyla yeni bir siber silah geliştirmek için işbirliği yaptığını bildirdi.

İran Ajansı, Suudi gizli servisine yakın muhbirlere dayanarak, Suudi İstihbarat Şefi Prens Bandar bin Sultan ve MOSSAD'ın Başkanı Tamir Pardo'nun 24 Kasım'da Viyana'da gerçekleşen toplantısını referans gösterdi. Toplantıda, İran'ın nükleer programına istihbarat ve sabotaj operasyonlarında iki tarafın işbirliği tartışıldı.

Fars Ajansı'nın kaynağı "Toplantıda gündeme gelen tekliflerden birinin, İran nükleer santraline casusluk yapacak ve İran nükleer programının yazılım altyapısını imha edecek Stuxnet'den daha etkili bir zararlı yazılım üretmek" olduğunu ifşa etti.

Bir hafta önce Arap medyası, Prens Bandar'ın Tel Aviv'de Benjamin Netanyahu ve Francois Hollande ile ABD ile İran arasındaki diplomatik ilişkiler üzerine görüşmek için bir araya geldiğini bildirdi.

Netanyahu, Amerikan ve Fransız hükümetlerine hitap ederek, İran'a önerilen anlaşmaya karşı çıktı. Netanyahu, İran'ın nükleer programının İsrail'in durumuna doğrudan bir tehdit olduğunu düşünmeye devam ediyor.

Ortaklığın hedefi, İsrail tarafından değişik kaynaklara göre tasarlanmış, İran’ın uranyum zenginleştirme programını vurmak ve SCADA sistemlerine bulaştırmak için kullanılacak Stuxnet benzeri yeni bir siber silah. Ayrıca, Edward Snowden ABD’nin Stuxnet virüsü üretmek ve dağıtmak için İsrail ile işbirliği olduğunu Der Spiegel'e doğrulamıştı.

cyber-weapon-against-Iran-Nuclear-Program

Son zamanlarda Sunday Times, Cenova görüşmelerinde İran nükleer programındaki başarısızlık halinde İran'a karşı muhtemel saldırıları düzenlemek, Suudi hava sahasının İsrail kullanımına açması ve operasyonlarda insansız hava uçağı, helikopter ve tanker uçaklarını müttefiklerine karşı desteklemesine dair İsrail ve Suudi Arabistan arasındaki gizli diyalogları yayınladı.

Times kaynağının aktardığı bilgilere göre İsrail, "Cenevre Anlaşması imzalandıktan sonra, askeri seçenek masaya geri yatırılacaktır. Suudiler öfkeli ve İsrail'e ihtiyaç duyduğu tüm yardımı vermeye hazırız." açıklamasında bulundu.

İsrail ve Suudi Arabistan, İran'ı yok edilecek bir düşman olarak değerlendiriyor. İran'ın nükleer programını, ilerleme kabul edilemez ve her iki hükümet için de tehdit unsuru olarak görüyor.

Siber silahların oluşturulması, İran'ın nükleer programından daha az tehlikeli değil. Böyle bir zararlı yazılım difüzyonu, kritik altyapılar dışında doğrudan masum halka ciddi zararlar verebilir. Bu yüzden siber silahların nasıl kullanılacağı ve işgal kuralları tanımları hukuk çerçevesinde tanımlanmalıdır. Siber silahların nükleer bombaya benzer etkileri olabilir.

 

Tamir Pardo, (d.1958) İsrail'li istihbaratçı, Benjamin Netanyahu tarafından 1 Ocak 2011 tarihinde MOSSAD başkanlığına getirildi. http://en.wikipedia.org/wiki/Tamir_Pardo

Bandar bin Sultan,  (d.2 Mart 1949) Kral Abdullah tarafından Suudi İstihbarat Ajansı'na Genel Müdür olarak 19 Temmuz 2012 tarihinde atandı. http://en.wikipedia.org/wiki/Bandar_bin_Sultan

Benjamin Netanyahu, (d.21 Ekim 1949) İsrailli politikacı ve İsrail mevcut Başbakanı. Ayrıca şu anda Knesset'in bir üyesi, Likud Partisinin Başkanı ve Kamu Diplomasisi ve Diaspora İşleri Bakanı olarak hizmet vermektedir. http://en.wikipedia.org/wiki/Benjamin_Netanyahu

