CyDeS Chronicle. Ocak Cyber Defence and Security Center

Transkript

1 CyDeS Chronicle Ocak-2015 Cyber Defence and Security Center 1

2 Bu bülten, siber güvenlik ve siber savunma alanında dünyada yer alan başlıca gelişmeleri derlemeyi amaçlamaktadır. Siber güvenlik konusunda güncel gelişmeleri taraf gözetmeden, farkındalık geliştirmek amacıyla sunan bültenimiz, ODTÜ Enformatik Enstitüsü nde faaliyet gösteren CyDeS (Cyber Defense and Security Center) tarafından aylık olarak hazırlanmaktadır. 2

3 Cyber Defence PlayStation ve Xbox'a siber saldırı and Security Center 3

4 İçindekiler PlayStation ve Xbox'a siber saldırı 3 Üçüncü Dünya Savaşı nın Başladığı Haberi Sosyal Medyayı Salladı. 5 CENTCOM Sosyal Medya Hesapları Hacklendi. 6 Sosyal Çöküntü 8 PlayStation ve Xbox'a siber saldırı düzenlendi 9 Hacker grubu Kertenkele Timi (Lizard Squad) kimdir? Yılı Ocak Ayında Gerçekleşen Önemli Siber Saldırı Listesi 13 Rus Arkadaşlık Sitesinden 20 Milyon Kişinin Hesap Bilgisi Çalındı 15 Malezya Havayolları Websitesini Hackledi. 16 4

5 Üçüncü Dünya Savaşı nın Başladığı Haberi Sosyal Medyayı Salladı. ABD merkezli haber ajanslarının Twitter hesaplarından açıklanan 3. Dünya Savaşı nın çıktığı haberleri sosyal medyada büyük yankı uyandırdı. New York Post un ve United Press International ıntwitter hesaplarından ABD ve Çin savaş gemileri arasında çatışma çıktığı belirtildi. Ayrıca, United PressInternational ın Twitter hesabından Papa nın 3. Dünya Savaşı başladı. dediği iddia edildi. Özellikle Sony nin hacklenmesi günlerce gündemde yer tutmuştu yılında da bu tarz olayları sık sık yaşayacakmışız gibi görünüyor. Özellikle son dönemlerdeki saldırıların boyutları dikkate alındığında siber güvenlik konusunun ciddi olarak ele alınması gerektiği su götürmez bir gerçek. Bu tweetler kısa süre içinde defalarca paylaşıldı ve sosyal medyada büyük bir paniğe neden oldu. Ancak kısa süre sonra hesapların hacklendiği açıklandı ve haberler gerçek olmadığı belirtildi. Böylece panik havası da dağılmış oldu yılına siber saldırılar damgasını vurmuştu. 5

6 CENTCOM Sosyal Medya Hesapları Hacklendi. ABD Merkez Kuvvetler Komutanlığı'nın (CENTCOM) Twitter ve Youtube hesapları IŞİD olduğu sanılan bir grubun siber saldırısına uğradı. Hack'lenen Twitter hesabından "Amerikan askerleri, geliyoruz, arkanızı kollayın. IŞİD" mesajı paylaşıldı. Terör örgütü IŞİD'e karşı yürütülen hava saldırılarını koordine eden CENTCOM'un resmi Twitter hesabından, yerel saatle 12.29'da "Amerikan askerleri, geliyoruz, arkanızı kollayın. IŞİD" yazılı mesaj paylaşıldı. Sayfada ayrıca #CyberCaliphate" (Siber Halifelik) imzasıyla atılan mesajda aralarında emeklilerin de bulunduğu ABD askerlerinin kişisel bilgileri ve askeri planlar olduğu iddia edilen bazı bilgiler yayımlandı. üslerinizdeki bilgisayarlardayız" ifadesi yer aldı. Öte yandan CENTCOM'un Youtube hesabı da yine aynı içerikli bir siber saldırıya uğradı. Youtube sayfasında da IŞİD yanlısı bazı videoların konulduğu görüldü. ABD Savunma Bakanlığı Pentagon'dan bir yetkili de, CENTCOM'un Twitter ve Youtube hesaplarına yönelik saldırıyı doğrulayarak, "konuyla ilgili uygun tedbirleri alıyoruz" açıklamasında bulundu. Diğer bir mesajda ise, "IŞİD burada, tüm askeri 6

