Linkedin Saldırısı (2012)

PwnLab.Me

Admin
Katılım
21 Ocak 2024
Mesajlar
202
Tepkime puanı
9
Puanları
18
Fatih Mollaalioğlu tarafından yazılmıştır.

leakedin-300x102.png

[TR] LINKEDIN SALDIRISI (2012)​


Bugünlerde hepimiz Linkedin’in başına gelenleri konuşuyoruz. Evet, LinkedIn hacklendi ve milyonlarca kullanıcısının kişisel verileri ele geçirildi. Ancak bu ilk değildi ve muhtemelen de son olmayacak. Siber güvenlik dünyasının asi çocukları her geçen gün yeni kurbanlar ve yöntemler keşfede dursun, ben bugün siz değerleri okuyucularımıza Dünya tarihine geçmiş en büyük siber saldırılarından biri olan ve 2012 yılında yine LinkedIn platformunun başına gelenlerden bahsedeceğiz.

NIKULIN AV PEŞİNDE


2012 yılında bir hacker olan Yevgeniy Nikulin bu siteye saldırıda bulunup kullanıcı bilgilerini ele geçirmeyi planlamıştı. Peki bunu nasıl yapabilirdi? LinkedIn gerçekten yetenekli mühendislerin ve yöneticilerin çalıştığı büyük Silikon Vadisi şirketlerinden birisiydi. Sirket, gereksiz veya zararlı olabilecek tüm trafiğin gelmesini engellemek için büyük bir güvenlik duvarına ve kötü niyetli faaliyetleri denetlemek için en güncel ve en iyi uygulamalara sahipti. Ayrıca, sistemde herhangi bir güvenlik açığı olup olmadığı düzenli olarak test ediliyordu. Hacker Nikulin bunun farkındaydı. Nikulin‘ in önünde tırmanması gereken koca bir dağ vardı, ama bir şekilde bir yolunu bulmalıydı. Firma çalışanlarının uzaktayken mutlaka kurumsal ağa erişebilecekleri bir yol olduğunu düşündü. Tabi ki bu erişim birçok şirketin yaptığı gibi VPN bağlantısı ile sağlanıyordu. Nikulin şirket çalışanlarından birinin VPN erişim bilgilerini çalmak için kolları sıvadı. Ilk olarak LinkedIn’in web sitesinde çalışanlarla ilgili sosyal mühendislik çalışmaları yapmaya başladı. LinkedIn bizler için ne kadar faydalı bir platform olsa da hackerlar için çok yararlı bilgiler içerebiliyor. Mesela; bir System Admin’i, LinkedIn profilinde Windows Server’lari konusunda veya bir Network Admin’i, Cisco güvenlik duvarı konusunda uzman oldukları bilgisini paylaşıyor. Bu bilgiler tabi ki bilgisayar korsanları için ciddi ipuçları içeriyor. Nitekim, Nikulin de bu bilgileri hedefe ulaşmak için bir araç olarak kullandı. Yaptığı profil taramaları sonucunda veritabanına uzaktan VPN erişimi olan bir LinkedIn mühendisini gözüne kestirdi. Bu mühendisin LinkedIn hesabında şahsına ait bir web sitesinin linkini gördü. Bu site mühendis hakkında şahsi bilgiler içeren blog tarzında bir website’siydi. Nikulin sitenin tutulduğu sunucunun IP adresini araştırdığında, bu adresin bir eve ait olduğunun farkına vardı. Yani, görünüşe göre bu LinkedIn çalışanı evinde bir web sunucusu çalıştırıyordu. Nikulin; “bu web sunucusuna sızabilirsem ordan LinkedIn’in kurumsal ağına bir erişim sağlayabilirim” diye düşündü. Hemen bu web sunucusunda tutulan başka bir site var mi diye baktı ve cockeyed.com adlı siteyle karşılaştı. Sitede gezindi ve bu çok daha büyük blog tipi olan, mühendisin arkadaşı tarafından yönetilen ve PHP kodlarla yazılmış bir siteydi. Nikulin bu sitenin açığını bulmaya çalıştı ve bir şekilde siteye dosya yüklemenin yolunu buldu ve oraya kötü amaçlı PHP dosyalarını yükledi. Bu dosyalardan birisi „madnez. php“ idi.