François Gérard Georges Nicolas Hollande , (b12 Ağustos 1954) mevcut Fransa Cumhurbaşkanı ve Andorra Eş-Prensi Fransız politikacı. http://en.wikipedia.org/wiki/Francois_Hollande

 

Symantec, "Nesnelerin İnterneti"‘ni hedef alabilecek yeni bir Linux solucanı keşfetti. Solucan, internet erişimi olan küçük cihazlardan, geleneksel bilgisayarlara kadar geniş bir aralıkta saldırı kabiliyetine sahip. Evde kullanılan router'lardan, set-top box'lara ve güvenlik kameralarına kadar hedef alabilmekte. Ayrıca bu sistemlere karşı serbest ortamda saldırı tespit edilmedi, bir çok kullanıcı ise Linux çalıştıran cihazlara sahip olduğundan dahi habersiz olduğu için riskin farkında dahi değil.

Linux.Darlloz solucanı kendisini yaymak için PHP zafiyetini kullanıyor. Solucan, 2012 Mayıs ayında yamalanan PHP ‘php-cgi' bilgi ifşası zafiyetini (CVE-2012-1823) zafiyetini suistimal ediyor. Saldırgan ise solucanı Ekim 2013 sonlarında yayınlanan bir PoC(proof of concept) kodunu temel alarak geliştirmiş.

Çalıştırıldıktan sonra solucan rastgele IP adresleri üreterek, sistemde özel bir dizine bilinen ID ve şifrelerle erişip, zafiyeti suistimal eden HTTP POST istekleri gönderiyor. Eğer hedef yamalanmamışsa, solucan kendisini sunucudan hedef sisteme indirtiyor ve yeni bir hedef aramak üzere hedef sistem üzerinde de kendini çalıştırıyor. Solucanın indirme adresi (URL), çalıştırılabilir ELF koduna gömülürken Intel mimarisi baz alınarak kodlandığı için, şu anda solucan sadece Intel x86 sistemlere bulaşmakta.

Linux, bir çok çip ve donanım mimarisine uyarlanmış olan ve en iyi bilinen açık kaynaklı işletim sistemi. Linux, sadece Intel tabanlı bilgisayarlarda çalışmamakta, ayrıca evlerde kullanılan adsl router-modemler, güvenlik kameraları ve hatta endüstriyel sistemler gibi farklı CPU aileleri kullanan cihazlarda da yaygın olarak bulunmakta. Bu sistemlerin bazıları, yönetim ve izleme için kendi üzerlerinde Apache ve PHP üzerine geliştirilmiş web arabirimleri sunmaktalar.

ARM_0

ELF başlık bilgisindeki "e_machine" değeri solucanın ARM mimarisi için olduğunu gösteriyor.

 

Saldırganın, kapsama alanını "Linux ile çalışan tüm cihazlar" olarak geniş tutarak, enfeksiyon noktalarını genişletmek istediği görünmekte. Fakat henüz PC olmayan cihazlara yönelik teyit edilmiş bir saldırı bulunmamakta.

Solucan enfeksiyonundan korunmak için Symantek aşağıdaki önlemleri almanızı öneriyor:

  • Ağınıza bağlı tüm cihazların zafiyette karşı test edip zayıf durumda olmadıklarını teyit edin.
  • Cihazlarınızın yazılımlarını güncelleyin
  • Cihazlarınız için güvenlik güncelleştirmeleri çıktığında uygulayın
  • Şifrelerini daha kuvvetli hale getirin
  • Kullanılması gerekmedikçe tüm cihazlara doğru aşağıdaki istekleri içeren HTTP POST isteklerini engelleyin
    • -/cgi-bin/php
    • -/cgi-bin/php5
    • -/cgi-bin/php-cgi
    • -/cgi-bin/php.cgi
    • -/cgi-bin/php4

(Kaynakhttp://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices)

BOA Yorumu

Aslında "internet of things" kavramından önce, 2005 yılında (eski bir X-Force üyesi olan) Michael Lynn tarafından Cisco router'larda remote code execution uygulanabildiğini göstermişti. Bu, aynı zamanda Cisco router worm yazılabileceği anlamına da gelmekteydi. Özellikle ISP'lerdeki Cisco yoğunluğunun bugünden daha yoğun olduğu 2005 yılı için değerlendirilirse, teorik olarak böyle bir worm internet altyapısına çok büyük zarar verebilirdi. Hatta Lunn, bu sunumu Blackhat'de yapamadan, DHS (Department of Homeland Security) tarafından göz altına alınmış ve Blackhat salonunda FBI ajanları tek tek bildirge kitabından Lynn'in sunumuna ait kısımları yırtarken videoya çekilmişti.