7 Öte yandan, CENTCOM'un resmi Twitter sayfasına ulaşmaya çalışanlar 'Görüntülemeye çalıştığın profil askıya alınmıştır' mesajıyla karşılaşıyor. Beyaz Saray Sözcüsü Josh Earnest, günlük basın brifinginde, konuya ilişkin, "Bu kesinlikle araştırdığımız ve ciddiye aldığımız bir şey" dedi. Büyük çaplı bir veri sızması ile bir Twitter hesabının saldırıya uğraması arasında önemli fark olduğuna işaret eden Earnest, "Dolayısıyla olayın boyutunu şu anda araştırıyoruz ancak bunun ötesinde bir bilgiye sahip değilim" diye konuştu. ABD Savunma Bakanlığı Pentagon'dan da CENTCOM'un Twitter ve YouTube sayfalarının derhal askıya alındığı, saldırıda gizli bilgilerin ele geçirilmesi gibi bir durumun söz konusu olmadığı belirtildi. Pentagon sözcülerinden Steve Warren, "Bu bir tür muziplik ya da vandallığın biraz ötesi. Rahatsız edici, ancak hepsi bu. Bu (saldırı), operasyonlarımızı hiçbir şekilde risk altına sokmuyor" ifadesini kullandı. Warren, Pentagon yetkililerinin, bu tüm kamuya açık web siteleri için askeri şifreler ve diğer güvenlik tedbirlerinin yeterli düzeyde olması konusunda Twitter ve YouTube ile temas halinde olduğunu da aktardı. Konuyla ilgili CENTCOM'dan yapılan açıklamada da, siber saldırıda CENTCOM'un operasyonel askeri ağlarının tehlikeye girmediği ve CENTCOM'a herhangi bir operasyonel etkinin de söz konusu olmadığı belirtildi. CENTCOM, hesapları mümkün olan en hızlı biçimde yeniden açacağını ve bunu sadece bir "siber vandalizm" vakası olarak gördüklerini kaydetti. Terör örgütü IŞİD'e karşı yürütülen hava saldırılarını koordine eden CENTCOM'un resmi Twitter ve YouTube hesapları dün bilgisayar korsanlarının saldırısına uğramış, hesaplarda IŞİD yanlısı video ve mesajlar paylaşılmıştı. detay/ /default.htm 7

8 Sosyal Çöküntü 45 dakika boyunca başta Facebook ve Instagram olmak üzere, Tinder, AIM ve Hipchat gibi sosyal ağlara dünyanın erişimi kesildi. Sosyal ağlardaki sorunu Lizard Squad adlı grup Biz hack ledik diye üstlenirken Facebook yaptıkları bir değişikliğin Squad, 2014 te birçok kez Sony PlayStation Network (PSN) ve Xbox Live oyun platformlarını hedef almış ve en son saldırılarını yılbaşı günü düzenlemişti. Lizard Squad, en son olarak Malezya Havayolları nın sayfasını da hack lemişti. neden olduğunu açıkladı. Dünyanın en popüler sosyal ağları olan Facebook ve Instagram, 27 Ocak 2015 tarihinin sabah saatlerinde yine çöktü. Yaklaşık 45 dakika sosyal ağlara dünyadaki tüm kullanıcılar ulaşamadı. Ancak daha sonra Instagram ve Facebook un yanı sıra Tinder, AIM ve Hipchat gibi internet servislerini de çöktüğü ortaya çıktı. Popüler sosyal ağlarda bu sorunlar yaşanırken daha önce Sony ve Xbox a düzendiği saldırılarla adını duyuran Lizard Squad ın attığı tweetler dikkat çekti. Lizard Squad hacker grubu, söz konusu kesintinin kendileri tarafından gerçekleştirilen siber saldırı sonucu yaşandığını öne sürdü. Anonymous ve Guardians of Peace örgütleriyle bağlantısı olduğu düşünülen Lizard YENİLİK YÜZÜNDEN Facebook, Lizard Squad tarafından saldırıya uğradıkları iddasını reddetti. Geliştirici portalından yapılan açıklamada erişim kesintisine neden olan sorunun kısa zamanda tespit edilerek düzeltildiğini belirten açıklamada şöyle denildi: Bu sorun, üçüncü şahıslar tarafından gerçekleştirilen bir saldırı sonucunda değil, üzerinde çalıştığımız bir değişikliğin yapılandırma sistemlerimizi etkilemesi sonucunda ortaya çıktı. Problemi çözmek için elimizden geldiğince hızlı hareket ettik ve her iki servisimiz de şu an yüzde 100 geri dönmüş durumda. 8

