Fortinet
Siber Güvenlik

FortiGate Cihazlarına Ait Veriler Sızdırıldı !

Veriler, ilk defa bu ay sosyal medyada ve hacker formlarında yer alan yeni bir hacker grubu olan "Belsen Group" tarafından sızdırıldı. Grup, kendilerini tanıtmak için bir Tor Web sitesi oluşturdu. Oluşturulan site üzerinden FortiGate cihazlarına ait verileri diğer tehdit aktörleri tarafından kullanılmak üzere ücretsiz olarak yayınladı.

Grup, siber suç forumlarının birinde FortiGate cihazlarına ait verileri kendilerini tanımak amacıyla ücretsiz yayınladıklarını belirten bir post paylaştı.

"Bu yılın başında bizim için olumlu bir başlangıç ​​olarak ve grubumuzun adını hafızanızda sağlamlaştırmak adına ilk resmi operasyonumuzu duyurmaktan gurur duyuyoruz: 
15.000'den fazla hedefe ait hassas veriler yayınlanacak dünya çapında (hem devlet hem de özel sektör) saldırıya uğrayan ve verileri çıkarılan kişiler"

Sızdırılan FortiGate verileri, ülkeye göre sınıflandırılmış klasörleri içeren 1,6 GB'lık büyük bir arşivden oluşuyor. Zira, arşivin içinde bulunan dosyaların genelinin text dosyası olaması 1,6 GB'lık bir büyüklüğün aslında ne kadar fazla veri barındırdığın ürkütücü bir delilidir. Ülkelere ait bu klasörlerin içinde ise, o ülkeye ait FortiGate cihazlarının IP adreslerine göre alt klasörler bulunuyor. Belsen Group, tehdit aktörleri için oldukça kolaylaştırcı bir çalışma yapmış gözüküyor.

Siber güvenlik uzmanı Kevin Beaumont'a göre, her IP adresine ilişkin klasörde “configuration.conf” (Fortigate yapılandırma dökümanı) ve “vpn-passwords.txt” dosyası bulunuyor. Bazı şifrelerin ise düz metin halinde olduğunu, yapılandırmalar için ayrıca özel anahtarlar (private keys) ve güvenlik duvarı (firewall) kuralları gibi hassas bilgileri de içeriyor.

Beaumont, "Kurban kuruluşundaki bir cihazda olay müdahalesi yaptım ve istismar gerçekten de cihazdaki yapılara dayalı olarak CVE-2022-40684 aracılığıyla gerçekleştirilmiş. Ayrıca dökümde görülen kullanıcı adlarının ve şifrenin eşleştiğini de doğrulayabildim. Verilerin Ekim 2022'de 0day güvenlik açığı olarak toplandığı görülüyor. Bazı nedenlerden dolayı, config'in veri dökümü 2 yıldan biraz daha uzun bir süre sonra bugün yayınlandı." diye açıklıyor.

2022'de Fortinet, tehdit aktörlerinin hedeflenen FortiGate cihazlarından yapılandırma dosyalarını indirmek ve ardından "fortigate-tech-support" adı verilen kötü amaçlı bir super_admin hesabı eklemek için CVE-2022-40684 olarak izlenen zero-day açığının kullandığı konusunda uyardı.

Beaumont, FortiGate yöneticilerinin sızıntının kendilerini etkileyip etkilemediğini bilmesi için sızıntıdaki IP adreslerinin bir listesini yayınlamayı planladığını belirtti.

Alman haber sitesi Heise, veri sızıntısını analiz etti.  Analize göre sızıntıdaki bahsi geçen verilerin 2022'de toplandığını ve tüm cihazların FortiOS donanım yazılımı 7.0.0-7.0.6 veya 7.2.0-7.2.2'yi kullandığını söyledi.
“Tüm cihazlar FortiOS 7.0.0-7.0.6 veya 7.2.0-7.2.2 ile donatılmıştı, çoğu da 7.2.0 sürümüne sahipti. Bilgisi sızdırılan cihazların arsında 3 Ekim 2022 tarihinde yayınlanan 7.2.2 sürümünden daha yeni bir FortiOS sürümüne sahip cihaz bulamadık."

DrDisk Lab siber güvenlik uzmanları paylışan verilerin sahte mi yoksa gerçek bir sızıntı mı olduğu hakkkında yapılan analizler sonucunda verinin doğruluğunu belirlemiştir.

