Sanal Önizleme: Black Hat 2020

Dürüst olalım. Hiç kimse, 2020 yılının zorluklarını tahmin edemezdi. Olacakları tahmin ettiğini söyleyen birilerini tanıyorsanız lütfen onları benimle tanıştırın. Onlar için özel bir hediyem var.

Nüfusun büyük çoğunluğu yaşam ve çalışma biçimlerinde büyük değişiklikler yapmak zorunda kaldı. Çok az insan bu kadar fazla insanın evden çalışacak ve evin dışında maske takmak gibi ihtiyaçları olacak olmasına hazırlıklıydı. Ancak, salgına ve salgının getirdiği değişikliklere karşı yalnızca bir grup hazır gibi görünüyor: Siber suçlular.

Cybercrims always follow the users. Users switched to remote work, so cybercrims switched to attacking their remote work.
During the #coronavirus times we see bruteforce attacks against RDP
have rocketed across almost the entire planet.
Details ⇒ https://t.co/Fj0LtQ5UhO pic.twitter.com/IppsWAe9tT

— Eugene Kaspersky (@e_kaspersky) April 29, 2020

Hırsızlar salgını sadece hayatta kalmak için değil, büyümek için de bir fırsat olarak gördüler. Nisan ayında siber faaliyetlerde büyük bir artış gerçekleşti. Bu artış, Mayıs ayında bir miktar azalsa da Haziran ve Temmuz aylarında tekrar Nisan ayı seviyelerine ulaştı. Yakın zamanda Eugene Kaspersky ile çevrimiçi gerçekleştirdiğimiz bir toplantıda bu artışın neden yaşandığını sorduk ve bize bu artışı şu şekilde özetledi, “Siber suçlular yakalanıp hapse girene kadar evden çalışırlar.”

Kaspersky’nin yayınladığı panel, 1-6 Ağustos tarihlerinde gerçekleştirilecek olan Black Hat konferansına adanmıştı ve Global Araştırma ve Analiz Ekibi’nden (GReAT) Costin Raiu ve Kurt Baumgartner da bu panelde yer alıyordu. Yıllık hacker yaz kampı da tıpkı Güvenlik Analisti Zirvesi gibi sanal bir etkinliğe dönüştü.

Black Hat 2020’de yer alması öngörülen konular

Sanal olsun ya da olmasın, Black Hat’in bu yılın en büyük siber güvenlik etkinliklerinden biri olmasını bekliyoruz. Bu nedenle, Raiu ve Baumgartner’a bu yıl en çok görmek istedikleri Black Hat sunumlarını sorduk. Raui ve Baumgartner’ın listediği sunumlar şu şekilde:

• Kökü Tersine Döndürme: Sıfır Gün Güvenlik Açığı İçerisinde Güvenlik Açığını Belirleme — Maddie Stone
• IoT Skimmer: Yüksek Watt IoT Botnetler ile Enerji Piyasası Manipülasyonu — Tohid Shekari ve Raheem Beyah
• Spectra: Kablosuz Çipler Arasında Ayırıcıyı Kırma — Jiska Classen ve Francesco Gringoli
• FASTCash ve INJX_Pure: Tehdit Aktörleri Finansal Dolandırıcılık için Kamu Standartlarını Nasıl Kullanıyor — Kevin Perlow
• Chimera Operasyonu: APT Operasyonu Yarı İletken Sağlayıcıları Hedefliyor — Chung-Kuan Chen, Inndy Lin ve Shang-De Jiang

Bonus kısım: 2020 yılının şimdiye kadarki en ilginç APT’leri

Panel sırasında, kolektif grubumuza geçen yılki “favori” siber casusluk kampanyalarının neler olduğunu sorduk.

Raiu’ya göre bu sorunun cevabı Kaspersky ekibinin 1,5 yıldır gözlemlediği bir grup olan Wellmess grubu. Bu gruptan son GReAT Ideas oturumunda da bahsedilmişti. Raui aynı zamanda, giriş maliyetinin 500 dolar ile 500 bin dolar arasına düşmesiyle kiralık hacker operasyonlarının da izlemek için ilginç bir alan olduğunu ekledi.

As of July 6, CISA had no actor attributed to WellMess. July 6. Remember that. In 11 days, they were able to go from not knowing, to publicly backing direct attribution to an APT actor who hasn't been seen in over a year? https://t.co/h6udgjAPk8

— Brian Bartholomew (@Mao_Ware) July 17, 2020

Baumgartner ise odağın Doğu’ya kaydığını belirtti ve ekledi, “Bu yıla geri dönüp baktığımda, benim için her zaman raporlamadığımız kampanyalardan biri olan, Two Sail Junk ve bu grubun LightRiver adındaki kötü amaçlı yazılım implantları öne çıkıyor. Ocak ayında bazı forumların watering hole olarak kullanıldığını ve bu forumların Hong Kong aktivistleri tarafından ziyaret edildiğini gördük. Bu forumları başka insanlar da ziyaret ediyor olabilir ancak çoğunlukla bu siteleri aktivistler kullanıyor, ki biz de burada bir zincir gördük. Bu saldırıları hedefleyen iOS, iPhone güvenlik açıklarını ve kötü amaçlı implantlar zincirini bir araya getirmeyi başardık. Bu zinciri parçalara ayırdık ve henüz gelişme aşamasında olduğunu gördük. Önümüzdeki birkaç ay için bu implantlara modlar ve değişiklikler yapıldığını söyleyebilirdiniz ancak şimdi Hong Kong’un özellikle de bu aktivistler için çok önemli bir nokta olduğu ortaya çıktı. Fakat iPhone’ların genellikle bu şekilde hedef alındığını ve aktif olarak kullanıldığını görmediğimiz için bu implant çok ilginçti.”

Eugene Kaspersky ise henüz bilmediğimiz ya da hala devam eden ve henüz maruz kalınmamış siber faaliyetleri “en ilginç” faaliyetler olarak gördüğünü söyledi. Belki de bu faaliyetler hakkında yeni bilgileri Black Hat 2020 konferansında öğrenebiliriz.