Teknolojik sistemlerde mutlaka güvenlik noktasında gözden kaçırılan bir yer oluyor. Bu aralıklardan da siber korsanlar sızabiliyor ve firmanın hatta kullanıcıların en özel bilgilerini çalıyor. Böylesi durumlar neredeyse bütün şirketlerin başına gelebiliyor. Eylül ayında da bazı siber güvenlik olayları yaşandı. Bu saldırılar arasında en çok dikkat çeken 6 siber güvenlik olayını sizler için derledik.
1. Ohio kolejinde veri hırsızlığı ihlali
Ohio’daki bir topluluk koleji, bu baharda 290 bin kişiye kişisel, mali ve sağlık bilgilerini tehlikeye atabilecek bir veri hırsızlığı ihlali konusunda önemli bir uyarıda bulundu. Geçtiğimiz günlerde yapılan bir bildirimde detaylı ayrıntılar verilmedi ancak Vice Society fidye yazılımı grubu bu yılın başlarında üniversiteyi veri sızıntısı web sitesinde listelemişti. Uzmanlar ise bu saldırıyla ilgili olarak şunları söylüyor: “Bu özel fidye yazılımı operasyonu, muhtemelen bunu kazançlı bir niş olarak gördükleri için eğitim sektörüne odaklanmış durumda.”
Güvenlik araştırmacılarına göre bu siber saldırganlık olayı, küçük okulların artık neden siber suçluların tercih ettiği hedefler olduğunu gösteriyor. Aslında, eğitim sektöründeki 400 katılımcıyla yapılan bir anket, okulların yaklaşık yüzde 80’inin geçen yıl fidye yazılımı da dahil bilgisayar korsanlığı olaylarını bildirdiğini ortaya çıkarıyor. Bu sebeple de aslında Ohio’da meydana gelen bu veri hırsızlığı ihlali ortalama 300 bin kişiyi etkiliyor.
2. GitHub depoları, Dependabot işlemleriyle siber saldırıya uğradı
Bilgisayar korsanları GitHub hesaplarını ihlal ediyor. Birkaç gün önce gerçekleşen bu saldırıda geliştiricilerin kimlik doğrulama sırlarını ve parolalarını çalmak için Dependabot katkıları gibi görünen kötü amaçlı kodlar ekleniyor. Dependabot, projeleri savunmasız bağımlılıklara karşı tarayan ve güncellenmiş sürümleri yüklemek için otomatik istekleri yayınlayan otomatik bir araç. Ama siber korsanlar bu aracı kullanarak müşterilerin verilerini çalmaya çalıştı ve depolara saldırdı.
Saldırı, saldırganların bir şekilde hedeflerinin kişisel GitHub erişim jetonlarını ele geçirmesiyle başladı ve birebir taklidini oluşturdular. Aynı zamanda tehdit aktörleri de “dependabot” hesabı tarafından gönderildiği anlaşılan “düzeltme” başlıklı sahte taahhüt mesajları oluşturmak için otomatik komut dosyaları kullandı. Bunun yanı sıra gizli bilgilerin sızması, GitHub eylem dosyasının etkilenen depodaki her kod aktarma olayında tetiklenen yeni bir iş akışı olarak eklenmesiyle yaşanıyor. Bu sebeple çok fazla GitHub deposu da siber saldırıdan etkilendi.
Checkmarx’ın analistleri bazı kurbanların kayıtlarını inceledi ve hesaplarının çalıntı PAT’ler kullanılarak ele geçirildiğini tespit etti. Bu belirteçler, geliştiricinin bilgisayarlarında yerel olarak depolanıyor. Böylece çift faktörlü doğrulamayı geçmeden GitHub’da oturum açmak için kullanılabiliyor. Son olarak siber güvenlik firması, saldırganların bu tokenleri hangi yollarla çaldığı konusunda somut bir sonuca varamadı.
3. Kötü amaçlı Python ile gizli kripto madenciliği
Bir diğer önemli siber saldırı olayında ise suçlu, kötü amaçlı bir Python paketi olan “Culturestreak” kullanarak yetkisiz kripto para madenciliği için sistem kaynaklarını ele geçirdi. Bu kötü amaçlı paket, tespit edilmekten kaçınmak için gizlenmiş kod ve rastgele dosya adları kullanıyor. Aynı zamanda kod sonsuz bir döngüde çalışıyor ve bu da onu sürekli olarak sistem kaynaklarından yararlanan bir tehdit haline getiriyor.
Buna ek olarak kötü amaçlı kodun aktif bir GitLab deposundan kaynaklanması da kullanıcılara yönelik devam eden riskin altını çiziyor. Özellikle de bu ay içerisinde “culturestreak” adında bir Python paketiyle karşılaşan firmalar oldukça fazla.
