A

atailh4n

Gelişen
Katılım
16 Mayıs 2025
Mesajlar
4
Beğeniler
1
Yer
Türkiye

Konu Başlıkları Gizle

  1. 1 TL; DR, Kısa Kesilmiş:
  2. 2 Konu Başlangıcı:
    1. 2.1 Kısaca Ne Yaşadım? (2024 Temmuz)
    2. 2.2 Ne Yaptım? (Analiz Aşaması)
    3. 2.3 CİMER Başvurusu ve BTK'nın Sessizliği
    4. 2.4 Techolay YouTube kanalındaki video ve bağlantı:
    5. 2.5 Risk Değerlendirmesi, 2018 Supermicro Olayı:
    6. 2.6 Önerim:
  3. 3 Sonuç:
Merhaba.

Sayın @Recep Baltaş, önemli olmasa kesinlikle sizi etiketlemez hatta bu saatte konu açmazdım. Gece saat 03:02 şuan, konu sabah 10:30'da otomatik yayına girecek şekilde ayarladım.

TL; DR, Kısa Kesilmiş:​

11 Temmuz 2024'te, H markalı cihazımda Çin IP'sine (106.38.8.234) her 30 saniyede 445 portundan çekirdek seviyesinde bağlantı olduğunu fark ettim. Malwarebytes logu elimde. BTK ve CİMER'e bildirdim, yanıt geldi ancak konuyla ciddi şekilde uğraşılmadı. Yeni yayılan sahte baz istasyonu videosuyla birlikte olayın bireysel değil sistematik olabileceğini düşünüyorum. Bu, ikinci bir Supermicro vakası olabilir.

Konu Başlangıcı:​

Bu mesajı, hem kişisel olarak yaşadığım bir siber güvenlik olayını hem de son günlerde ortaya çıkan yeni bir video ile ortaya atılan iddiaları değerlendirmek ve kayıt altına almak için yazıyorum. Konuyu, 11 Temmuz 2024 tarihinde başka bir forumda açtım. Ancak ne yazık ki o dönemde konu yeterince ciddiye alınmadı, hatta bazı kullanıcılar tarafından açıkça alay konusu edildi. Eğer istenirse bağlantı verebilirim. Tabii ki amacım diğer forumu kötülemek değil.
Şimdi, söz konusu videonun yayınlanmasıyla birlikte olayın boyutu yeniden değerlendirilmelidir. Bu nedenle bu foruma ilk kez konuyu taşıyor ve tüm teknik verileri mümkün olduğunca şeffaf ve ciddi şekilde paylaşıyorum. Ekte o zamanki log mevcut.

Kısaca Ne Yaşadım? (2024 Temmuz)​

Cihaz: H ile başlayan Çin menşeli bir markanın dizüstü bilgisayarı (D14 2019 – R5 3500U)
Ortam: Kendi odamda, cihaz çalışırken 10 dakika kadar odadan ayrıldım. Geri geldiğimde:
  • Bilgisayar kendi kendine amazon.com adresini açmıştı.
  • Sistem ayarları sekmesi açıktı.
  • Fare hareket ediyordu, ancak fiziksel olarak kimse dokunmuyordu.
  • Yanımda kardeşim de vardı ve olaya şahit oldu.
  • Aynı olay, iki kez tekrar etti.

Ne Yaptım? (Analiz Aşaması)​

  • Kaspersky: Tarama sonucu temiz.
  • Malwarebytes: Tarama sonucu temiz, ancak şüpheli etkinlik gözlendi:
    • 445 numaralı port üzerinden dış IP'ye düzenli bağlantı.
    • IP adresi: 106.38.8.234 – Konum: Beijing, China
    • WHOIS sorgusu: “H Technologies Co. LTD.” ibaresi açıkça yer alıyor.
  • Bağlantıyı gerçekleştiren sistem süreci: ntoskrnl.exe (Ring0 / çekirdek düzeyi sistem bileşeni)
  • Her 30 saniyede bir, değişen IP adreslerinden benzer bağlantılar yapılmaya devam etti.
  • Port 445'i sistem genelinde kapatarak bağlantıyı kestim.
Olaydan sonra Windows işletim sistemini terk ettim ve tamamen Linux'a geçiş yaptım. O tarihten bu yana benzer bir anormallik yaşamadım.
Ayrıca bu portu firewall ile bloklamam sonrası, Linux'a geçmeden önce bir yığın güncelleme almıştım, bu C2 alt yapısı kurulu bir APT'nin zayıf yapılandırılması ya da arkakapı (backdoor) firmware'e gömülmüş, sadece 445 ile tetiklenen bir ön kontrol.


CİMER Başvurusu ve BTK'nın Sessizliği​

Olayı takiben CİMER'e resmi başvuruda bulundum. Teknik detayları, IP adreslerini, log dosyalarını ve ekran görüntülerini ekledim.
Ancak BTK'den geri dönüş aldım ancak her olay gibi çöpe atıldı, takipsizlik gibi bir şey oldu. Ne bilgilendirme, ne de inceleme bildirimi yapılmadı. Bu da olayın boyutunu daha da düşündürücü hale getirdi.


