Demokrat Partinin hacklenmesi ve Rusya’nın bu olaya olası iştiraki aylardır konuşuluyor.
Özellikle geçtiğimiz 6 Ocak Cuma günü Donald Trump’a istihbarat camiası tarafından verilecek brifing öncesinde tartışmalar şiddetlendi.
Bu brifing sırasında Donald Trump’a olaya ilişkin kamuya açık bir rapor sunuldu. Rapora ulaşmak için: https://www.dni.gov/files/documents/ICA_2017_01.pdf …
Raporda Rusların yaptığına yönelik kanıtlar zayıf ve raporun büyük kısmı kamu kurumlarının alması gereken tedbirlerden ibaret.
Brifing öncesi 4 Ocak Çarşamba günü DP, Buzzfeed sitesine, FBI ın ya da herhangi başka bir istihbarat ajansının partiye ait sızıldığı iddia edilen sunucular üzerinde bağımsız bir değerlendirme yapmadığını belirtti. https://t.co/Xm0CNUyFsj
Bunun yerine FBI ın, özel bilişim güvenlik firmaları olan Crowdstrike ve FireEye ın verdiği bilgilere göre hareket ettiği iddia edildi.
FBI bu iddiaları geri püskürttü: 5 Ocak Perşembe günü New York Times’a üst düzey bir FBI güvenlik sorumlusu tarafından yazılan emailde:
FBI ın DP yetkililerinden tekrar tekrar sunuculara ve veriye direk erişim için izin istediği, ancak bu erişim izninin risk etkisiz hale getirilene kadar ertelendiği vurgulandı. Bu açıklama DP iletişim direktörü Eric Walker’ın Buzzfeed’e yaptığı açıklama ile tamamen çelişiyor. Çünkü Walker’a göre aslında FBI aslında DP sunucularına hiç erişim talep etmedi.
FBI, Crowdstrike ve FireEye verisini baz aldığını kabul ediyor ancak bunun nedeninin tamamen DP nin kendilerine bağımsız çalışma izni vermemesi olduğunu belirtiyor. FBI yetkilisine göre; “Bu durum FBIya üçüncü bir kaynaktan gelen veriye güvenmekten başka çare bırakmadı. Bu tavır sızmayı daha erken tespit etmeyi engelledi”
İlgili haber: https://t.co/TJyAKFgDI4
Bu karışıklığa binaen Trump 6 Ocak Perşembe günü gerçekten bir hack gerçekleşip gerçekleşmediğini sorguladı:
Ancak hacklenmenin gerçekleşip gerçekleşmediği noktasında FBI ve DP aynı tarafta. Yani bir hacklenme olduğuna inanıyorlar.
Ancak Trump ve bazı diğer çevreler "Rusya’nın" DPyi hacklemesi ve seçime müdahale etmesi konusunda şüphelerini dile getiriyor.
Şimdi biraz detaya girelim. Rusya’nın payı olduğuna inanmakta “iyi” nedenler var, ancak “iyi” kesin demek değil. Özellikle saldıranların kullandığı "dil" göz önüne alındığında, saldırıyı Rusların yaptığına ilişkin birçok kanıt olduğu düşünülüyor. Ancak Rusların yaptığına ilişkin iddia o kadar fazla tekrarlanıyor ki insanlar bu iddianın kanıtlanmadığını unutmaya başladı.
DP hesaplarına kimlik avı mesajları ile sızıldığına ve malware in bu yolla DP bilgisayarlarına bulaştığına ilişkin ciddi kanıt var. Hatta bunu yapan hackerların geçmişte başka hedeflere saldıran gruplar olduğuna ilişkin kanıtlar da mevcut.
Ancak tekrarlayalım, bu grupların Rusya hükümeti olduğu ya da Ruslar adına çalıştığı ile ilgili bir kanıt yok. Rusya’nın sorumlu olduğunu sürekli iddia eden CrowdStrike firmasının da Haziran ayında DP tarafından kiralandığını aklımızda tutalım.
Ucu savaş açmaya kadar gidecek bir iddianız varsa tahmin ve varsayımdan öte sağlam kanıtlarınız olmak zorunda. Özel bilişim güvenliği firmalarının DP sunucularına erişimi olsa bile sundukları kanıtlar herkesin erişebildiği emailler ve belgeler.
Bulunan malware in Rusya için çalıştığına inanılan APT 28/Fancy Bear ve APT 29/Cozy Bear hack gruplarından geldiğine inanılıyor.
