e-Devlet Hacklendi mi? İhlal Edilmiş Hesapların Detayı

Kısaca olayı hatırlatalım, 12 Nisan’da sosyal medyada gereksiz bir “e-Devlet hacklendi” ve “en büyük hackleme” kargaşası yaratıldı. Olan şey e-Devlet’in hacklenmesi değil, hacklenmiş kişilerin e-devlet sitelerine girişi ile ilgili bilgiler idi. Siber dünyaya yabancı olanlar için teşbih (benzetme) yoluyla ifade edersek, “bir ev kirlendi” değil, “eve kirlenmiş ayakkabıları olan insanlar girdi” şeklinde bir olay oldu[1].

Gereksiz kargaşa derken, olayın önemsiz olduğunu söylemiyoruz. Denildiği kadar büyük olmadığını kastediyoruz. Toplamda hacklenen yani kimlik avı saldırısına uğrayan kişi sayısı muhtemelen 30-40 bin civarında. Önemli yanı ise, sorgulanması gereken bazı hususlar olması.

Çünkü buradaki kimlik avına uğrayan insanların büyük bir kısmının vatandaş / gençler olduğunu öngörsek de, diğer bir kısmının bu e-devlet kurumlarında çalışanlar olduğu (kurumların posta linkleri var çünkü) anlaşılıyor. Hatta bazılarının kurum çalışanından öte, sistem elemanı olabileceğini düşündüren adresler var.

Sorgulanması gereken diğer bir husus, bilgisayarları ihlal edilmiş vatandaşların sadece e-Devlet sitesi kullanıcısı olmadığı, banka, e-Ticaret, özel hayat vs bilgilerinin de çalınabileceği düşüncesi. Ayrıca kullanılan kötücül kodun kripto para çalma yeteneği olduğunu da kaydedelim.

Bir notumuz da, bu kargaşanın nedenine dair olsun. Siber güvenlik firmaları dün gece boyunca fazla mesai yaptılar. Çünkü kurumlar olayın kendileri ile ilgili yönü olup, olmadığını anlamaya çalıştılar. Siber Güvenlik firmaları, olayın sıcaklığını yaratan ya da kullanmaya çalışan bazı kişilerin “ihlal edilmiş kişi bilgileri” şeklinde paketleri Telegram üzerinden 100-150 $’a satış yapmaya çalıştığını raporladı.

DarkTrace Firmasının 2022 İlk Çeyrek Raporu

Şimdi dünkü “e-Devlet hacklendi” kargaşasına yol açan DarkTrace raporuna daha detaylı bakalım. “Karanlığı takip ediyoruz ve aydınlatıyoruz” diyen şirket kendini şöyle tanımlıyor;

“DarkTracer, gizli bilgilerin ihlal olaylarını, Dark Web’den gelen ihlal olaylarını izler ve kullanıcıların hem Dark hem de Deep web’de kötü niyetli faaliyetlere dair önemli kanıtlar bulmasına ve suçluları izlemesine yardımcı olur. Gömülü OSINT teknikleri, Dark web ve Deep web’deki kötü niyetli aktörleri belirlemek için çok fazla bilgi sağlar.”

2022 yılının ilk çeyrek raporu olarak yayınladıkları bilgileri, çeşitli dark alandan topladıktan sonra gruplamışlar. Askeri ve Devlet sitelerine girişte ihlal edilmiş kullanıcılar diye de yayınlamışlar.

Buna göre, 2022 ilk çeyrek raporunda, dünya çapında 878,319 hesap bilgisi (kişi değil, çünkü aynı kişilerin farklı sitelere giriş bilgileri olabilir) hackerlar tarafından alınmış. Bu hesapların kullanıldığı devlet sitesi sayısı ise 34.714.

Aynı raporda, 1.610 askeri siteden 47.962 hesap bilgisinin çalındığı belirtiliyor. Ancak buna dair bir dosya yayınlamamışlar.

DarkTrace bu işten para kazanan bir şirket dolayısıyla raporu duyurdukları tweette (önceki [1] nolu haberimizde var bu tweetler), daha fazla bilgiye ihtiyacı olan bize başvurabilir diyor. Raporun ihlal edilmiş 3 ve üstü hesabın girdiği 15 bin siteyi içeren bir versiyonunu yayınlamışlar. Biz de bu raporu analiz ettik.

RedLine Stealer ile Çalınmış Bilgiler

Tablolara geçmeden bir de DarkTrace’in analiz ettiği “RedLine Stealer” kötücül kodunun (malware) ne olduğuna bakalım ve hatırlatalım. Kimlik avı yapan kötücül kodlardan sadece bir tanesi bu. Ayrıca dikkatinizi çekelim; kripto para çalma özelliği de mevcut[2].