Eğer, bir bilgisayar korsanı kendi PHP programını web sitesine yükleyebilir ve bu programı çalıştırabilirse web sitesini barındıran bilgisayarı devralabilir. Çünkü, dosyayı bir tarayıcı üzerinden görüntülediğinizde, o PHP programındaki kod ne olursa olsun onu o bilgisayara uzaktan erişim sağlayacak şekilde yapılandırabilirsiniz. Bu dosyanın yaptığı da buydu. Nikulin bu LinkedIn mühendisinin kişisel blogunun barındırıldığı yerde tutulan cockeyed.com web sitesine Shell erişimi sağladı. Web sunucusuna girdikten sonra, ağdaki diğer IP’leri taramaya başladı ve bir iMac bilgisayarı tespit etti. Bu iMac’in, kullanıcılarının o iMac’e bağlanmasına izin veren açık bir SSH bağlantı noktasına sahip olduğunu buldu. SSH portunun açık olması demek, o sisteme veya bilgisayara Brute Force saldırısı yapılabileceği anlamına geliyordu. Nikulin bağlı olduğu web sunucusu üzerinden, mühendisin kullanıcı adını tespit etmek için, LinkedIn mühendisinin baş harfini ve soyadını kullandı ve binlerce şifreyi denemeye başladı.

Bunların hepsi 2012 yılının Şubat ayında oluyordu.

Günlerdir bu web sunucusu, mühendisin haberi olmadan bu mühendisin evinde bulunan iMac’e saldırıyordu. Birkaç gün boyunca binlerce şifre denendikten sonra bu şifrelerden birisi aniden çalışıverdi. Nikulin bu şifreyle iMac’e giriş yaptı ve bunun bir kişisel bilgisayar olduğunu fark etti, bu iMac LinkedIn firmasına ait bir bilgisayar değildi. Ancak daha sonra, girdiği bu web sunucusunun bu iMac üzerinde çalıştığını keşfetti. Evet, site aslında iMac’teki sanal bir makinede çalışıyordu. Nikulin iMac bilgisayarın içinde biraz daha gezindikten sonra, işte tam da aradığı şeyi bulmuştu! Mühendisin LinkedIn’de oturum açmak için kullandığı anahtar (private key)!

Belirli sistemlerde oturum açtığınızda, bir kullanıcı adı ve parola kullanabilirsiniz, ancak daha kolay bir seçenek: genel anahtarın (Public Key) erişmeniz gereken sunucuya konulduğu ve özel anahtarınızın (Private Key) kendi bilgisayarınızda olduğu genel ve özel anahtarları kullanmaktır. Böylece, sunucuya bağlandığınızda, anahtarları kullanarak kimlik doğrulaması yapabilirsiniz. Bunların hepsi otomatik olarak yapılır ve sizi şifreleri yazmaktan kurtarır.

Yevgeniy Nikulin LinkedIn’in kurumsal ağına direkt bağlanmasını sağlayacak her türlü bilgiyi eline geçirmişti artık. Tabi ki hiç vakit kaybetmeden firmanın sistemine bağlandı. Ama burada bir hata yapmıştı. Bu bağlantıyı Moskova’daki kendi evinden gerçekleştirmişti. Gerçi sistemde Moskova’dan kurulan bağlantıyı engelleyici bir kural da yoktu. Bir süre kurumsal ağda gezindi ve içinde LinkedIn kullanıcılarının isimleri, e-mail adresleri ve şifre hashlerinin olduğu bir veritabanını kendi bilgisayarına kopyalamayı başardı. Ardından sistemden çıkış yaparak ortadan kayboldu. Evet, LinkedIn ağır bir siber saldırıya uğramıştı, kullanıcı bilgileri çalınmıştı ama bundan şirketin haberi dahi yoktu. Ta ki, 3 ay sonra birinin bu bilgileri insidepro.com da satışa çıkarmasına kadar. Bu site hack saldırıları sonucu çalınan verilerin satıldığı meşhur bir siteydi: DARK WEB!