Şimdi iddia edilen kanıtlar hakkında ne biliyoruz özetleyelim..
Saldırganlar email ile kimlik avı yapmak için APT 28 ile ilişkili, imlası bozuk bir IP adresi kullanmış. https://t.co/1mAbbiXQav
Bulunan malware in APT 28 ile ilişkili bir IP adresi ile iletişim kurmaya programlı olduğu tespit edildi. https://t.co/SfwsuwvmvG
İlk olarak hacklenmiş belge ve mailler Guccifer 2.0 isimli bir blogdan yayıldı. https://guccifer2.wordpress.com/
Daha sonra da DCLeaks isimli bir siteden. Tabii ki daha sonra da Wikileaks ten. http://soros.dcleaks.com
/
Guccifer 2.0 sitesinden sızdırılan dosyanın metaverisinin kril alfabesinde “Felix Edmundovich” nicki tarafından modifiye edilmiş.
Bu isim Sovyet döneminde görev almış gizli bir istihbarat servisine referans niteliğinde. Diğer bir belgenin metaverisinde de kril alfabesine rastlanmış. Bu da belgenin Rusya dil ayarları kullanılarak editlendiğini gösteriyor. Diğer kanıt, Guccifer 2.0 sitesinde Romence yazılan yazılarda dilin yanlış kullanımları. https://t.co/w2o8BztSFO
Bu da siteyi yönetenlerin Romanyalı olmadığını gösteriyor.
http://Dcleaks.com alan adı ile kimlik avı emailleri gönderen adresin kayıtlı olduğu alan adı kaydı aynı. https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html …
Kimlik avı emaillerinden bazıları Moskova merkezli bir içerik ve mail sağlayıcısı olan Yandex kullanılarak gönderilmiş.
Geçmişe Podesta aleyhinde de kullanılan bit.ly linkinin APT 28/Fancy Bear tarafından kullanıldığına inanılıyor. https://t.co/fgWoA7HacC
Peki bütün bu bulgular neden YETERLİ DEĞİL?
Bütününe bakıldığında yukarıda sıraladığım kanıtlar güçlü görünebilir. Ancak tek tek ele alındığında o kadar da etkili değil.
Rusların kesinkes bu işte parmağı olduğunu savunan CrowdStrike, APT 28/Fancy Bear hack grubu hakkında “Hedefledikleri yasal organizasyonların alan adlarına çok benzeyen alan adlarını kayıt ettirmedeki ustalıkları ile biliniyor” demiş.
Ama artık bu teknik Ruslara özgü bir teknik değil. İmlası bozuk alan adı kullanımı kimlik avı saldırılarında en yaygın kullanılan yöntem Yandex bir gösterge mi? Bugün dünyada birisini Gmail hesabı kullanıyor diye CIA ajanı ilan ederseniz gülerler.
Guccifer 2.0 sitesi Romanyalı taklidi yaptı diye blogun Rusya’ya çalıştığı çıkarımını yapamazsınız. Yalan söylemiş olursunuz sadece.
CrowdStrike firması APT 28 ve APT 29’u şöyle tanımlıyor: İşçilikleri süper, harekat güvenlikleri üstün, tespit edilemiyorlar.
Şimdi tekrar CrowdStrike ın APT 28 ve 29 için iddialarına dönelim.
CrowdStrike "mükkemel iş çıkaran" APT 28 ve 29 u tespit edebilmiş çünkü inanılmaz başta savma bir iş çıkarmışlar!
SORULAR:
İşçiliği süper, harekat güvenliği üstün bir hacker grubu sızdırdığı bir belgede Sovyet şef ajanının ismini bırakır mı?
Bu gruplar, öne sürülen belgelerin metaverisinde kiril alfabesi ile yazılmış yorum satırları bırakacak kadar dikkatsiz mi?
Sürekli alan adını, tekniklerini, komuta ve kontrol kanallarını değiştiren bu gruplar daha önce kendilerine ait olduğu tespit edilmiş bir IP adresini tekrar kullanır mı?!!
Demokrat Partinin en karmaşık, işini en iyi gören yabancı bir istihbarat servisi tarafından ya da o servise çalışan bir hacker grubu tarafından saldırıya uğradığına inanmak güç. Olayın içinde başka bir boyut olduğu kesin neredeyse.
Kaynak: https://twitter.com/BesliLikert/status/819246310473760768
Özellikle geçtiğimiz 6 Ocak Cuma günü Donald Trump’a istihbarat camiası tarafından verilecek brifing öncesinde tartışmalar şiddetlendi.