Techolay YouTube kanalındaki video ve bağlantı:​

Bugün, YouTube'da yayılan bir videoda özetle videoda bahsedilen kısımda şu iddialar yer aldı:
Burada dikkat çekilmesi gereken detay:
  • Türkiye'de 2G altyapısını hedef alan bir grup, baz istasyonu modemlerinin imzalarını kullanarak SIM kart klonlama işlemleri gerçekleştirmiş olabilir.
  • İddiaya göre bu imzalar, Çinli büyük bir modem üreticisini (muhtemelen H ile başlayan) markanın modemlerinden sızdırılmış olabilir. İş birliği olabilir.
  • Türkiye'de 7 yabancı (Çin uyruklu) kişi yakalandı. Araçlarında çok sayıda batarya ve modem bulundu.
  • Yakalanan kişiler tercüman istemedi, ifade vermedi.
  • Araçlar, özellikle devlet binalarının etrafında dolaşmaktaydı.
Modem derken kastedilen, sıradan router değil – baz istasyonu seviyesinde işlem yapabilen, özellikle 2G sinyaliyle çalışan özel modemlerdir. Bunlar sinyal takibi, data injection ve hatta SIM kopyalama gibi işlemlerde kullanılabilir.


Risk Değerlendirmesi, 2018 Supermicro Olayı:​

  • 445 portu, Windows sistemlerinde özellikle SMB (Server Message Block) protokolü ve uzaktan komut yürütme için kullanılır. Bu portun dış IP'lerle kullanılması başlı başına şüphelidir.
  • ntoskrnl.exe gibi çekirdek düzeyindeki işlemlerin dış bağlantı kurması, kullanıcının denetimi dışındaki bir kod parçasının sistemde çalıştığını gösterebilir.
  • Türkiye'deki okullar, devlet daireleri ve kamu kurumlarında yoğun şekilde H markalı router, Switch ve network kartlarıkullanılmaktadır.
    • Bu cihazların Firmware yazılımları kapalı kaynaklıdır.
    • Güvenlik denetimleri büyük ölçüde üretici firmanın garantisine bırakılmıştır.
  • Yaşanan olay, 2018'deki Supermicro donanım skandalınayapısal olarak benzerlik göstermektedir:
    • Ortak noktalar: Çin menşei, anakart/modem seviyesinde müdahale, kullanıcı seviyesinde görünmeyen bağlantılar.

Önerim:​

  • H markasına ait tüm donanım ve Firmware yazılımlarının bağımsız kurumlar tarafından teknik denetime alınması.
  • Devlet kurumlarında kullanılan ağ altyapılarının kaynak kod ve donanım bazında gözden geçirilmesi.
  • BTK'nın bu konuda teknik bir açıklama yapması, CİMER başvurularına geri dönüş yapılması.
  • 2G altyapısının sınırlanması, cihaz düzeyinde güvenlik sertifikası olmayan modemlerin kamu kurumlarından kaldırılması.
  • Forumlarda teknik güvenlik şüphelerine karşı daha yapıcı, araştırmacı bir tavır sergilenmesi.

Sonuç:​

2024'te yaşadığım olayı, bugün yayınlanan video ile birlikte tekrar değerlendirdiğimizde, bu tür teknik şüphelerin göz ardı edilmemesi gerektiği açıkça ortaya çıkıyor.
“Senin cihazındandır, abartma” diyerek geçiştirilen bir vaka, çok daha büyük bir yapının erken belirtisi olabilir.
Herhangi bir detay, log, ekran görüntüsü, Malwarebytes log dosyası ya da ağ trafiği çıktısı isteyen olursa, özelden ya da ek olarak paylaşabilirim.
 

Dosya Ekleri

Son düzenleme:
atailh4n dedi:

Kısaca Ne Yaşadım? (2024 Temmuz)​

Cihaz: H ile başlayan Çin menşeli bir markanın dizüstü bilgisayarı (D14 2019 – R5 3500U)
Ortam: Kendi odamda, cihaz çalışırken 10 dakika kadar odadan ayrıldım. Geri geldiğimde:
  • Bilgisayar kendi kendine amazon.com adresini açmıştı.
  • Sistem ayarları sekmesi açıktı.
  • Fare hareket ediyordu, ancak fiziksel olarak kimse dokunmuyordu.
  • Yanımda kardeşim de vardı ve olaya şahit oldu.
  • Aynı olay, iki kez tekrar etti.
Genişletmek için tıkla...
Küçültmek için tıkla...
Cihazınızda Anydesk veya TeamViewer gibi bir uygulama tepside açık mıydı?
 
Son düzenleme:
pesimist34 dedi:
Cihazınızda AnyDesk veya TeamViewer gibi bir uygulama tepside açık mıydı?
Genişletmek için tıkla...
Küçültmek için tıkla...

Onlar IP Range olarak 445 kullanmıyorlar. Ayrıca servisleri açık şekilde baktığınızda Çin değil İstanbul'un bir yerinde sunucuları var (kendim sadece AnyDesk olarak biliyorum, TW kullanmadım.)

tcp.dstport == 445'ten bahsediyoruz. Yani kendi makinemin 445 portu.

Kısacası bu sistemler bağlansa hem bilgim olur, hem de zaten bu sistemler farklı port aralığında.
 

Benzer konular

Hasan Merkit
Linux güvenlik açığı: Kernel sürümünüzü güncelleyin (CVE-2026-43500)
Mesaj
6
Görüntüleme
177
Asily
Asily
M
Ağ ve sunucu güvenliği için öneriler
Mesaj
3
Görüntüleme
113
muratefe
M
O
  • Makale Makale
Rehber Ücretsiz siber güvenlik eğitimi ve sertifikası alma
Mesaj
5
Görüntüleme
558
Mustafaymis
M
Wartz
Siber güvenlik nasıl öğrenilebilir?
Mesaj
4
Görüntüleme
169
Ömer_Yeter
Ömer_Yeter

Yeni konular

Yeni mesajlar