Bu zafiyet aslında daha kolay kullanılabilir ve anlaşılabilir bir zafiyet olması sebebiyle gündeme gelmiş olsa da, nesnelerin interneti veya cihazlara bulaşan solucanlar yeni bir gündem veya yeni bir tehdit değil. Fakat, zaten zafiyetler için "reliable exploit" (sağlıklı çalışan suistimal aracı) geliştirmek zorken, bir de bunun farklı platformlarda ve tespit edemediği firmware sürümlerinde çalışması, üst düzey bir mühendislik gerektirmekte; bu çalışma da hem insan kaynağı hem benzer ortam oluşturma yatırımları sebebiyle günümüzde ancak devlet destekli bir program dahilinde yürütülebilir gibi görünmekte.

(Kaynak : Security Affairs | Orjinal Makale | Yazan : Pierluigi Paganini  | Çeviri : Bilge Kaya )

Petrol ve gaz şirketleri önemli ölçüde siber atakların hedefi durumundalar. Her geçen gün siber suçlular, devlet destekli saldırganlar ve hacktivisitler enerji sektörünün alt yapı güvenliğini tehdit etmekte.

Dünya çapında petrol ve gaz şirketlerine yapılan siber casusuluk ve sabotaj saldırılarının sayısı düzenli olarak artmakta. Fikri mülkiyet hırsızlığı ve zararlı yazılımların sebep olduğu zararlar ile birlikte maddi kayıplar da büyümekte.

Körfez İşbirliği Konseyi (GCC) üyesi petrol ve gaz şirketleri, kritik üretim süreçlerinin kontrolünde teknolojinin kullanımının yüksek seviyede olması nedeniyle siber ataklar karşısında çok savunmasız olduğu düşünülüyor.

Enerji sektöründe meydana gelmiş en bilindik zararlı yazılım olaylarından biri, petrol üreticisi Saudi Aramco’nun ağındaki yaklaşık 30.000 bilgisayara bulaşmış bir vürüs olan Shamoon isimli zararlı yazılım kaynaklıdır.

energy-industry

Güvenlik uzmanları, Shamoon zararlı yazılımının, İranlı siber birimler tarafından enerji sektörüne darbe vurmak için tasarlanmış bir siber silah olduğuna inanmaktadır.

Saudi Aramco, siber saldırı sonucu darbe almış olan tek enerji şirketi değildir. Katar RasGas da hackerlar tarafından saldırıya uğramıştır.

 

Bugünlerde Booz Allen Hamilton’da başkan yardımcısı olan, Birleşik Devletler eski milli istihbarat yöneticisi (Director of National Intelligence – DNI) McConnell şu açıklamayı yapmıştır:

“Büyük olasılıkla her büyük bilgisayar sistemi kendi içerisinde rakiplerce yerleştirilmiş bir zararlı yazılım barındırır.” “Dünyadaki petrol üretiminin büyük bir kısmı bu bölgede yapılmaktadır ve teknolojilerin amacı bu üretimi daha verimli hale getirmektir.” “Otomasyon seviyesini ve bilgi teknolojilerinin kullanımını arttırmak, sadece güvenlik zafiyetlerini arttırmaktadır.” “Dünyada 180’den fazla ulus var, bunların 150 ila 160 tanesinde zafiyetleri istismar kabiliyeti mevcut.” “Ulus devletler, tehdit düzeylerini anlamak için birbirlerinin açıklarını istismar ediyorlar. Çoğu kendi etki alanlarına ve etraflarındaki ülkelere bakıyorlar. Pakistanlılar, en çok Hintlilere ve Afganlılara saldırmakla ve onların zafiyetlerini istismar etmekle ilgileniyor.”

 

Kaspersky araştırmacıları, Temmuz ve Eylül ayları arasında Birleşik Arap Emirlikleri’ndeki kullanıcıların %26.4 ünü etkileyen 1.2 milyon adet internet kaynaklı zararlı yazılım olayı tespit etmiştir.

