• Hakkımızda
  • Künye
  • Katkıda Bulun
  • İletişim
H4cktimes
Sonuç bulunamadı
View All Result
  • Siber Saldırılar
    • Veri Sızıntıları
    • DDoS Saldırıları
    • Siber İstihbarat
  • Araştırma/Analiz
  • Güvenlik Açıkları
  • Zararlı Yazılım
  • Diğer
    • Mobil Casusluk
    • Sosyal Mühendislik
    • Uyumluluk
    • Nasıl Yapılır?
    • Teknoloji
    • Röportajlar
    • Kişisel Verileri Koruma
    • Siber Savaş
    • Sizden Gelenler
BİZE YAZIN
  • Siber Saldırılar
    • Veri Sızıntıları
    • DDoS Saldırıları
    • Siber İstihbarat
  • Araştırma/Analiz
  • Güvenlik Açıkları
  • Zararlı Yazılım
  • Diğer
    • Mobil Casusluk
    • Sosyal Mühendislik
    • Uyumluluk
    • Nasıl Yapılır?
    • Teknoloji
    • Röportajlar
    • Kişisel Verileri Koruma
    • Siber Savaş
    • Sizden Gelenler
Sonuç bulunamadı
View All Result
H4cktimes
Sonuç bulunamadı
View All Result
Anasayfa Araştırma/Analiz

Pawn Storm Saldırıları

Alper Başaran Alper Başaran
18 Mart 2015
minimum okuma 4 min
0
Pawn Storm Saldırıları

2014 yılının sonlarında ortaya çıkan ve “Pawn Storm” olarak adlandırılan siber casusluk operasyonunda kullanılan yeni bir bileşen ortaya çıktı. Apple mobil cihazlarda kullanılan iOS işletim sistemini hedef alan zararlı yazılım “Pawn Storm” (Tür. “Piyon Fırtınası”) operasyonunun ilk bakışta tahmin ettiğimizden çok daha geniş bir ölçeğe yayılmış olabileceğine de kanıt oluşturabilecek niteliktedir.

İlgili Yazılar

2020’de En Çok İstismar Edilen Güvenlik Açıkları

615.000’den Fazla Facebook Kimlik Bilgisi Büyük Ölçekli Bir Phishing Kampanyası ile Çalındı

Trend Micro’dan Siber Risk Endeksi

“Pawn Storm” Operasyonu

2007 yılından beri yürütüldüğüne dair kanıtlar bulunan siber operasyon dünya genelinde Askeri, Kamu, savunma sanayii ve medya kuruluşlarını hedef almaktadır. A.B.D’li savunma sanayii taşeronu ACADEMI (Eski adıyla Blackwater), Fransa Savunma Bakanlığı, Avrupa Birliği Güvenlik ve İşbirliği Örgütü (Organization for Security and Co-operation in Europe), Pakistanlı üst düzey askeri komutanlar ve Polonya hükümeti şu ana kadar tespit edilebilen hedeflerden sadece bir kaçı. Operasyon kademeli olarak ve birden fazla zararlı yazılım ve/veya güvenlik zafiyeti kullanılarak yürülmektedir.

“Pawn Storm” Saldırıları

Saldırıların ilk aşaması seçilen hedefe yönelik özel olarak hazırlanmış bir oltalama (phishing) e-postası yoluyla zararlı yazılımın Microsoft Office formatında bir belge (PDF, Word ve Excel görülmüştür) ile gönderilmesidir.
Aşağıda Irak’ta bulunan Vatikan Büyükelçiliğine gönderilen oltalama e-postası ve ekindeki dosyanın görüntüsü var.

Gelen oltalama e-postası
Gelen oltalama e-postası
Zararlı kod çalışırken görülen belge
Zararlı kod çalışırken görülen belge

Bu örnekte ilgili Word belgesinde bulunan zararlı kod Microsoft Office 2003, 2007 ve 2010’u etkileyen CVE-2012-0158 zafiyetini istismar ederek saldırganların bu dosyanın açıldığı bilgisayar üzerinde kod çalıştırmalarını sağlamaktadır.

Aşağıdaki görüntüler ise yine aynı zafiyetin Microsoft Excel dosyaları kullanılarak Pakistan ordusunun üst düzey komutanlarına yönelik saldırıda istismar edildiğini görebiliyoruz.

Gelen başka bir oltalama e-postası
Gelen başka bir oltalama e-postası
Zararlı kod çalışırken görülen belge
Zararlı kod çalışırken görülen belge

İlk aşamanın sonunda hedef bilgisayarı ele geçiren saldırganlar bu sistemi ikinci aşamada kullanacakları zararlı yazılımı indirmek için kullanıyorlar. İkinci aşamada indirilen yazılım klavye hareketlerini komuta sunucusuna iletmektedir.