Sızıntıdaki verilerin ücretsiz bir şekilde yayınlanmış olmasıyla birlikte, verilere artık erşimin çok daha kolay olduğunu görebiliyoruz. Her ne kadar bu verilerin 2022 0day açığıyla toplanmış olması ve bahsi geçen zaafiyetin Fortinet tarafından yayınlanan yeni FortiOS sürümü ile giderilmesi siber güvenlik noktasında sorunların çözüldüğü anlamına gelmiyor. Zira kullanıcılar söz konusu güncellemenin yapılıp yapılmadığını takip etmemiş ve sistemlerini henüz güncelleme yapmamışlar ise, yazının konu aldığı muhtemel kurbanlardan birisi olmalarının an meselesi olduğunu söylemek, pek de abartılı bir ifade olmaz. 

Yukarıda paylaştığımız ve DrDisk Lab Siber güvenlik uzmanlarının çalışmaları neticesinde elde edilen bilgiler, veri sızıntısında yer alan IP adreslerinde bulunan cihazlarda 2 yıl önce yapılan güncelleme ile bertaraf edilen zafiyetin bu güncellemeyi henüz almamış cihazlarda devam ettiğini gözler önüne sermektedir. Firewall cihazlarınız, sadece elektrik faturasına katkı sağlasın istemiyorsanız, onları güncel tutmak zorunda olduğunuz gerçeğini atlamamalısınız. 2 sene önceki VPN erişim bilgilerini ve Firewall kurallarını kullanmaya devam eden sistemlerin, sızdırılan bu verileri kullanacak olası tehdit aktörlerinin saldırılarına karşı savunmasız olduğunu belirtmek isteriz. Bu durum söz konusu cihazlardan sorumlu olan IT yöneticileri için önem arz etmektedir.

Kaynakça:

BleepingComputer. (2025). Hackers leak configs and VPN credentials for 15,000 FortiGate devices. -Lawrence Abrams Erişim adresi: 

 

Fortinet. (2022). CVE-2022–40684 Güvenlik Duyurusu.

Heise. (2025). FortiGate Veri Sızıntısı Analizi.

2022 zero day was used to raid Fortigate firewall configs. Somebody just released them. - Kevin Beaumont Erişim Adresi:
 

G-List ve P-List HDD Hata Yönetimi
Veri Kurtarma

HDD Hata Yönetimi ( G-List ve P-List)

HDD hata yönetimi, sabit disklerin uzun süre güvenilir bir şekilde çalışmasını sağlamak için kullanılan yöntemler bütünüdür. Bu yöntemler, disk üzerindeki hataları tespit edip düzeltmeyi veya yönetmeyi hedefler. HDD hata yönetimi kapsamında sıkça karşılaşılan iki önemli liste, P-List (Primary Defect List) ve G-List (Growth Defect List), diskteki hatalı sektörlerin yönetilmesinde kritik rol oynar