LINKEDIN OLAYIN FARKINA VARIYOR!


LinkedIn’in siber güvenlik uzmanları şirkete ait verilerin Dark Web’de satıldığını görünce hemen harekete geçtiler. Ilk olarak satılan verilerin gerçekten şirket verileri olup olmadığını kontrol ettiler ve sonuç onların istemediği gibi çıkınca bu acı gerçekle yüzleşmek zorunda kaldılar. Şimdi önlerinde cevaplamaları gerek kocaman bir soru yığını vardı. Acaba bu hacker hâlâ sistemin içinde geziniyor muydu? Tam olarak hangi bilgileri çaldı, yani elinde daha başka veriler de var miydi? Hackerların tekrar kurumsal ağa bağlanmasına nasıl engel olabilirlerdi? Bütün bu ve buna benzer sorulara çok acil cevap bulunması gerekiyordu. LinkedIn mühendisleri ve siber güvenlik ekibi “War Room” yani savaş odası dedikleri bir konferans odasında toplandılar ve sayıları 40 ile 60 kişi arasındaydı. Herkes bu mesele üzerine çalışıyordu. Hatta, diğer ülkelerdeki, bu konunun uzmanı olan çalışanları da acil bir şekilde ABD’deki merkezi ofise çağrılmışlardı. LinkedIn’de tam bir kaos ortamı hakimdi.

Uzun süren çalışmalar ilk meyvesi vermişti. Ilk ipucunu VPN loglarini incelediklerinde bulabildiler. Siber güvenlik ekibi, Kaliforniya’da yaşayan mühendislerden birinin birçok farklı zamanda sisteme VPN ile Moskova’dan bağlandığını tespit ettiler ve onu bir görüşmeye çağırdılar. Evet, kimse bu mühendisin yerinde olmak istemezdi.

Yakın zamanda Rusya’ya gittiniz mi? Rusya’ya ait bir proxy üzerinden sisteme bağlandınız mi? VPN giriş bilgilerinizi Rusya’da yaşayan birisine verdiniz mi? Soruların ardı arkası kesilmedi. Mühendisin cevabi belliydi; Hayır!

Siber güvenlik ekibi uzun ugraslar sonucunda önemli bir delil elde etmişti. Bu arada, Yevgeniy Nikulin de boş durmuyordu tabi ki. Ele geçirdiği hashlenmiş şifreleri çözmenin bir yolunu bulmaya çalışıyordu.İnternettekii bir foruma elindeki milyonlarca şifreden birkaç tanesini paylaşıp, bu şifrelerin çözümü konusunda başkalarından yardım istiyordu. Bu paylaşımı gören LinkedIn siber güvenlik ekibi, hemen bu paylaşımı kendi veritabanılarındaki şifrelerin hashleriyle karşılaştırdılar ve maalesef hashler birbiriyle uyuşuyordu. Bu LinkedIn için daha sıkıntılı günlerin geleceğinin habercisiydi. Şirketin kapısında oluşacak kaosu haber yapmak için bekleyen bir yığın medya ekibi de hazır bekliyordu. Bu yüzden şirket yetkilileri FBI’dan yardım istemeye karar verdiler. FBI çok hızlı bir şekilde sistemdeki logları incelemeye ve ilgili insanları soruşturmaya başladı. Hackerı yakalamak için ilk etapta ellerinde sadece lokasyon bilgisi (Moskova) vardı. Sistemdeki loglar üzerinden Hacker’in user agent bilgisine ulaştılar. User agent; internet kullanıcısı ile web içerikleri arasında köprü vazifesi gören yazılımlara verilen isimdir. User agent, kullanıcı etkileşimleri boyunca mevcut olan, internet kullanıcısının sahip olduğu cihaz, lokasyon, IP adresi gibi pek çok bilgiyi taşır. Sağlanan bilgiler web siteleri tarafından özelleştirilir ve daha yüksek performanslı kullanıcı deneyimleri sunmak amacı ile kullanılır. Hacker başka IP adresleriyle sisteme bağlanmış olabilirdi, ama eğer diğer IP’lerin user agent bilgisi onunki ile uyusuyorsa, bu IP’ler de hacker’a ait demekti. Nitekim bu varsayım doğrulandı. Aynı user agent bilgisini kullanan bir başkası LinkedIn’in websitesine bağlanıp 30 farklı kullanıcı ismiyle sisteme giriş yapmıştı. Bu bilgisayar korsanının elindeki hashlenmiş şifreleri çözmeye başladığını gösteriyordu.



