Tüm Siber Saldırı Çeşitleri Covid-19 ile Birlikte Zirveye Çıktı

Koronavirüs (Covid-19) sürecinde pandemi konseptini kullanan kötü amaçlı uygulamaların sayısındaki artışın yanı sıra siber korsanlar, birçok mobil uygulamanın güvenlik zafiyetlerini kullanarak ciddi etkiye sahip saldırılar düzenledi. Ayrıca sahte oyun ve Covid-19 haritalarından, RDP Brute Force saldırılarına kadar uzanan siber tehdit unsurları son aylarda adeta patlama yaşadı.

Covid-19 takip uygulamaları gündemden düşmüyor

Güvenlik araştırmacıları kısa süre önce Qatar Covid-19 uygulamasında yer alan güvenlik açığının milyonlarca kullanıcıya ait kimlik bilgilerini ve sağlık raporlarını sızdırdığını tespit etti. Hindistan’ın kendi Covid-19 uygulamasında ise siber suçluların her bir hanedeki vaka sayısını istedikleri gibi değiştirebildiği anlaşıldı. İngiltere ve İskoçya’da sunulan Covid-19 uygulamasında ise yedi farklı güvenlik zafiyeti bulundu. ABD’de ise Care19 adını taşıyan uygulamanın kullanıcı konumlarını bir dijital pazarlama hizmetine gönderdiği anlaşıldı. Neyse ki uygulamanın geliştiricileri, Mayıs ayında tespit edilen zafiyetin giderildiği bilgisini paylaştı.

Zoom video konferans uygulamasında yaşanan dev sızıntı, Dünya Sağlık Örgütü’nün (WHO) defalarca saldırıya uğraması, birçok sağlık kurumunun fidye yazılım tehditleriyle boğuşması ve ABD’ye ait Covid-19 aşısı araştırmalarına ait verilerin çalınmaya çalışılması son birkaç ayda yaşanan güvenlik sorunlarının sadece birkaçı.

Gizlilik ihlali ve sanayi casusluğu

Birçok ülkede Covid-19 vakaları ve temas ettikleri kişileri takip etmek için geliştirilen uygulamalar hakkında tartışmalar yaşanıyor. Hangi bilgilerin toplanması ve bu verilere kimlerin erişmesi gerektiği konusunda yaşanan tartışmaların yanı sıra yaşanan güvenlik zafiyetleri de endişenin boyutunu artırıyor. Özellikle birçok eyaletten oluşan ABD gibi bir ülkede bu sorun çok daha net olarak görülebiliyor: Ülke genelinde sayısız Covid-19 uygulaması mevcut, her eyaletin siber güvenlik bütçesi farklı olduğu gibi ABD Kongresi’nin uygulamalara yönelik bir düzenlemesi de yok.

Siber güvenlik uzmanları Covid-19 takip uygulamalarının suç örgütleri için fazlasıyla cezbedici olduğunu belirtiyor. Ayrıca “Hacktivist”ler kendi mesajlarını öne çıkarmak için uygulamalara saldırıyor, siber suç örgütleri ise kimlik bilgisi hırsızlığı yaparken devletler de bu yazılımları bir gözetim sisteminin parçası haline getirebiliyor.

Covid-19 takip uygulamalarının ifşa edilmesiyle iki büyük sorunun ortaya çıkabileceğini belirtiliyor: Gizlilik ihlali ve sanayi casusluğu. Bu uygulamalar bir süre önce kimin dişçide olduğunu, bir siyasi etkinlikle hangi parti destekçilerine yakın durduğunu ve kişisel çeşitli sırları ortaya çıkarıyor. Bu tip bilgiler, çeşitli sosyal mühendislik saldırıları ve hatta şantaj için kullanılıyor. Ayrıca bir şirkette önemli konuma sahipseniz, bağlantılarınızı ele geçirmek için bu uygulamalar çok daha derinlemesine risk unsuru oluşturuyor. Siyasetçiler, doktorlar, avukatlar ve birçok meslek alanından sayısız insan önemli bağlantılarını ve şahsi bilgilerini çaldırabiliyor.

Hindistan’da büyüyen sorun: Chingari 

İnternet kullanımın artmasıyla yükselişe geçen güvenlik sorunları ile karşı karşıya kalan ülkelerden biri de Hindistan.