HDD Hata Yönetimi Teknikleri

  1. SMART (Self-Monitoring, Analysis, and Reporting Technology):
    • Açıklama: SMART, diskin içsel durumunu izlemek için kullanılan bir teknolojidir. Disk içerisindeki entegre edilmiş sensörler ve yazılımlar, sıcaklık, başarısız okuma/yazma girişimleri, bekleyen sektör (pending sector) sayısı, yeniden yönlendirilen sektör (reallocated sector) sayısı gibi parametreleri izler. SMART, bu verileri kullanarak diskin sağlık durumu hakkında bilgi verir ve potansiyel arızaları önceden tahmin etmeye çalışır. SMART öznitelikleri arasında Raw Read Error Rate, Spin Up Time, Start/Stop Count gibi değerler bulunur.
    • Uygulama: SMART verileri, disk üreticilerinin kendi yazılımları veya genel kullanımda olan araçlarla (örneğin, CrystalDiskInfo, HD Tune. HDD Sentinel) okunabilir. Bu değerlerdeki anormallikler, disk arızası olasılığı konusunda bilgiler verir.
  2. Hata Düzeltme Kodları (ECC):
    • Açıklama: ECC, veri okuma ve yazma işlemleri sırasında veri bütünlüğünü korumak için kullanılan matematiksel algoritmalardır. Reed-Solomon kodları veya Hamming kodları gibi ECC algoritmaları, veriye ekstra bilgi ekler. Bu ek bilgi, hatalı bitlerin tespitini ve düzeltilmesini sağlar. ECC, özellikle RAM, HDD ve SSD gibi depolama aygıtlarında kullanılır.
    • Uygulama: ECC, yazılım ve donanım düzeyinde uygulanır. Disk kontrolörü, okunan veriyi ECC ile karşılaştırır ve hata varsa, bu hataları düzeltebilir. Büyük hatalar durumunda, ECC sadece hatayı raporlar ve veri kaybı önlenemezse, kullanıcıya veri bütünlüğünün bozulduğu bilgi verilir.
  3. Bad Sector Yönetimi:
    • Açıklama: Bad sector yönetimi, disk üzerinde veri okuma veya yazma işlemlerinde sürekli başarısız olan sektörlerin (bad block) yönetilmesidir. Bu sektörler, SMART tarafından tespit edilir ve disk kontrolörü tarafından işaretlenir. Bad sector yönetimi, disk performansını korurken, hatalı sektörlerin verilere zarar vermesini önler.
    • Uygulama: Hatalı sektörler, yedek sektörlerle değiştirilir. Bu işlem, disk tarafından otomatik olarak yapılır ve kullanıcıya genellikle fark ettirilmez. Disk, bad sector haritalaması için bir tablo tutar ve bu tabloya göre veriye erişim sağlar.
  4. Yedekleme ve Yedek Alanlar:
    • Açıklama: Disk üretim sürecinde, potansiyel hatalı sektörler için yedek sektörler ayrılır. Bu yedek sektörler, hatalı sektörlerin yerini almak için kullanılır. Her disk, üretim aşamasında belirli bir sayıda yedek sektörle donatılır. Bu sektörler, bad sector yönetiminde kritik rol oynar ve veri kaybını önler.
    • Uygulama: Yedek sektörler, disk kontrolörü tarafından dinamik olarak yönetilir. Hatalı bir sektör tespit edildiğinde, veri bu yedek alana taşınır ve eski sektör kullanımdan kaldırılır. Bu süreç, SMART tarafından izlenir ve raporlanır.
  5. Disk Yeniden Haritalama:
    • Açıklama: Disk yeniden haritalama, hatalı sektörlerin yedek sektörlerle değiştirilmesi sürecidir. Bu işlem, veri kaybını önlemek için disk kontrolörü tarafından otomatik olarak gerçekleştirilir. Yeniden haritalama, bad sector yönetiminin bir parçasıdır ve disk performansını etkilemeden veri bütünlüğünü korur.
    • Uygulama: Bu işlem, bad sector haritalama tablosuna güncellemeler ekleyerek gerçekleştirilir. Disk, veriye erişirken bu tabloyu kullanarak hatalı sektörleri görmezden gelir ve yedek sektörlere yönlendirir.
  6. RAID Sistemleri:
    • Açıklama: RAID, birden fazla diskin birlikte kullanılmasıyla veri yedekleme, performans artırma ve hata toleransı sağlanmasıdır. Farklı RAID seviyeleri (RAID 0, RAID 1, RAID 5, RAID 10 vb.) veri parçalama ve yedekleme yöntemlerine dayanır. RAID, disk hatalarına karşı koruma sağlayarak veri kaybını azaltır.
    • Uygulama: RAID sistemlerinde, veri blokları çeşitli disklere dağıtılır. RAID 1'de verilerin bir kopyası iki diske yazılırken, RAID 5'te veri parçalama ve parite bilgisi kullanılır. Hata durumunda, RAID denetleyicisi veri yeniden yapılandırması yapabilir.

P-List (Primary Defect List)

  • P-List, üretim sürecinde tespit edilen ve hatalı olarak belirlenen sektörlerin listesidir.
  • Özellikler:
    • Sabit: Bu liste, disk ömrü boyunca değişmez. Üretim aşamasında belirlenen hatalı sektörler, disk kullanımı sırasında yeniden değerlendirilmez.
    • Yönetim: Üretim sırasında bu hatalı sektörler yedek sektörlerle değiştirilir, böylece kullanıcı bu hatalardan etkilenmez. Bu işlem, disk üretim sırasında bir kez yapılır.
    • Formatlama: Düşük seviyeli formatlama (low-level formatting) sırasında, disk kontrolörü, P-List'te yer alan sektörlere veri yazmaz, çünkü bu sektörler zaten hatalı olarak işaretlenmiştir.