Saldırganların sistemi ele geçirmek için kullandıkları zafiyeti kullanarak klavye kaydedici yazılımı indirmemeleri izlerini daha etkili biçimde gizlemelerini sağlamaktadır. Bu durumda ilk aşamada kullanılan zararlı yazılım tespit edilse bile ikinci aşamayla ilgili bilgi sahibi olunamayacağından saldırganların asıl amaçları anlaşılmayacaktır.

Cyberthint Cyberthint Cyberthint
REKLAM

Yeni nesil sosyal mühendislik saldırıları

Operasyon kapsamında kullanılan bir diğer önemli saldırı vektörü ise hedef kuruluşların OWA (Outlook Web Access – kuruluş e-postalarına tarayıcı üzerinden ulaşılmasına imkan veren arayüz) erişimleridir.

Saldırganların hedefe gönderdikleri ve popüler savunma sanayi fuarlarını düzenleyen şirketlerden gelmiş gibi görünen oltalama e-postaları içerisinde zararlı yazılım yok ancak kullanılan yöntem dikkat çekici.

Saldırganların gönderdiği oltalama e-postasını OWA üzerinden bağlanarak açan kurbanların tarayıcılarında çalışan bir Javascript kodu OWA oturumunun sonlandırıldığını ve yeniden parola girilmesi gerektiğini düşündüren bir ekran gösteriyor.

Güvenlik ve savunma teknoloji fuarı Eurosatory konferansının sayfasına (eurosatory.com) benzeyecek şekilde eurosatory2014.com alanadını kullanan saldırganlar yine iki kademeli bir saldırı düzenlemektedir.

İlk aşamada saldırganlar tarafından gönderilen e-posta üzerindeki bağlantıya tıklandığında kurban saldırganların sayfasına yönlendiriliyor ve eşzamanlı olarak yeni bir sekmede Eurosatory (konferansın gerçek sayfası açılıyor).
Diğer sekmede kalan saldırganların sayfası ise hedef kuruluşa özel olarak hazırlanmış bir alanadı üzerinde barındırılan sahte bir OWA giriş sayfası oluyor.

Aşağıda Macaristan Savunma Bakanlığı’nı hedef alan saldırının ekran görüntüsünü bulabilirsiniz.
İkinci sekmede Eurosatory konferansının sayfası açıkken, kullanıcıya OWA oturumunun sonlandırıldığını ve yeniden şifre girmesi gerektiğini düşündürecek sahte OWA sayfası görülmektedir.

Gerçek sayfa
Gerçek sayfa
Sahte OWA sayfası (konferans sayfası ikinci sekmede)
Sahte OWA sayfası (konferans sayfası ikinci sekmede)

Macaristan Savunma Bakanlığı’nın OWA sayfasının adresi mail.hm.gov.hu iken bu saldırıya özel olarak hazırlanmış alanadı mail.hm.qov.hu dur.

Aynı saldırı yönteminin başka fuarlar ve ülkeler için de kullanıldığı tespit edilmiştir.

Mobil cephesi

“Pawn Storm” operasyonu adını saldırıların satrançta kullanılana benzer kademeli taktikleri kullanmasından almaktadır. Bu benzetmeden devam edecek olursak son olarak tespit edilen piyonlar ile oyunun düşündüğümüzden ok daha geniş bir alanda oynandığını söyleyebiliriz.
IOS_XAGENT.A ve IOS_XAGENT.B olarak adlandırılan iki farkı zararlı yazılımın bu operasyon kapsamında Apple iOS işletim sistemini kullanan mobil cihazları hedef almak için geliştirildiği görülmektedir.
Hedef alınan kişinin kullandığı iPhone’a bulaşan zararlı yazılımlar aşağıdaki bilgilere saldırganlara iletebilmektedir:
SMS’ler
Rehberdeki kayıtlar
Fotoğraflar
Konum bilgisi
Yazılımın buna ek olarak sahip olduğu özellikler şunlardır;
Ses kayıt başlatabilme
Yüklü uygulamaların listesini çıkartabilme
Kablosuz ağ bağlantı durumunu görme

Zararlı yazılım bu bilgileri komuta sunucusuna internet bağlantısı (mobil veya kablosuz) iletmektedir.
Zararlıların iOS 7 üzerinde istikrarlı çalışması ve uygulama kapatılsa bile kendini geri açabilmesi gibi özelliklerinin iOS 8 üzerinde verimsiz çalışması nedeniyle ele geçirilen sürümün iOS 8 çıkmadan yazıldığı ve bulaştırıldığı düşünülmektedir.

“Pawn Storm” operasyonunun devam ettiğine dair kanıtlar göz önüne alındığında iOS8 sürümünün çıkmış olabileceğini düşünmek yanlış olmaz.