İlk olarak Mayıs ayında, TikTok klonlarından biri olan Mitron uygulamasında kullanıcı profillerinin sadece birkaç saniye içinde ele geçirilebildiği anlaşılmıştı. En yeni güvenlik skandalı ise Mitron’un yerini alan bir diğer TikTok klonu Chingari ile patlak verdi. Google Play Store’de bir ay için 10 milyonu aşkın kişi tarafından indirilen uygulamanın kullanıcı bilgilerini doğrulama basamaklarında ortaya çıkarılan zafiyet, profillerin ele geçirilmesi, bilgilerin değiştirilmesi, hatta izinsiz video yüklenebilmesini esas alıyor.

Uygulama, kullanıcılara Google hesapları ile erişim izni verse de güvenlik araştırmacıları Chingari’nin kullanıcı profillerine oluşturmak için özel bir şifre kullanmadığı, bunun yerine özel bir ID oluşturduğunu ve sunucudan aldığı diğer bilgileri kullandığını belirtti. Siber korsanlar HTTP taleplerinde kullanıcı kimliğini değiştirerek kolayca profilleri ele geçirebiliyor. Bunu yaparken, hesap sahiplerinin hiçbir işlem yapması gerekmiyor ve haberleri olmadan hesapları çalınıyor.

Joker tekrar sahnede…

Güvenlik uzmanları, Google Play Store‘daki uygulamalarda saklanan kötü amaçlı yazılım Joker’in (nam-ı diğer Bread) tekrar kendini gösterdiğini tespit etti. Joker, uygulamalar içindeki ikili kodları metne dönüştüren Base64 şifreli dizinleri halinde saklanıyor. Samsung cihazların masaüstüne bağlanmasını sağlayan DEX uygulamasının kafasını karıştırarak cihazlarda deşifre olarak indiriliyor.

İlk kez 2017’de tespit edilen Joker, en başarılı Android saldırılarından biri. Fatura dolandırıcılığından casusluk özelliklerine kadar birçok fonksiyonu bulunan Joker, aynı zamanda SMS metinlerini, bağlantı listeleri ve cihaz bilgilerini çalabiliyor.

Güvenlik uzmanları önemli bir uyarıda bulunarak Joker’in tespiti zor bir kötü amaçlı yazılım olduğunu ve Google’ın güvenlik bariyerlerini tekrar güçlendirmesi gerektiğini ifade etti.

Güvenlik şirketleri tarafından son yıllarda Joker ve benzeri uygulamalara yönelik artırılan analizler, kötü amaçlı yazılımların Play Store güvenlik bariyerlerini aşmak için kullandığı yöntemlerin birçoğunu ortaya çıkardı. Joker, Play Store’da yasal görünen uygulamalar ile kötü amaçlı yazılım yaymak için kullanılan birçok yöntemin keşfedilmesini sağladı. Bunlar arasında analiz motorlarından kod dizinlerini şifreleyerek saklamak, sahte geri bildirimler ile kullanıcıları kandırmak ve “versioning” bulunuyor. Bu yöntemde, uygulama platformunda ilk olarak tamamen yasal ve temiz bir uygulama yükleniyor. Ardından, güvenirliği kanıtlanan uygulamaya kötü amaçlı yazılım enjekte ediliyor.

NOT: Google, Ocak 2020’de yaptığı açıklamada son üç sene içerisinde Play Store’den Joker ile enfekte olmuş 1.700 uygulamanın çıkarıldığını belirtmişti.

Oyun odaklı saldırılar

Uzaktan çalışma, uzaktan eğitim, sokağa çıkma yasakları ve genel itibarıyla evde geçirilen yoğun zamanın yansımalarından biri de video oyunlarına yönelik ilginin rekor düzeyde artmasıydı. Video oyunlarına yönelik yoğun ilgi, bu alandaki siber saldırıların yükselişini de beraberinde getirdi. Bu kapsamda bir siber güvenlik şirketi tarafından gerçekleştirilen araştırmaya göre Nisan ayında oyun odaklı saldırı sayısı, Ocak ayına göre yüzde 54 artış gösterdi.

