Türkiye’den 463,378 adet kredi ve banka kartına ait bilgiler çalındı ve Joker Stash adlı internet mağazası üzerinde satışa sunuldu. Bilgiler, 28 Ekim ve 27 Kasım tarihleri arasında 4 part halinde yayınlandı. Bu durum Singapur merkezli bir siber güvenlik şirketi olan Group-IB tarafından tespit edildi ve ZDNet’e bildirildi.
Group-IB araştırmacıları yaptıkları açıklamada, Türkiye’ye ait kart bilgilerinin kart mağazalarında çok az görüldüğünden ve bu satışın son 1 yıl içerisinde Türk bankalarıyla ilgili tek büyük satış olduğundan bahsettiler. Ayrıca çalınan kartların yeraltı pazarını izleyen Group-IB araştırmacıları, bu bilgileri sağlayan saldırganların 500.000 $ ‘dan daha fazla miktarda para kazandıklarını tahmin ediyorlar. Bu durumla ilgili olarak Group-IB şirketinin Siber Suç Araştırma Başkanı Dmitry Shestakov, saldırganların ele geçirdikleri kart bilgileri arasında son kullanma tarihi, CVC/CVV kodları, kart sahibi adı, e-posta adresi ve telefon numarası bilgilerinin bulunduğunu açıkladı.
Shestakov’a göre veriler phishing sayfalarından, zararlı yazılımlar aracılığıyla tarayıcılardan veya özel hazırlanmış Javascript kodları aracılığıyla saldırıya uğramış internet mağazalarından elde edilmiş olabilir. Hatta bu durum için büyük olasılıkla 3. Seçeneğin gerçekleştiği düşünülüyor.
Shestakov, kart bilgilerinin çalındığını öğrendikten sonra, ilgili Türk yerel makamlarına bilgi verdiklerini ve böylece uygun önlemleri alabileceklerini söyledi.
Saldırganlar VPN Trafiğine Müdahale Edebiliyor
Güvenlik araştırmacıları, FreeBSD, OpenBSD, macOS, iOS, Android gibi Linux ve Unix tabanlı işletim sistemlerini etkileyen yeni bir güvenlik açığı keşfettiler. Güvenlik açığı, sizinle aynı ağda bulunan saldırganın ağdaki şifreli VPN trafiğinden bilgi sızdırmasına ve değişiklik yapmasına izin veriyor. CVE-2019-14899 kodlu güvenlik açığı, işletim sistemlerinin “network stack”inde bulunuyor ve hem IPv4 hem de IPv6 TCP bağlantılarda istismar edilebiliyor.
Güvenlik açığı, kullanılan VPN teknolojisinden ziyade network stack’te bulunduğu için, OpenVPN, WireGuard, IKEv2 / IPSec gibi yaygın kullanılan VPN protokollerini de etkiliyor. Ağa dahil bir saldırganın zafiyeti exploit ederek yapabilecekleri aşağıdaki gibidir:
- Hedefe VPN sunucusu tarafından atanan sanal IP adresini bulmak
- Seçilmiş bir web sitesine hedef tarafından bağlantı yapılıp yapılmadığını kontrol etmek
- TCP trafiğini ele geçirmek
Araştırmacılar, aşağıdaki işletim sistemlerinde güvenlik açığını test edip, başarılı bir şekilde exploit ettiklerini ve daha farklı sistemlerde denedikçe listenin uzayabileceğini belirttiler.
- Ubuntu 19.10 (systemd)
- Fedora (systemd)
- Debian 10.2 (systemd)
- Arch 2019.05 (systemd)
- Manjaro 18.1.1 (systemd)
- Devuan (sysV init)
- MX Linux 19 (Mepis + antiX)
- Void Linux (runit)
- Slackware 14.2 (rc.d)
- Deepin (rc.d)
- FreeBSD (rc.d)
- OpenBSD (rc.d)
Araştırmacılar zafiyetten etkilenen sistemlere durumu bildirdiklerini ve güvenlik açıklarının teknik detaylarını ilgili yamalar yayınlandıktan sonra açıklayacaklarını belirttiler.
Intel İşlemciler PlunderVolt Saldırısına Maruz Kalıyor
Güvenlik araştırmacıları, modern intel CPU işlemcilerini etkileyen yeni bir saldırı keşfettiler. CVE-2019-11157 kodlu güvenlik açığı, CPU’lardaki voltaj değerlerini değiştirerek, etkilenen işlemcilerdeki şifreleme anahtarları gibi hassas bilgilerin elde edilmesine neden olmaktadır. PlunderVolt olarak belirtilen saldırı, Intel CPU’larına yerleştirilmiş güvenlik talimat kodu olan Intel Software Guard Extensions (SGX) ile ilgilidir. Intel SGX, fiziksel olarak CPU belleğinden ayrı olan ve yazılım şifreleme ile korunan ‘enclaves’ içerisindeki AES şifreleme anahtarları gibi hassas verileri korumaktadır.
İşletim sistemleri belirli miktarda işlemci gücünü kullanmaktadır. Bu sayede pil ömrü bitmez ve aşırı ısınma olmaz. Bununla birlikte kullanıcılar, önceden tanımlanmış bu işlemci frekansı ve voltaj seviyelerini, işlemcilerini overclock ederek geçersiz kılabilirler ve çip voltajını kontrol eden Model-Specific Registers ayarını değiştirebilirler. Bu yöntem işlemci hızını artırdığı için oyuncular tarafından sıkça kullanılır. Fakat bir saldırgan kurban bilgisayarını ele geçirip işletim sistemi üzerinde kontrol elde ederse, aynı yöntemi voltaj seviyesini düşürmek ve Plundervolt saldırısını başlatmak için kullanabilir.
Araştırmacılar, yerleşik hesaplamaları gerçekleştirirken voltajı kontrol ederek, Intel SGX’in Intel Core işlemcilerdeki bütünlüğü bozmayı başardıklarını belirttiler. Intel, güvenlik açığının ortaya çıkmasıyla mikro kod ve BIOS güncellemeleri yayınladı.
Windows İşletim Sisteminde 0-DAY Bulundu
Microsoft Aralık 2019 ‘daki son güncelleştirmesi ile 7 kritik, 27 yüksek, 1 orta ve 1 tane de düşük seviye olmak üzere toplam 36 güvenlik açığını gideren bir güncelleme yayınladı. Bu güncelleştirmede Google Chrome 78.0.3904.87 versiyonunda keşfedilen CVE-2019-1458 kodlu 0-day zafiyetin de giderildiği belirtildi. Yeni bulunan 0-day zafiyetinin bir privilege escalation zafiyeti olduğu açıklandı. Kaspersky tarafından bildirilen Google Chrome 0-day zafiyeti, Buffer-Overflow yapılarak Windows sistemlerde hak ve yeki yükseltmek için kullanılıyor.
Bu güvenlik zafiyeti Kaspersky tarafından ortaya çıkarıldıktan sonra yapılan açıklamanın ardından Microsoft acil bir durum güncellemesi yayınladı. Yayınlanan güncellemeye rağmen bu zafiyet ile saldırganlar, eski sürüm tarayıcı kullanan kullanıcıları hedef almaya devam ediyorlar. Bu güvenlik zafiyetinden yararlanan bir saldırgan, işletim sistemi üzerinde program yükleme, verilerin görüntülenmesi, değiştirilmesi veya silinmesi gibi işlemler gerçekleştirebilir. Saldırılardan etkilenmemek amacıyla en kısa sürede güncelleştirmelerin yapılması ve Chrome tarayıcısının versiyonunun güncellenmesi önerilmektedir.