9 PlayStation ve Xbox'a siber saldırı düzenlendi İngiliz polisi, Microsoft'un Xbox Live ve Sony'nin PlayStation ağlarına düzenlenen siber saldırılarla bağlantısı olduğundan şüphelenilen İngiliz vatandaşı 18 yaşındaki bir erkeğin gözaltına alındığını duyurdu. Playstation ve Xbox'a yapılan saldırı sonrası gözaltına alınan kişi hakkında, İngiliz polisi Microsoft'un Xbox Live ve Sony'nin PlayStation ağlarına geçen Noel Bayramında düzenlenen siber saldırıdan yaklaşık 160 milyon kullanıcının etkilendiği bildirilmişti. Saldırıyı hacker grubu Lizard Squad üstlenmişti. Microsoft'un Xbox ağının 48 milyon, PlayStation sisteminin ise 110 milyon abonesi bulunuyor. tarafından yapılan açıklamada, siber suç timleri tarafından bu sabah İngiltere'nin Liverpool kentindeki bir adrese düzenlenen baskında gözaltına alınan İngiliz vatandaşının, bilgisayar korsanlığı ve bilgisayar materyallerine izinsiz erişim suçundan gözaltına alındığı kaydedildi. Liverpool polisi, gözaltının gerçekleştiği operasyonunun, İngiltere'deki siber suç birimleri ve ABD Federal Soruşturma Bürosu (FBI) tarafından ortak olarak düzenlendiği bilgisini verdi. 9

10 Hacker grubu Kertenkele Timi (Lizard Squad) kimdir? Facebook yöneticileri, bu sabahki erişim sorunlarının hacker gruplardan kaynaklandığı iddialarını reddetti. Facebook, sorunun kendi mühendislerinin hatasından kaynaklandığını bildirdi. Facebook ve sahibi olduğu fotoğraf paylaşım sitesi Instagram'ın, kendilerini "Kertenkele Timi" (Lizard Squad) olarak adlandıran bilgisayar korsanları tarafından çökertildiği iddia edilmişti. İddiaya grubun Twitter sayfasından attığı ve çöken sitelerden söz ederken #LizardSquad etiketini kullandığı bir mesaj neden oldu. Adı son zamanlarda sık sık gündeme gelen Kertenkele Timi, son olarak Malezya Havayolları'na düzenlenen siber saldırıları üstlenmişti. Noel döneminde de yine aynı grup Sony ve Microsoft'un oyun konsollarına düzenlenen saldırıları kendisinin yaptığını duyurdu. Ocak ayının başlarında İngiltere'de bir kişi PlayStation ve Xbox saldırıları soruşturması kapsamında gözaltına alınmıştı. İngiltere'nin kuzeybatısındaki Southport kentinde gözaltına alınan 18 yaşındaki genç, gizli veritabanlarına izinsiz erişmekle ve ABD'li yetkililere kasıtlı olarak yanlış bilgi vermekle suçlanıyordu. Kertenkele Timi kimdir ve bundan sonra sanal alemi neler bekliyor? Timin üyesi olduğunu söyleyen ve kendisini 'Üye İki' olarak tanıtan 22 yaşındaki bir kişi "Eylemlerimizi yapabildiğimiz için yapıyoruz" diyor. Sony ve Microsoft'a düzenlenen saldırılarda amacın bu iki şirketin güvenlik zaaflarını ortaya koymak olduğunu da vurguluyor. Üye İki, BBC'nin sorularını yanıtlarken "Microsoft devasa bir şirket. Sizce de bu tür saldırıları 10