“RedLine Stealer, görünüşe göre bağımsız (sürüme bağlı olarak 100$/150$) veya ayrıca abonelik esasına göre (100$/ay) satılık yeraltı forumlarında bulunan bir kötü amaçlı yazılımdır. Bu kötü amaçlı yazılım, kayıtlı kimlik bilgileri, otomatik tamamlama verileri ve kredi kartı bilgileri gibi tarayıcılardan bilgi toplar. Bir hedef makinede çalışırken, kullanıcı adı, konum verileri, donanım yapılandırması ve kurulu güvenlik yazılımıyla ilgili bilgiler gibi ayrıntıları dahil etmek için bir sistem envanteri de alınır. RedLine’ın daha yeni sürümleri, kripto para birimini çalma özelliğini ekledi. FTP ve IM istemcileri de görünüşe göre bu aile tarafından hedefleniyor ve bu kötü amaçlı yazılım, dosya yükleme ve indirme, komut yürütme ve virüslü bilgisayar hakkında periyodik olarak bilgi gönderme yeteneğine sahiptir.”

RedLine Stealer, son zamanların popüler hacker grubu Lapsus$’un da kullandığı bir kötücül kod.

Yayınlanan rapor bu kodla ihlal edildikten sonra sadece hükümet sitelerine girenleri gösteriyor. Yani yanlış bir linke basarak bu kodu bilgisayarlarına almış olan kişilerin girdikleri çeşitli haber ya da diğer içerik sitelerinden, e-devlet olanları görüyoruz. Raporda, Brezilya, Arjantin, Fransa, Avustralya gibi çok farklı ülkelere ait bilgiler var.

Türkiye Raporunda Kullanıcılar Arasında Kurum Çalışanları da Var

Türkiye açısından bakarsak, aşağıda bu rapordan çıkardığımız özette göreceksiniz, 35 kadar bakanlık ve kuruluşa ait 328 farklı linke giriş için kullanılan 59.713 hesap bilgisi (şifre-kullanıcı adı) çalınmış durumda. Yine hatırlatalım bu 59,7 bin kişi demek değil. Tek bir kişinin bilgisayarına sızılmışsa, o kişinin birden fazla siteye girişe dair (aynı olsa bile) bilgiler bu rakamın içinde olabilir.

En aşağıda bu kurumların tam detayı var. Bunu koyarak, ilgili kurumlara dikkat diyoruz. Burada sorgulanması gerektiğini düşündüğümüz bilgiler şöyle;

İhlal edilmiş hesapların en fazla girdikleri site 15.313 ihlal edilmiş hesap ile e-Devlet olmuş. Bunun büyük kısmının vatandaş olduğunu düşünüyoruz.

İkinci sırada 12.940 ihlal edilmiş hesap ile EBA ve geri kalan 11.829 ihlal edilmiş hesapla girilen Milli Eğitim Bakanlığı’nın çeşitli bölümleri var. Buradan belirteceğimiz husus şu; EBA’nın anlamı, çocukların yüksek sayıda hacklenmiş oldukları. Devlet mecburi aile filtresi koyacağına, çocukların “bilgisayar okur yazarlığını arttırmalı ve MEB’in girişine de gerekli uyarıları yakalayacak “Sandbox” gibi uygulamaları planlamalı.

Hazine ve Maliye Bakanlığı’na bakıldığında, ihlal edilmiş hesapların en fazla kullanıldığı alan 1.457 hesapla İnternet Vergi Dairesi. eArşiv Fatura da yine benzer şekilde yüksek. Buralar vatandaşların (şirketlerin muhasebe departmanlarının) giriş yaptığı alanlar. Bunların da ikaz edici hale sokulması iyi olmaz mı? Ayrıca Hazine ve Maliye Bakanlığında, muhasebat bölümünde merkezi kimlik tarafında 6 ihlal edilmiş hesap gözüküyor. Darphane ve Merkez Bankası tarafında da benzer girişler az da olsa var. ÖSYM konusunda da EBA konusunda belirttiğimiz hususları söyleyeceğiz. Çocuklar ve gençler, cep telefonlarından ya da bilgisayarlarından oyun oynarken muhtemelen kimlik avına maruz kalıyorlar. Acilen bilgisayar okuryazarlığı eğitimleri oluşturmak gerekli.

Benzer sorun BTK’nın uzaktan eğitim sisteminde var.

Çok sayıda bakanlığın posta sisteminde ihlal edilmiş hesap girişleri görülüyor. Bunun anlamı sadece vatandaşların değil, bu kurumların çalışanlarının da hacklenmiş oldukları. Dolayısıyla da akla, acaba diğer çalışma arkadaşlarına da bulaştırıyorlar mı sorusu geliyor.

Cumhurbaşkanlığı sisteminde gördüğümüz, “erisimkontrol” diye başlayan 2 alan doğrusu endişe verici. Umarız Cumhurbaşkanlığı siber uzmanları buraya giren 8’er (belki aynı 8 kişidir) ihlal edilmiş hesabı bir an önce tespit ederler. Çünkü bunların çalışan seviyesinin üstünde olduklarını düşündürüyor.