G-List (Growth Defect List)

  • G-List, disk kullanımı sırasında yeni ortaya çıkan hatalı sektörlerin listesidir.
  • Özellikler:
    • Dinamik: Bu liste, disk kullanımdayken sürekli güncellenir. Yeni hatalar tespit edildikçe, bu sektörler G-List'e eklenir.
    • Haritalama: Hatalı sektörler, yedek sektörlerle değiştirilir ve veri kaybı önlenir. Bu işlem, kullanıcı verilerinin korunmasını sağlar. G-List, diskin hata yönetim sürecinde dinamik olarak güncellenir.
    • Performans: G-List büyüdükçe, disk performansı olumsuz etkilenebilir çünkü disk, veriye erişmek için daha fazla sektör değişimi yapmak zorunda kalır. Bu, disk erişim sürelerinin artmasına neden olabilir.

P-List ve G-List Karşılaştırması

P-List, G-List ve Yedek Sektörlerin Önemi

  • P-List: Diskin üretim aşamasında hatalı sektörlerin yönetilmesini sağlar, kullanıcı bu hatalardan etkilenmeden diski kullanabilir.
  • G-List: Disk kullanımı sırasında ortaya çıkan yeni hataları yönetir. G-List’in büyümesi, diskin ömrü ve performansı üzerinde belirleyici olabilir.
  • Yedek Sektörler: Yedek sektörler, veri kaybını önlemek için kritik öneme sahiptir. Hatalı sektörler bu yedek alanlarla değiştirildiğinde, veri bütünlüğü korunur. Ancak, yedek sektörler sınırlıdır ve bu kaynak tükendiğinde, disk performansı ve güvenilirliği olumsuz etkilenebilir.

Öneriler

P-List ve G-List yönetimi, HDD’nin güvenilirliğini ve kullanım ömrünü artırır. Kullanıcıların SMART raporlarını, yedek sektörlerin kullanımını ve G-List büyüklüğünü belli periyotlarla takip etmeleri veri bütünlüğü ve güvenliği açısından önemlidir. G-List büyümeye devam ederse veya yedek sektörler tükenmeye yaklaşırsa, diski değiştirmek veya kapsamlı bir yedekleme stratejisi uygulamak gerekecektir.

2024 Fidye Yazılımı Trendleri
Ransomware

Aralık 2024 Fidye Yazılımı Trendleri: Yeni Tehditler, Saldırı Teknikleri ve Güvenlik Önerileri

İş bu yazının hazırlanmasında " CYFIRMA tarfından hazırlanan "TRACKING RANSOMWARE : DECEMBER 2024" başlılı blog yazısından yararlanılmıştır.

Bilgi güvenliği ekosistemi, her geçen gün yeni tehditlerle ve saldırı teknikleriyle karşı karşıya kalmaktadır. Özellikle fidye yazılımları (ransomware) hem kurumsal hem de bireysel düzeyde önemli kayıplara yol açabilmektedir

Aralık 2024 dönemine dair yapılan bir incelemede; büyük çaplı saldırılar, yeni ortaya çıkan tehdit aktörleri ve saldırı tekniklerindeki dönüşüm dikkat çekici seviyelere ulaşmıştır. Bu blog yazısında, söz konusu dönemde tespit edilen eğilimler, yeni fidye yazılım gruplarının yöntemleri, etkilenen sektör ve ülkeler ile güvenlik önlemleri detaylı şekilde ele alınacaktır.