11 engelleyebilmeleri gerekmez mi?" dedi. Toplumun değerlerindeki değişimleri de sorgulayan Kertenkele Timi üyesi "Noel, çocukların bilgisayar oyunları ya da yeni oyuncaklarıyla oynadığı bir zaman mı, yoksa aileleriyle Noel'i kutladıkları bir tatil mi olmalı?" diye sordu. Kimleri Hedef Alıyorlar? Grup saldırı düzenlediği internet sitelerine Kertenkele Timi imzasını bırakıyor. sitede Criminal (Sabıkalı), Jordie, Pain (Acı) and Plague (Salgın) isimlerini görmek mümkündü. Bunlar Kertenkele Timi'nin bilgisayar korsanlarının takma adları. Grubun siber saldırılar harici aktiviteleri ise daha çok Twitter üzerinden takip edilebiliyor. Paylaşılan mesajların büyük kısmında saldırı düzenlenen hedeflerle dalga geçiliyor ya da yeni siber saldırıların yolda olduğu iddia ediliyor. Oyun sitesi Machinima'ya düzenlenen saldırı sonrası Kertenkele Timi'nin saldırılarına maruz kalan şirketler arasında bilgisayar oyunu yapımcısı EA Games'ten, Microsoft oyun konsolunun internet hizmeti olan Xbox Live'a kadar çok sayıda şirket bulunuyor. Her ne kadar Kertenkele Timi adından sıkça söz ettiriyor olsa da, büyük hedeflere saldıran başka bilgisayar korsanları da var. 11

12 Ocak ayının başlarında Sony'nin film yapımcısı kolu Sony Pictures Entertainment'a düzenlenen siber saldırılarda aralarında henüz vizyona girmemiş filmlerin senaryolarının da olduğu bir dizi gizli belge çalındı ve internet üzerinden sızdırıldı. Daha sonra saldırıların sebebinin Interview (Röportaj) adlı film olduğu ortaya çıktı. Sony'nin yapımcılığını üstlendiği bu komedi filminde iki ABD'li CIA ajanının Kuzey Kore lideri Kim Jong-un'a suikast girişimi konu ediliyordu. Bu tür siber saldırıları düzenleyen korsanlar her zaman polisten kaçamıyor. 2011'de birçok siber saldırı gerçekleştiren dört İngiliz bilgisayar korsanı geçtiğimiz yıl Nisan ayında hapis cezasına çarptırılmıştı. Dört İngiliz'in üyesi olduğu düşünülen Lulzsec grubunun lideri ise bir ay sonra, Mayıs'ta Avustralya'da gözaltına alındı. 12