Etiket: pawn stormpiyon fırtınasısiber casusluk
PaylaşTweetPin
Alper Başaran

Alper Başaran

İlgili Yazılar

2020’de En Çok İstismar Edilen Güvenlik Açıkları
Araştırma/Analiz

2020’de En Çok İstismar Edilen Güvenlik Açıkları

5 Ocak 2021
615.000’den Fazla Facebook Kimlik Bilgisi Büyük Ölçekli Bir Phishing Kampanyası ile Çalındı
Araştırma/Analiz

615.000’den Fazla Facebook Kimlik Bilgisi Büyük Ölçekli Bir Phishing Kampanyası ile Çalındı

28 Aralık 2020
Trend Micro’dan Siber Risk Endeksi
Araştırma/Analiz

Trend Micro’dan Siber Risk Endeksi

25 Aralık 2020
FireEye Hacklendi ve Güvenlik Araçları Çalındı
Araştırma/Analiz

FireEye Hacklendi ve Güvenlik Araçları Çalındı

13 Aralık 2020
2020 Yılı için Ransomware Saldırı Raporu
Araştırma/Analiz

2020 Yılı için Ransomware Saldırı Raporu

3 Aralık 2020
Twitter Nasıl Hacklendi?
Araştırma/Analiz

Twitter Nasıl Hacklendi?

22 Ekim 2020
Sonraki Yazı
Lenovo’nun Sitesi SuperFish’e Tepki Olarak Hack Edildi

Lenovo'nun Sitesi SuperFish'e Tepki Olarak Hack Edildi

Anonymous Avustralya’yı Hedef Aldı

Anonymous Avustralya'yı Hedef Aldı

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Popüler Yazılar

Email Hesabı Hacklemek için Telefon Numarası Yeterli

Email Hesabı Hacklemek için Telefon Numarası Yeterli

İsmail Saygılı
11 Aralık 2016
2

Hepimiz dolandırıcılar tarafından kişişel bilgilerimizi ve paramızı çalma niyetiyle aldatıcı telefon ve mesajlar almaktayız fakat yeni bir sosyal mühendislik senaryosunun...

EGM’nin Hacklenme İddiası Hakkında

EGM’nin Hacklenme İddiası Hakkında

İsmail Saygılı
18 Şubat 2016
12

14 Şubat tarihinde CthulhuSec nickli kişi kendi blog sitesinden ve Twitter adresinden T.C. Emniyet Genel Müdürlüğüne dair bir takım verilerin...

2020’de En Çok İstismar Edilen Güvenlik Açıkları

2020’de En Çok İstismar Edilen Güvenlik Açıkları

Erdinç Tandoğan
5 Ocak 2021
0

Gartner'a göre, 2020'nin sonunda istismar edilen güvenlik açıklarının %99'u, olay anında güvenlik ve BT uzmanları tarafından bilinen açıklıklardı. Yalnızca geçen...

Enine Boyuna Wireshark ve Saldırı Analizleri

Enine Boyuna Wireshark ve Saldırı Analizleri

Ahmet Candan
23 Ekim 2019
1

Wireshark Nedir? Wireshark, 1998 yılında ilk olarak Ethereal adıyla faaliyete başlayan bir projedir . Ticari marka sorunları nedeniyle Mayıs 2006'da...

H4cktimes

H4cktimes; adıyla müsemma bir siber güvenlik haber platformudur.

Devamını Oku »

Son Yazılar

  • 2020’de En Çok İstismar Edilen Güvenlik Açıkları
  • 615.000’den Fazla Facebook Kimlik Bilgisi Büyük Ölçekli Bir Phishing Kampanyası ile Çalındı
  • Trend Micro’dan Siber Risk Endeksi

Kategoriler

  • Araştırma/Analiz
  • DDoS Saldırılar
  • Etkinlikler
  • Güvenlik Açıkları
  • Mobil Casusluk
  • Nasıl Yapılır?
  • Röportajlar
  • Siber Güvenlik
  • Siber İstihbarat
  • Siber Saldırılar
  • Siber Savaş
  • Sizden Gelenler
  • Sosyal Mühendislik
  • Teknoloji
  • Uyumluluk
  • Veri Sızıntıları
  • Zararlı Yazılımlar

© 2020 H4cktimes

Sonuç bulunamadı
View All Result
  • Siber Saldırılar
    • Veri Sızıntıları
    • DDoS Saldırıları
    • Siber İstihbarat
  • Araştırma/Analiz
  • Güvenlik Açıkları
  • Zararlı Yazılım
  • Diğer
    • Mobil Casusluk
    • Sosyal Mühendislik
    • Uyumluluk
    • Nasıl Yapılır?
    • Teknoloji
    • Röportajlar
    • Kişisel Verileri Koruma
    • Siber Savaş
    • Sizden Gelenler

© 2020 H4cktimes