Aralık 2024’te önceki aya göre fidye yazılımı saldırılarında genel bir düşüş yaşansa da (yaklaşık %12,38 oranında), bu durum saldırıların nitelik ve kapsamındaki çeşitliliği azaltmamıştır Yapılan analizler, özellikle yıl sonu ve yeni yıla geçiş döneminde çevrimiçi alışveriş ve etkileşimlerin artmasıyla saldırı vektörlerinin daha farklı şekillerde kullanılabileceğini öngörmektedir

Bu raporda öne çıkan bir diğer husus ise çeşitli fidye yazılım gruplarının saldırı sayılarına yansıyan dalgalanmalardır. Örneğin “Cl0p” grubunun kurban sayısının 0’dan 68’e fırlaması, fidye yazılım saldırılarının potansiyel olarak ne kadar hızlı büyüyebileceğini gözler önüne sermektedir . Bununla birlikte “RansomHub” ve “Akira” gibi gruplarda dikkate değer bir düşüş kaydedilirken, “Funksec” adlı yeni bir oluşum 50 vakayla adeta sahneye hızlı bir giriş yapmıştır .

Aralık 2024 döneminde üretim (manufacturing) sektörü yine en yüksek saldırı oranına sahip olsa da (77 vaka), bir önceki aya göre %14,4’lük bir düşüşle dikkat çekmektedir. Sağlık, e-ticaret, hızlı tüketim ürünleri (FMCG) ile bankacılık ve finans sektörlerinde ise artışlar gözlenmiştir. Bu artışların, ilgili sektörlerin dijital dönüşüm hızının yüksek olması ve hassas veri barındırma oranının giderek yükselmesiyle bağlantılı olduğu düşünülmektedir.

Coğrafi açıdan bakıldığında, Aralık 2024’te en çok etkilenen ülke %53,30 oranla Amerika Birleşik Devletleri olmuştur. İkinci sırada Kanada (%5,65), üçüncü sırada ise Hindistan (%3,95) gelmektedir. Almanya ise Avrupa’daki endüstriyel faaliyetlerin yoğunluğu nedeniyle %2,64’lük payına rağmen dikkat çekici bir hedef konumundadır.

Raporda “Funksec” ve “Bleubox” isimli iki yeni grubun sahneye çıktığı vurgulanmaktadır (CYFIRMA, 2024, s. 8). Funksec, özellikle VMware ESXi hiper yönetici katmanlarını ve Windows sunucularını hedef alarak kısa sürede 50 kurban listelemiştir. Bleubox ise kurbanlarına ait verileri sızdırmakla tehdit eden bir veri sızıntı sitesi (data-leak site) üzerinden faaliyet göstermektedir.

Bunun yanı sıra, daha önce de bilinen ve aktifliğini koruyan “Cl0p” ransomware grubu; Cleo Harmony, VLTrader ve LexiCom gibi yazılımlar üzerinde tespit edilen (zero-day) açıklarını kullanarak veri hırsızlığı ve uzaktan kod çalıştırma senaryoları geliştirmektedir. Cl0p, daha önce MOVEit Transfer ve GoAnywhere MFT platformlarını hedef almasıyla da tanınmaktaydı. Aynı raporda, bu gibi saldırılarda “Malichus” adlı arka kapı (backdoor) yazılımı kullanıldığı ve bunun verileri çalma, komut yürütme gibi çok çeşitli kabiliyetlere sahip olduğu belirtilmektedir.

Bir diğer dikkat çekici nokta, “Black Basta” fidye yazılımının özellikle e-posta saldırısı (email bombing) ve sosyal mühendislik yöntemlerine odaklanmasıdır. Rapordan yer alan bilgilere göre saldırganlar, hedef kitlenin e-posta kutusunu aşırı derecede gelen mesajla doldurup, ardından Microsoft Teams gibi kurumsal haberleşme araçları üzerinden “IT destek” rolünde iletişime geçmektedir. Böylelikle kurbanı, “AnyDesk” ve “Quick Assist” gibi uzaktan erişim araçlarını kurmaya ikna etmekte ve güvenlik duvarının içinden sızma imkânı elde etmektedirler. Ardından “Zbot” ve “DarkGate” gibi kötü amaçlı yazılımlarla ağ keşfi, kimlik bilgisi toplama ve veri sızdırma süreçleri çok hızlı ve organize bir şekilde yürütülmektedir

Bu yaklaşım daha önce sıkça görülen botnet temelli klasik saldırı vektörlerine kıyasla daha “hibrit” bir model ortaya koymaktadır. Sosyal mühendislik marifetiyle kurulan güven ortamı, alışılagelmiş zararlı yazılımların hızlı etkisiyle birleşince saldırganların hedefleri üzerinde anlık ve geniş ölçekli başarı sağlamasını kolaylaşmaktadır.