Bu sırada LinkedIn’de mühendisler veritabanı sunucularını da kontrol etmeye başladı. Buldukları bilgileri aldılar ve bu IP’ler, kullanıcı adı veya kullanıcı aracısı (user agent) ile veritabanı sunucularında herhangi birinin oturum açıp açmadığını görmek için loglari taradılar. LinkedIn’in o sırada kullandığı veritabanı, bir UNIX makinesinde yüklü olan Oracle’dı. Bu yüzden, SSH kullanarak uzaktan ona bağlanan biri olup olmadığını araştırdılar ve orada birilerinin olduğunu tespit ettiler. Bilgisayar korsanının veritabanı sunucusunda oturum açtığına ve ardından veritabanına eriştiğine ve bu veritabanında query (sorgu) çalıştırdığına dair loglara eriştiler. Soruşturmanın bu kadar derinlemesine incelenmesi altı hafta sürdü. Bu süre zarfında, LinkedIn, çalışanlarına şifrelerini değiştirmesi için talimat verdi. Başlangıçta bu iMac bilgisayarla saldırıya uğrayan mühendis için yepyeni bir hesap oluşturuldu ve sistemde hiçbir iz kalmadığından emin olmak için sunucuları yeniden kurdular.

Bu süreçte LinkedIn, kullanıcılarına hacklendiğini bildirmek için mümkün olan en kısa sürede bu ihlali duyurdu.

https://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised

Bazı hacker forumlarında 6.5 milyon LinkedIn kullanıcı hesabının bulunduğu iddia ediliyordu. Bununla birlikte, 6,5 milyon parolanın tamamı görünmüyordu ve bu veritabanı o zamanlar yalnızca birkaç kişinin elindeydi, sadece bir örneği halka açık olarak yayınlanmıştı. Ancak yukarıda paylaştığım gönderi ve FBI’in yaptığı soruşturma Haziran 2012’de gerçekleşmişti. Yine de, bazı araştırmalara göre Yevgeniy Nikulin’ in sisteme Mart 2012’de sızdığı söyleniyordu. Bu da LinkedIn’in üç ay boyunca bu sızma işlemi hakkında hiçbir fikri olmadığı anlamına geliyor. Belli ki bu süre zarfında Nikulin mümkün olduğunca şifre çözüp, bu şifrelerin tutulduğu veritabanını satıp para kazanma peşindeydi.

Bu siber saldırıyla LinkedIn kadar Yevgeniy Nikulin de tarihe adini yazdırmıştı. Nikulin için bunun bedeli 88 ay hapis cezasıydı!

Yazımızın 2.bölümünde bu bilgisayar korsanının kırdığı şifreleri kullanarak hepimizin çok iyi bildiği başka iki büyük siteye daha nasıl sızdığından bahsedeceğiz.

Kaynaklar:

https://darknetdiaries.com/episode/86/

https://en.wikipedia.org/wiki/Yevgeniy_Nikulin
 
Moderatör tarafında düzenlendi:
Geri
Üst