Enerji altyaplarını korumak ortak bir problem. Bir nükleer santrale ya da rafineriye hasar verildiğini düşünelim, siber saldırıların çevre üzerinde ciddi etkileri olabilir.

Temmuz ayında US ICS-CERT, özellikle enerji sektöründe yer alan kontrol sistemlerini hedefleyen saldırılarda büyük bir artış olduğunu ortaya koyan bir rapor yayınladı.  CERT tarafından toplanan verilerde, saldırıların %53 (111)’ünün enerji sektörünü hedef aldığı ve genellikle kontrol sistemlerini vurduğu görülmektedir. Rapora göre, saldırganlar saldırıları gerçekleştirirken “watering hole” (sızdırma), SQL enjeksiyonu, “spear phishing” (nokta hedefli oltalama) gibi çok çeşitli teknikleri saldırılarına dahil etmişler.

ICS-CERT-Monitor-Report-Energy-sector

Anonymous bir ay önce, Batı’nın dünya kaynaklarına hakimiyetini protesto eden OpPetrol adını verdiği bir kampanya yürüttü. Hactivistler enerji sektörünü hedef aldılar ve petrol piyasasında para birimi olarak Amerikan dolarının kabul görmesini protesto ettiler, fakat saldırıların ciddi sonuçları olmadı.

Enerji sektörüne yönelik siber saldırıların bir çoğu fark edilemeyebilir. Bir çok olayda saldırganlar ilerideki saldırıları için uzun bir süre boyunca sadece kurbanlarını gözetleyerek değerli bilgiler toplayabilir. Enerji sektörünün ağlarına sızan zararlı yazılımlar fark edilmemek üzere tasarlanmıştır. Örneklerin bir çoğunda hedefin Orta Doğu’da faaliyet gösteren firmaların fikri mülkiyet haklarının çalınması ve bilgilerinin istismar edilmesi olduğu görülmektedir.

Çinli hackerlar, özellikle siber casusuluk profilinde, enerji sektörünün karşı karşıya olduğu en ısrarlı ve tehlikeli tehdit.

Kaspersky tarafından hazırlanan rapora göre hedefli saldırılar bir firmayı 2.4 milyon dolara varan zararlara uğratabilmekte. Bu korkutucu seneryoya rağmen şirketler hala güvenlik önlemlerini azaltılması gereken bir maliyet olarak düşünmekteler. Conell, bir firmanın IT bütçesinin en az  %5 ila %10’unu siber güvenlik önlemlerine ayırması gerektiğini belirtmiştir.

“Yerel tehditler – genellikle zararlı yazılımın USB, CD ve DVD’ler aracılığyla yayılmasını sağlayan çevrimdışı metodlar – Birleşik Arap Emirliklerindeki bilgisayarların %40’tan fazlasını etkilemiş, 17.4 milyon zararlı yazılım olayına neden olmuştur.”

 

Rusya, ABD ve İngiltere dünyadaki en güçlü siber sistemlere sahip ülkeler fakat bu ülkelerin hükümetleri siber saldırılara ilişkin risklerin ve enerji sektörünün kritik altyapılarına daha çok yatırım yaparak korunması gerektiğinin farkındalar.

BP, Siber savaş karşısında kişisel cihazları kilitliyor

BP’den ayrılmak üzere olan CIO Dana Deasy, siber tehdidin “akıl almaz derecede gerçek” olduğunu belirtti.
(Çeviri : Bilge Kaya | Kaynak: Derek du Preez | Computerworld UK )

Bugünlerde petrol devi BP, siber saldırı tehditlerinin artmasının doğrudan bir sonucu olarak çalışanların esnekliği kaybolmadan kişisel bilgisayarlarını nasıl koruma altına alacağı konusunda büyük bir “iç müzakere” yapıyor. Bu hafta Barcelona’da düzenlenen Gartner Sempozyumu’nda konuşan Dana Deasy, dünya çapında gerçekleştirilen siber saldırıların %40’ının enerji sektörünü hedef aldığını ve durumun gün geçtikçe daha da kötüye gittiğini söyledi.