13 2015 Yılı Ocak Ayında Gerçekleşen Önemli Siber Saldırı Listesi Tarih Açıklama Ülke Finli Banka OP Pohjola için 2015 pek iyi başlamadı. Saldırganların bankaya düzenlediği dağıtık hizmet dışı bırakma saldırısı sonucunda banka ve müşterilerinin online işlemleri engellendi. Zyklon isimli hacker grubu en.asiadcp.com sitesine saldırark 3361 kullanıcının kullanıcı adı ve açık parolalarını ele geçirdi. Finlandiya Çin Zyklon differencegames.com sitesine saldırarak 1804 kullanıcının kullanıcı adı ve parolasının ele geçirdi. ABD Linker Squad isimli grup, SQL enjeksiyon yöntemini kullanarak, Fransa TV sitesine saldırdı. TF1.fr de yer alan 2 milyon online müşteriye ait özel bilgileri ele geçirdiğini duyurdu. Fransa Anonymous Ukrayna Hukuk bürosuna sızarak bazı dökümanları internete sızdırdı. Ukrayna İngiltere merkezli, bitcoin dolar değişimi yapan BITSMAP isimli firma hesaplarından 5.2 milyon dolar çalındığını duyurarak işlemlerini askıya aldı. İngiltere Linker Squad İspnya Orange firmasından 10 milyon kullanıcı bilgilerini sızdırdığını duyurdu. İspanya Rusya yanslısı hacker grubu CYberBerkut Almanya başbakanlığına ait bundeskanzlerin.de ve bundestag.de web sayfalarına hizmet dışı bırakma saldırısı düzenlediğini duyurdu. Almanya CENTCOM a ait Twiter ve Youtube hesaplarının CyberCaliphate grubu tarafından çalındığı ve çeşitli poster ve diyagramların bu hesaplar üzerinden yayımlandığı duyuruldu. ABD 13

14 Dorking92 isimli hacker grubu lehlel.com isimli web sayfasının hackleyerek kullanıcıya ait kullanıcı adı ve açık parolaları yayımladı. Fransa Charlie Hebdo saldırısının ardınan Fransız web sayfasına zayıf sayılabilecek seviyede ancak koordineli dağıtık hizmet dışı bırakma saldırısı düzenlendi. Fransa Adı daha önceden duyulmamış bir grup sanal market olan pavivy.com isimli web sayfasını saldırarak kullanıcıya ait bilgileri çaldı. ABD Rus arkadaşlık bulma sitesi Topface hackelenerek 20 milyon üyenin hesap bilgileri çalındı. Rusya Suriye Elektronik Ordusu Fransız Le Monde gazetesine ait Twitter hesabını çalarak Charlie Hebdo hakkında twitler attı. Fransa Adı bilinmeyen bir hacker validdump.ru isimli sitede yer lan 2534 kullanıcıya ait kullanıcya ait kullanıcı adı ve parola özet bilgilerini çaldı. Rusya Washington Üniversitesi ne ait web sayfaları arayüzleri değiştirilerek, Irak taki Amerikan askerlerine ölüm konulu posterler yapıştırıdı. ABD Anonkas isimli hacker İsrail forum sayfası (forum.mac-it.co.il) e saldırarak 4500 kullancı bilgisini çaldı. İsrail Saldırıların tam listesine aşağıdaki adresten erişebilirsiniz. 14