Bu yazılımın gerçekleştirdiği ilk şey, birkaç Base64 kodlu dizenin kodunu çözmek. Gizleme tekniği genellikle hassas bilgileri saklamak ya da kodun amacının anlaşılmasını zorlaştırmak için tercih ediliyor. Buna ek olarak işlemin sonraki adımlarında kullanılan HOST, CONFIG ve FILE gibi değişkenlerin kodunu çözüyor. Kötü amaçlı kodun bir sonraki adımı, değişkeni 1 ila 999999 arasında değişen rastgele bir tam sayıya ayarlamak. Bunun sebebi de antivirüs ya da güvenlik yazılımının, sabit adlandırma kurallarına dayalı olarak kötü amaçlı dosyaları algılama yeteneğini engellemek.
Firmalara gönderilen bu yazılım açıldığı zaman ikili dosya belirdi ve gizli kripto madenciliği de ortaya çıktı. İkili dosya, sabit kodlu havuz URL’leri ve cüzdan adreslerini kullanarak sonsuz bir döngüde çalışacak şekilde programlanıyor. Bu da kripto para biriminin yetkisiz madenciliği için sistem kaynaklarından yararlanmaya yönelik hesaplanmış bir girişime işaret ediyor.
4. GitLab kritik güvenlik açıklarını yakaladı
Dördüncü önemli siber güvenlik olayı ise GitLab’dan geliyor. Bir saldırgan, işlem hatlarını başka bir kullanıcı olarak çalıştırmasına imkan veren kritik bir kusuru çözmek için güvenlik yamaları gönderdi. Bu sorun ise GitLab Enterprise Edition’ın 13.12 ve 16.2.7 öncesi ile 16.3 ve 16.3.4 öncesi tüm sürümlerini etkiliyor. GitLab uzmanları ise şöyle söylüyor: “Bir saldırganın planlanmış güvenlik tarama politikaları kullanarak ardışık düzenleri keyfi bir kullanıcı olarak çalıştırması mümkündü. Bu, CVE-2023-3932’nin ek etki gösteren bir atlamasıydı.”
Öte yandan CVE-2023-5009’un başarılı bir şekilde kullanılması, bir tehdit aktörünün hassas bilgilere erişmesine ve hatta kimliğine bürünen kullanıcının yükseltilmiş izinlerinden yararlanarak kaynak kodunu değiştirmesine imkan veriyor. Bu da çok ciddi sonuçlara yol açabilir. Bu yeni güvenlik açığı GitLab’ın 16.3.4 ve 16.2.7 sürümlerinde giderildi.
5. ETH kurucusu Vitalik Buterin’in X’i hacklendi
Bir bilgisayar korsanı Vitalik Buterin’in Twitter hesabını ele geçirdi ve kötü niyetli bir NFT hediyesini tanıtan bir gönderi paylaştı. Gönderi, cüzdanlarını bağlayan kullanıcılardan para çalan bir URL içeriyordu. Bu sebeple de saldırıda değerli NFT’ler de dahil olmak üzere 690 bin dolardan fazla para çalındı. Buterin, yaşadığı bu veri ihlali ve hacklenme sebebiyle Twitter’ın yetersiz OTP kimlik doğrulamasını suçluyor. Hatta bu noktada yüksek profilli kişiler için güvenliğin önemine dikkat çekiyor.
Durum öğrenildiğinde yaşanan veri ihlali incelendi. Araştırmacılar, bir bilgisayar korsanının Vitalik Buterin’in resmi X hesabını ele geçirmeyi başardığını ve bunun 690 bin dolardan fazla zarara yol açtığını bildirdi. Siber saldırganın Buterin’in hesabını ele geçirdiği ve onun adına Proto-Danksharding’in Ethereum platformuna gelişini kutlayan bir gönderi paylaştığı bildirildi. Bu sorunların çözüme kavuşması amacıyla gönderi kısa sürede silindi ancak çok ciddi kayıplara sebep oldu. Yapılan çalışmalar sonucunda bu veri ihlalinden ve dolandırıcılıktan kaç kişinin etkilendiği net olarak bilinmiyor.
6. Pizza Hut Avustralya hacklendi
Pizza Hut Avustralya, şirketin müşteri verilerinin bir siber saldırı sonucunda çalındığını duyurdu. Pizza Hut Avustralya CEO’su Phil Reed, müşterilere gönderdiği e-postada, Eylül ayının başlarında “izin verilmeyen üçüncü taraf”ın şirket verilerine erişim sağladığını fark ettiklerini belirtti.
Reed, çalınan veriler arasında müşteri adları, teslimat adresleri, sipariş detayları, e-posta adresleri ve iletişim numaralarının bulunduğunu açıkladı. Ayrıca, kayıtlı hesaplar için şifrelenmiş kredi kartı numaraları ve şifrelerin de çalındığı bilgisini paylaştı.
Saldırının operasyonlara herhangi bir etkisinin olmadığını ve ihlalin Avustralya Bilgi Komiseri Ofisi’ne bildirildiğini belirten Reed, şirketin etkilendiğini düşündüğü yaklaşık 193 bin müşteriye ihlal hakkında bilgi verdiklerini ifade etti. Siber saldırganların elde ettiği verilerin ne kadar geriye gittiğine dair sorulara yanıt verilmezken, Pizza Hut Avustralya’nın bu durumu nasıl önlemeye çalıştığı ve müşterileri nasıl korumaya çağırdığı da belirtilmedi.