Rapor ilk 15 bin ihlal edilmiş adresi (linki) veriyor ama arkada 3’den az ihlal edilmiş kişinin girdiği 19.714 site daha var. Bunların içinde ciddi ihlaller içeren başka e-devlet sitelerimiz var mıdır, bilemiyoruz.

Özetle, vatandaşların ve gençlerin e-devlete giriş yaptıkları yerlerde çok sayıda ihlal edilmiş giriş görülüyor. Demek ki devletin buralara başka kontroller koyması, “sandbox” uygulaması, belki 2FA gibi uygulamalar yapılmalı.

Diğer yandan sadece vatandaşlar değil, çalışanların da sorun yaşadığı görülüyor. Acaba devlet kurumları çalışanlarının hesaplarının ihlalini anlayamıyor mu?

Bu rapor e-Devlet açısından bakıyor ama ihlal edilmiş hesapların sadece e-Devlet sitelerine değil, banka vs sitelerine girdiğini de unutmamalı. Yani herkes bilgisayarının ihlal edilip edilmediğini kontrol etmeli.

Cumhurbaşkanlığı sisteminde gördüğümüz girişler için de umarız açıklama yayınlarlar ve anlarız ne olduğunu ya da olmadığını.

Daha fazla detayı aşağıda bulacaksınız. Halka açık yayınlanan bu veriler bir anlamda uyarı olmalıdır. Hem vatandaşlar için, hem de bu kurumlar açısından.

Ne Yapılmalı?

Yukarıda bir kaç yerde not ettik ama yeniden sıralayalım; “zincirin gücü en zayıf halkasıdır” sözünün geçerliğini burada da görüyoruz. Vatandaş, devlet ya da özel kurum farketmez, herkesin siber güvenlik önlemi alması şart.

Vatandaş – Kullanıcı Açısından;

• Aynen fiziksel hayatta olduğu gibi, siber hayatta da bilmediğiniz yerlere gitmeyin, tanımadığınız insanlardan gelen mesajlara, maillere filan cevap vermeyin, linkleri tıklamayın, tuzağa düşmeyin, herşeyinizi kontrol edin.
• Çeşitli sitelerden veya linklerden acaba benim bilgilerim de sızmış mı diye kontrol etmeye çalışıp yeni risklere maruz kalmayın, belki daha önceden kaptırmadığınız bilgileri kaptırabilirsiniz (Google -Chrome şifrelerin ihlal edilip edilmediğini gösteriyor)
• Dediğimiz gibi, normal zamanın ötesinde bir dönemdeyiz. Ukrayna-Rusya savaşının ateşi bu alanı da sarıyor. Yeni oltalama girişimleri artabilir/ Güncel bilgilerinizi de teyit ederek sizi endişeye sevkedecek veya heyecanlandıracak mesajlara ve gelen aramalara karşı dikkat olun. Hiç kimseyle şifrenizi veya sizden istenen özel bir bilginizi paylaşmayın.
• E-devlet üzerinde adınıza kayıtlı telefon numalarını düzenli aralıklarla kontrol edin. Şifrenizi dikkatli ve zor olanlar cinsinden belirleyin, mümkünse 2 seviyeli şifre (2FA) kullanın. E-devlet şifrelerini diğer sosyal medya, banka, okul vb sitelerden bağımsız ayrı bir şifre olarak belirleyin.
• Bu şifreyi sadece e-devlet için kullanın

Kamu ya da Özel Sektör Açısından

• 24 saat log yönetimi uygulayın. Anormalileri takip edin
• Kritik kurum ise mutlaka sandbox kurun (girişte çalıştırıp, dışarıya bir şey gidiyor mu, kontrol eden uygulamalar)
• Siber istihbarat hizmeti satın alın
• Düzenli Red Team ve Sızma testi yaptırın (ilki habersiz, ikincisi haberli siber denetim)

Devlet Açısından

• USOM gibi sadece anons yapan yapı yerine proactive çalışacak, siber itihbarat alabilecek merkezi bir yapı olmalı
• Siber kümelenmenin desteklenmesinin arttırılmalı
• Siber kümelenme içinde olsun olmasın, yerli siber güvenlik Startuplarına maddi destek ve danışmanlık verilmeli
• Üniversitelerdeki siber güvenlik eğitimleri desteklenmeli ve içeriği güncel olmalı
• Artık devlet destekli malware olayları var, sadece malware tespiti yapan ekipler oluşturmalı.

Tablo’nun detayı için: https://turk-internet.com/e-devlet-sitelerine-giren-ihlal-edilmis-hesaplarin-detayi/

[1] Omicron Varyantı E-posta Yoluyla Dijital Dünyada da Yayılıyor