15 Rus Arkadaşlık Sitesinden 20 Milyon Kişinin Hesap Bilgisi Çalındı Bilgisayar korsanları dün bir Rus arkadaşlık web sitesi olan Topface'e saldırı düzenledi. Korsanlar, Topface deki 20 milyon kullanıcının adları ve e-posta adresleri dahil tüm kişisel bilgilerini içeren veritabanını çaldı. Daha sonra bu veritabanı, siber suç kullanıcı forumlarında satışa sunuldu. Kaspersky Lab antivirüs uzmanı Denis Legezo, konuyla ilgili yaptığı açıklamaya göre bu çalınan veriler en fazla, milyonlarca e-posta adresi içeren veritabanlarına erişim sağlayan istenmeye e-posta üreticilerinin işine yarayacak. Kurbanların artık arkadaşlık sitelerinin reklamlarının yanı sıra diğer ilgili teklifleri içeren istenmeyen e-postalar alması olası. Ayrıca saldırganlar, Topface sitesinde kullanıcıların birbirlerine gönderdikleri mesajlara da erişim sağlamış olabilir. Bu bilgiler şantaj veya para sızdırma amacıyla kullanılabilir. Topface web sitesi ücretli hizmetler de sunuyor. Bu hizmetlere erişim sağlamak isteyen kullanıcılar bir form doldurup banka kimlik bilgilerini girmiş bulunmakta. Topface'in henüz vakayla ilgili herhangi bir teknik bilgi vermemiş olması, yayınlananlara ek olarak herhangi bir verinin çalınıp çalınmadığını belirlemeyi zorlaştırıyor. Her durumda geçerli bir kural olarak, bir arkadaşlık web sitesinde bir ödeme gerçekleştiren bir kullanıcı, kartları, ödeme yapmak için ek kimlik bilgileri gerektiren ek hizmetleri ödemek için kullanılan bankalar ve ödeme işleme sitelerine yönlendiriliyor. Kullanıcı adı ve parola ikilisi Topface'e kaydolurken kullanılan e-posta hesabı gibi diğer hizmetlerde de kullanılmışsa hasarın boyutu çok büyük olabiliyor. Bu gibi durumlarda saldırgan kullanıcının e-posta hesaplarına otomatik olarak erişim sağlar ve finansal hizmetler veya sosyal ağ hesapları erişim bilgileri gibi diğer hassas bilgileri de çalabiliyor. Peki benzer bir siber saldırının kurbanı olursanız ne yapmalısınız: Hesabınıza erişimi kaybettiğinizi fark ederseniz, site yönetimiyle iletişime geçmeniz ve hesabını engelletmeniz iyi bir fikirdir. Aynı oturum bilgileri ve parola diğer hizmetlerde kullanılmışsa, bu hizmetlerdeki hesap bilgilerini değiştirmeniz de çok önemlidir. Bunlara ek olarak genel bir tavsiye: farklı hesaplarda farklı oturum bilgileri ve parolalar kullanın. Sadece sizin bildiğiniz bir algoritmayı temel alan oturum bilgileri ve parola ikilileri oluşturabilir veya farklı hizmetler için otomatik olarak benzersiz parolalar oluşturan bir parola yöneticisi kullanabilirsiniz. Ayrıca kesinlikle hiçbir hizmet için tüm kredi kartı verilerinizi, bu seçenek kullanılabilir olarak görünüyor olsa bile kaydetmeyin! 15

16 Malezya Havayolları Websitesini Hackledi. Malezya Havayolları nın websitesi İslamcı terör grubu, IŞID destekçisi Lizard Squad (Kertenkele Takımı) hacker grubu tarafından hacklendi. Hacklenmenin nedeni henüz belli olmamasına rağmen, Malezya Havayolları nın resmi Facebook sayfasında yapılan açıklamada websitesinin hacklenmesini kabul etmeyerek sadece DNS lerinde Uçak kazalarıyla son dönemde kötü günler geçiren Malezya Havayolları kendilerine Lizard Squad - Siber Hilafet dedikleri hacker grubu tarafından hacklendi. sorun olduğunu, websitelerindeki hatanın en geç 22 saat içinde giderileceğini, şuanda rezervasyonlarda sorun olmadığını ve müşteri bilgilerinin güvende olduğunu söyledi. Malezya Havayolları ayrıca Bu sabah Malezya Havayolları nın resmi websitesi, a girenler, 404 Uçak bulunamadı (Plane not found), Siber Hilafet tarafından hacklenmiştir (Hacked by Cyber durumun Malezya Ulaştırma Bakanlığı na ve Malezya Siber Güvenlik Birimi ne bildirildiğini açıkladı (1). Öğle saatlerinde Malezya Havayolları websitesi eski haline döndü. Caliphate) ve Cyber Caliphate ı Twitter dan takip edin (Follow Cyber Caliphate on Twitter) yazılarıyla karşılaştı. Ayrıca tarayıcıda ISIS Will Prevail (IŞID Hüküm Sürecektir) yazısı göründü. 16

17 Chronicle Ocak 2015 CyDeS Chronicle CyDeS, Enformatik Enstitüsü, ODTÜ 17 Cyber Defence and Security Labotorary