Kullanıcılar Minecraft, CS:GO (Counter Strike: Global Offensive), The Witcher 3 gibi popüler oyunların ücretsiz sürümleri, güncellemeler ve ek paketlerine yönlendirme içerdiğini öne süren sahte linklerle kandırıldı. Bu tip sahte linklere tıklayarak tuzağa düşen oyun severler, bilgisayarlarına zararlı yazılım yüklenmesine neden oldu.

Oyun odaklı saldırılardan korunma yolları için buraya tıklayabilirsiniz.

RDP Brute Force saldırılarında artış

Güvenlik raporları, Covid-19 salgınının yayıldığı son birkaç ay içinde Uzaktan Masaüstü Protokolü (RDP) bitiş noktalarını hedef alan brute force saldırılarındaki artışa işaret ediyor. RDP, Windows cihazlarına uzaktan masaüstü erişimi sağlayan protokol biçiminde tanımlanıyor. İnternet faaliyet indeksleme hizmeti Shodan, Mart ayı sonunda internette erişilebilir olan RDP bitiş noktalarının sayısında %41 artış yaşandığını tespit etmişti.

RDP Brute Force saldırılarından korunmak için neler yapılabilir? Yanıtı için buraya tıklayabilirsiniz.

Sosyal medyada bağışları suiistimal eden dolandırıcılar

Sosyal medya, siber saldırganların yanı sıra kötü niyetli kimseler için de istismara en gebe ortamlardan biri. Çünkü başarı şansı insan faktörüne dayalı. Doğası gereği hata yapmaya müsait olan insanoğlunun sosyal medyadaki varlığı, kötü niyetli kimselerin iştahını Covid-19 sürecinde de kabarttı ve bu durum tuzakları beraberinde getirdi.

Bu noktada Mart ayı itibarıyla bulgular, sosyal medya kanalları üzerinden Covid-19 bahanesiyle bireysel banka hesaplarına bağış toplamaya çalışan kimseler olduğuna işaret etti. Hastalar, hasta yakınları, öğrenciler, yaşlılar, mahalledeki ihtiyaç sakinlerinin maddi durumlarının elverişsiz olduğu, bu nedenle para toplandığı ve yardımların kendilerine ulaştırılacağını öne sürdü. İhtiyaç sahiplerine dair dikkat çekici, yönlendirici ve ikna edici hikayeler kurgulanarak sosyal medyada daha fazla kişiye ulaşmaya, bu sayede yüksek miktarda para toplamaya çalışıldı. Sayıları azalmakla birlikte tehdit devam ediyor.

Covid-19 temalı sahte web siteleri

Covid-19 temalı saldırıların önemli bir kısmı sahte web siteleri aracılığıyla gerçekleştirilmeye devam ediliyor. Kurbanlarını alan adında ‘Koronavirüs’ ve türevleri geçen web sitelerine yönlendirmeye çalışan kötü niyetli kişiler, bu şekilde kullanıcıların kritik önem taşıyan verilerini ele geçirmeyi ya da finansal zarara yol açmayı hedefliyorlar. Bu tür tehditlerden korunmak için buraya tıklayarak kapsamlı güvenlik önerilerine göz atabilirsiniz.

Sınırlar iyiden iyiye aşıldı: Sağlık kurumları da hedefteydi

Dünyanın dört bir yanındaki sağlık kurumları Covid-19 salgını ile boğuşurken, vicdan ve empatiden yoksun siber suçlular hastane, araştırma tesisleri ve devlet sağlık kurumlarına fidye yazılım ve diğer kötü amaçlı yazılım saldırıları düzenledi. Bu kapsamda Kanada’ya bağlı bir sağlık örgütü ve medikal araştırma üniversitesinin bilgisayar ağının fidye yazılımı ile kilitlendiği kaydedildi. Kanadalı kurumların maruz kaldığı saldırının öncesinde ABD Sağlık ve İnsan Kaynakları (HHS), 10x Genomics adlı biyoteknoloji şirketi, Çek Cumhuriyeti’nden Brno Üniversite Hastanesi ve Hammersmith Medicines Araştırma şirketi benzer siber saldırılara maruz kalmıştı. Saldırılar halen devam ediyor. Bu noktadaki son bulguları buraya tıklayarak inceleyebilirsiniz.