Yapılan araştırmalara göre, fidye yazılım saldırılarına uğrayan işletmelerin yaklaşık %31’i, operasyonlarını en azından bir süreliğine durdurmak zorunda kalmaktadır. Bu durumun ardında yatan ana neden, kritik verilerin şifrelenmesi ve/veya sunucu altyapısının kullanılmaz hâle gelmesi olarak ifade edilmektedir. Aynı zamanda %40 oranında işletmenin personel azaltmaya gitmesi ve %35 seviyesinde yönetici kademelerinde istifaların yaşanması, saldırıların yalnızca teknik değil, kurumsal kültür ve iş gücü bakımından da ciddi sonuçlar doğurduğuna işaret etmektedir .

Özellikle küçük ve orta ölçekli işletmelerin (KOBİ) bu gibi ataklara karşı daha savunmasız olduğu, saldırı sonucunda **iflas etme **veya tamamen kapanma ihtimallerinin son derece yüksek olduğu da raporda dile getirilmiştir. Burada belirtilen %75’lik oran, siber suçluların KOBİ’lere dönük saldırılarını artırabileceğine dair ciddi bir uyarı niteliğindedir (CYFIRMA, 2024, s. 10).

Geleceğe Yönelik Öngörüler ve Temel Tavsiyeler • Yama Yönetimi (Patch Management) ve Zafiyet Takibi: Rapora göre fidye yazılım grupları, Apache ActiveMQ gibi yaygın kullanılan platformlardaki CVE-2023-46604 ve Cleo Harmony paketlerindeki CVE-2024-50623 gibi zafiyetleri son derece hızlı biçimde istismar etmektedir (CYFIRMA, 2024, s. 5, 7). Bu nedenle yazılımların güncel tutulması ve güvenlik yamalarının gecikmaksızın uygulanması kritik önem taşır. • Sosyal Mühendisliğe Karşı Farkındalık: Black Basta örneğinde görüldüğü gibi, saldırganlar kurbanların güvenini kazanmak için çok katmanlı sosyal mühendislik taktikleri uygulamaktadır. Kurum içi eğitimlerin düzenli yapılması, çalışanların beklenmedik istekler ya da kimlik doğrulama yöntemleri karşısında şüpheci olmaları gerektiğinin anlatılması önemlidir (CYFIRMA, 2024, s. 6). • Incident Response ve İş Sürekliliği Planlaması: Bir fidye yazılım saldırısı sırasında ve sonrasında işletmenin hızla toparlanabilmesi için olay müdahale planlarının (IRP) düzenli olarak test edilmesi, yedekleme politikalarının doğru kurgulanması ve yönetilmesi hayati rol oynamaktadır (CYFIRMA, 2024, s. 13). • Kurumsal Yönetişim ve Denetim Mekanizmaları: Özellikle büyük şirketlerde veri güvenliği, sadece BT ekiplerinin değil, aynı zamanda üst yönetimin de sorumluluğu altında olmalıdır. Yüksek seviyede güvenlik yönetişimi ve düzenli denetim raporlamaları, olası zayıf noktaların hızlı tespit ve giderilmesine destek olur (CYFIRMA, 2024, s. 12-13).

##Sonuç Aralık 2024 döneminde nispeten azalma eğilimi gözlemlense bile fidye yazılım saldırıları, hem taktiksel hem de stratejik boyutlarda ciddi tehdit oluşturmaya devam etmektedir. Cl0p’un sıfır gün açıklarını kullanarak gerçekleştirdiği saldırılar, Black Basta’nın sosyal mühendislikteki yenilikçi yöntemleri ve Funksec ile Bleubox gibi yeni aktörlerin süratle sahaya girmesi, fidye yazılım ekosisteminin hiç durmadan evrildiğini ortaya koymaktadır (CYFIRMA, 2024, s. 3, 6, 8).

Bu bağlamda, kuruluşların proaktif savunma politikalarına yönelmesi, zafiyet yönetimi süreçlerini aksatmadan yürütmesi ve siber farkındalığı sürekli güncel tutması önemli bir gereklilik haline gelmiştir.

Kaynakça; CYFIRMA. (2024). Tracking Ransomware – December 2024. (s. 1–14).

1 / 27

Kategoriler

Kategoriler
Kategoriler