Deasy, “Gerçek zamanlı olarak kendimizi bütünüyle yenilediğimizi düşünelim – kötü adamları dışarıda tutmak istediğiniz bir dünyaya doğru ilerlerken, kötü adamlar içeriye girerse ne olur ve oyun planları nedir? Neredeyse organizasyonunuzu savaş sanatı ile ilgili düşünmek üzerine kurmak zorundasınız çünkü farklı bir dünyada farklı bir düşmanın üstesinden gelmeye çalışıyorsunuz.”

Deasy, karşı karşıya kaldıkları tehditlerin “akıl almaz derecede gerçek” olduğunu belirterek, saldırıların hem organize suç örgütlerinden hem de devlet destekli kaynaklardan geldiğini, ancak bunlardan ikincisinin – yani devlet destekli saldırıların – gerçekten endişe verici olduğunu söyledi.

Deasy: “Asıl endişe verici olan devlet destekli saldırılardır, çünkü devletler doğaları gereği size bugün ya da yarın zarar vermekle ilgilenmezler, size gelecekte bir gün zarar verebilecekleri ihtimaliyle ilgilenirler. Orada olduklarını bilmenizi bile istemezler

“İnanılmaz ölçüde iyi organize olmuş ve oldukça sofistike – onlarca, binlerce – düşmanla mücadele ediyorsunuz ve her zaman arkalarında neyin olduğunu anlayamayabiliyorsunuz.”

Fakat Deasy, tüm bunların BP’nin “büyük düşünce” anlayışını değiştirmediğini ve inovasyonunu durdurmadığını, sadece kişisel cihazların sıkıca korunması konusunun iç tartışmaya yol açtığını üstüne basarak belirtti.

“Başka seçeneğimiz yok fakat kişisel bilgisayarların ortaya çıktığı dönem düşünüldüğünde insanların bilgisayarlarıyla yapabileceklerini kısıtlamak biraz ironik. Zaten ortaya çıkış amacı kişisel olmasıydı.”

“Kişisel bilgisayarları koruma altına alarak esnekliği ortadan kaldırıyorsunuz. Mesele insanların işlerini yapmaları için gereken esneklik ve özgürlük ile şirketinizi korumak arasındaki inanılmaz zor dengeyi sağlamak. Bu her gün üzerinde çalışmak zorunda olduğumuz bir şey.”

Son olarak Deasy, BP’deki döneminde siber risk yönetimine gün geçtikçe daha çok odaklandıklarını, mesaisinin %20’sini ciddi bir krizin olası sonuçlarını değerlendirmeye ayırdığını söyledi.

“Eğer altı yıl önce bana risk ve kriz yönetimine endişelenmek için harcayacağım zamanı sorsaydınız, size yıllık masa başı çalışmaları, çeyreklik risk değerlendirmeleri ve belki de ekibinizle biraz zorlanmak olarak ifade ederdim.”

“Günümüzde risk yönetimi ajandanızın büyük bir parçasını oluşturuyor, bugün vaktimin %20’sini bir takım risklerle mücadele etmeye çalışarak geçiriyorum – hükümet tartışmalarında, yönetim kurulu tartışmalarında, üst düzey yönetici tartışmalarında, takım içi tartışmalarda sürekli hangi kriz yönetiminin nasıl olacağı, felaket yönetiminin nasıl yapılacağı ve bu bilinmeyen dünyada nasıl oynanacağı üzerinde çalışıyoruz.

Deasy, kısa bir zaman önce BP’den ayrılacağını ve yine CIO olarak JP Morgan’a katılacağı, boşalan CIO koltuğuna ise hali hazırda BP’de Rafine ve Pazarlama birimi başkan yardımcısı olan Mike Gibbs’in getirileceği açıklanmıştı.

Hızlı analiz çalışmalarında kullanmak için bir araca ihtiyacımız vardı. Ekip arkadaşlarımız Yasin Sürer ve Yakup Kutluk hızlı bir analizde kullanılmak için bir araç geliştirmek üzere "boosted camp" yaptılar ve bir kaç saat içerisinde kullanışlı bir uygulama ortaya çıktı. Bir kaç bugfix ve iyileştirmeyle beraber yaklaşık bir günümüzü aldı. Umarım sizler için de faydalı olur.

VT Inspector bellekte o an çalışan süreçlerin bir listesini alır ve VirusTotal veritabanından sorgulayarak şüpheli süreçleri bildirir.

VT Inspector gets the list of the processes in memory and queries them in VirusTotal database, notifies suspicious ones.

VT InspectorDownload : VT Inspector