Bu brifing sırasında Donald Trump’a olaya ilişkin kamuya açık bir rapor sunuldu. Rapora ulaşmak için: https://www.dni.gov/files/documents/ICA_2017_01.pdf …
Raporda Rusların yaptığına yönelik kanıtlar zayıf ve raporun büyük kısmı kamu kurumlarının alması gereken tedbirlerden ibaret.
Brifing öncesi 4 Ocak Çarşamba günü DP, Buzzfeed sitesine, FBI ın ya da herhangi başka bir istihbarat ajansının partiye ait sızıldığı iddia edilen sunucular üzerinde bağımsız bir değerlendirme yapmadığını belirtti. https://t.co/Xm0CNUyFsj
Bunun yerine FBI ın, özel bilişim güvenlik firmaları olan Crowdstrike ve FireEye ın verdiği bilgilere göre hareket ettiği iddia edildi.
FBI bu iddiaları geri püskürttü: 5 Ocak Perşembe günü New York Times’a üst düzey bir FBI güvenlik sorumlusu tarafından yazılan emailde:
FBI ın DP yetkililerinden tekrar tekrar sunuculara ve veriye direk erişim için izin istediği, ancak bu erişim izninin risk etkisiz hale getirilene kadar ertelendiği vurgulandı. Bu açıklama DP iletişim direktörü Eric Walker’ın Buzzfeed’e yaptığı açıklama ile tamamen çelişiyor. Çünkü Walker’a göre aslında FBI aslında DP sunucularına hiç erişim talep etmedi.
FBI, Crowdstrike ve FireEye verisini baz aldığını kabul ediyor ancak bunun nedeninin tamamen DP nin kendilerine bağımsız çalışma izni vermemesi olduğunu belirtiyor. FBI yetkilisine göre; “Bu durum FBIya üçüncü bir kaynaktan gelen veriye güvenmekten başka çare bırakmadı. Bu tavır sızmayı daha erken tespit etmeyi engelledi”
İlgili haber: https://t.co/TJyAKFgDI4
Bu karışıklığa binaen Trump 6 Ocak Perşembe günü gerçekten bir hack gerçekleşip gerçekleşmediğini sorguladı:
Ancak hacklenmenin gerçekleşip gerçekleşmediği noktasında FBI ve DP aynı tarafta. Yani bir hacklenme olduğuna inanıyorlar.
Ancak Trump ve bazı diğer çevreler "Rusya’nın" DPyi hacklemesi ve seçime müdahale etmesi konusunda şüphelerini dile getiriyor.
Şimdi biraz detaya girelim. Rusya’nın payı olduğuna inanmakta “iyi” nedenler var, ancak “iyi” kesin demek değil. Özellikle saldıranların kullandığı "dil" göz önüne alındığında, saldırıyı Rusların yaptığına ilişkin birçok kanıt olduğu düşünülüyor. Ancak Rusların yaptığına ilişkin iddia o kadar fazla tekrarlanıyor ki insanlar bu iddianın kanıtlanmadığını unutmaya başladı.
DP hesaplarına kimlik avı mesajları ile sızıldığına ve malware in bu yolla DP bilgisayarlarına bulaştığına ilişkin ciddi kanıt var. Hatta bunu yapan hackerların geçmişte başka hedeflere saldıran gruplar olduğuna ilişkin kanıtlar da mevcut.
Ancak tekrarlayalım, bu grupların Rusya hükümeti olduğu ya da Ruslar adına çalıştığı ile ilgili bir kanıt yok. Rusya’nın sorumlu olduğunu sürekli iddia eden CrowdStrike firmasının da Haziran ayında DP tarafından kiralandığını aklımızda tutalım.
Ucu savaş açmaya kadar gidecek bir iddianız varsa tahmin ve varsayımdan öte sağlam kanıtlarınız olmak zorunda. Özel bilişim güvenliği firmalarının DP sunucularına erişimi olsa bile sundukları kanıtlar herkesin erişebildiği emailler ve belgeler.
Bulunan malware in Rusya için çalıştığına inanılan APT 28/Fancy Bear ve APT 29/Cozy Bear hack gruplarından geldiğine inanılıyor.
Şimdi iddia edilen kanıtlar hakkında ne biliyoruz özetleyelim..
Saldırganlar email ile kimlik avı yapmak için APT 28 ile ilişkili, imlası bozuk bir IP adresi kullanmış. https://t.co/1mAbbiXQav
Bulunan malware in APT 28 ile ilişkili bir IP adresi ile iletişim kurmaya programlı olduğu tespit edildi. https://t.co/SfwsuwvmvG
İlk olarak hacklenmiş belge ve mailler Guccifer 2.0 isimli bir blogdan yayıldı. https://guccifer2.wordpress.com/
Daha sonra da DCLeaks isimli bir siteden. Tabii ki daha sonra da Wikileaks ten. http://soros.dcleaks.com
Guccifer 2.0 sitesinden sızdırılan dosyanın metaverisinin kril alfabesinde “Felix Edmundovich” nicki tarafından modifiye edilmiş.
Bu isim Sovyet döneminde görev almış gizli bir istihbarat servisine referans niteliğinde. Diğer bir belgenin metaverisinde de kril alfabesine rastlanmış. Bu da belgenin Rusya dil ayarları kullanılarak editlendiğini gösteriyor. Diğer kanıt, Guccifer 2.0 sitesinde Romence yazılan yazılarda dilin yanlış kullanımları. https://t.co/w2o8BztSFO
Bu da siteyi yönetenlerin Romanyalı olmadığını gösteriyor.
http://Dcleaks.com alan adı ile kimlik avı emailleri gönderen adresin kayıtlı olduğu alan adı kaydı aynı. https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html …
Kimlik avı emaillerinden bazıları Moskova merkezli bir içerik ve mail sağlayıcısı olan Yandex kullanılarak gönderilmiş.
Geçmişe Podesta aleyhinde de kullanılan bit.ly linkinin APT 28/Fancy Bear tarafından kullanıldığına inanılıyor. https://t.co/fgWoA7HacC
Peki bütün bu bulgular neden YETERLİ DEĞİL?
Bütününe bakıldığında yukarıda sıraladığım kanıtlar güçlü görünebilir. Ancak tek tek ele alındığında o kadar da etkili değil.
Rusların kesinkes bu işte parmağı olduğunu savunan CrowdStrike, APT 28/Fancy Bear hack grubu hakkında “Hedefledikleri yasal organizasyonların alan adlarına çok benzeyen alan adlarını kayıt ettirmedeki ustalıkları ile biliniyor” demiş.
Ama artık bu teknik Ruslara özgü bir teknik değil. İmlası bozuk alan adı kullanımı kimlik avı saldırılarında en yaygın kullanılan yöntem Yandex bir gösterge mi? Bugün dünyada birisini Gmail hesabı kullanıyor diye CIA ajanı ilan ederseniz gülerler.
Guccifer 2.0 sitesi Romanyalı taklidi yaptı diye blogun Rusya’ya çalıştığı çıkarımını yapamazsınız. Yalan söylemiş olursunuz sadece.
CrowdStrike firması APT 28 ve APT 29’u şöyle tanımlıyor: İşçilikleri süper, harekat güvenlikleri üstün, tespit edilemiyorlar.
Şimdi tekrar CrowdStrike ın APT 28 ve 29 için iddialarına dönelim.
CrowdStrike "mükkemel iş çıkaran" APT 28 ve 29 u tespit edebilmiş çünkü inanılmaz başta savma bir iş çıkarmışlar!
SORULAR:
İşçiliği süper, harekat güvenliği üstün bir hacker grubu sızdırdığı bir belgede Sovyet şef ajanının ismini bırakır mı?
Bu gruplar, öne sürülen belgelerin metaverisinde kiril alfabesi ile yazılmış yorum satırları bırakacak kadar dikkatsiz mi?
Sürekli alan adını, tekniklerini, komuta ve kontrol kanallarını değiştiren bu gruplar daha önce kendilerine ait olduğu tespit edilmiş bir IP adresini tekrar kullanır mı?!!
Demokrat Partinin en karmaşık, işini en iyi gören yabancı bir istihbarat servisi tarafından ya da o servise çalışan bir hacker grubu tarafından saldırıya uğradığına inanmak güç. Olayın içinde başka bir boyut olduğu kesin neredeyse.
Kaynak: https://twitter.com/BesliLikert/status/819246310473760768
ABD’deki hacklenme olayında Rusya’nın parmağı olabileceği iddialarına teknik yaklaşım
Reviewed by Habersizim
on
15:52:00
Rating:
Reviewed by Habersizim
on
15:52:00
Rating:
Hiç yorum yok: