Yunanistan’ın doğalgaz iletim şirketi, fidye yazılımı saldırısına uğradıklarını açıkladı.
İletim sistemlerine ek olarak Yunanistan’ın gaz dağıtım şebekelerini de yöneten DESFA, yaşanan saldırı nedeniyle veri sızıntısı yaşadıklarını kabul etti.
DESFA yönetiminin Çarşamba günü yaptığı açıklamada, “Siber tehdit aktörlerinin ağlarına sızmaya çalıştıkları ancak IT ekiplerinin hızlıca bu olaya müdahale ettikleri” ifade edildi.
Olaya müdahale edilse de bazı dosya ve verilerin sızdırıldığı açıklandı.
Olayın ardından müşterilerini korumak ve operasyonlarını normal bir biçimde devam ettirmek için birçok çevrim içi servisini kapatan şirket, dikkatli bir biçimde restorasyon çalışmalarını sürdürdüklerini belirtti.
Söz konusu sızıntının gaz tedarikini etkilemeyeceğini belirten şirket, işleyişin doğal hâliyle devam edeceğini ifade etti.
Yaşanan saldırının ardından kolluk kuvvetleri, Savunma Bakanlığı ve Enerji ve Çevre Bakanlığı ile çalıştıklarını açıklayan DESFA, yaşanabilecek olası zararları asgariye etmek için çalışmalar yapıldığını aktardı.
Ayrıca siber tehdit aktörleriyle iletişime geçmeyi reddeden şirket, fidye ödemeyeceklerini belirtti.
SALDIRIYI RAGNAR LOCKER ÇETESİ GERÇEKLEŞTİRDİ
DESFA’nın saldırıyı kabul etmesinden önce geçtiğimiz Cuma günü Ragnar Locker adlı fidye yazılımı çetesi, sızıntı sitelerinde DESFA’ya ait bazı verileri yayımlamıştı.
Ragnar Locker, operasyonlarına iki yıl önce başlasa da geçtiğimiz yıl birçok yüksek profilli saldırının altına imzasını atmıştı.
Geçtiğimiz yıllara oranla saldırı sayıları azalmış olsa da FBI raporlarına göre Ragnar Locker, Ocak 2022 itibariyle ABD’deki 52 kritik altyapı tesisine saldırdı.
Sızdırdıkları verilerin küçük bir bölümünü sızıntı sitelerinde yayımlayan çete, DESFA’nın sistemlerine birden fazla güvenlik zafiyeti bulduklarını ve buldukları zafiyetleri şirketle paylaştıklarını ama şirketten herhangi bir cevap alamadıklarını belirtti.
Çete ayrıca fidye taleplerinin karşılanmaması durumunda şirkete ait tüm verileri yayımlayacaklarını açıkladı.
Avrupa’da Rus doğal gazının arzıyla ilgili sıkıntılar yaşanırken, kıtada önemli bir enerji şirketine siber saldırı düzenlendi
Gaz boru hattı operatörü ve enerji şirketi Encevo saldırının ardından birçok Avrupa ülkesindeki müşterilere kimlik bilgilerini güncelleme çağrısı yapıldı.
Lüksemburg merkezli enerji tedarikçisi Encevo, 25 Temmuz’da iştiraklerinin bir fidye yazılımı saldırısına maruz kaldığını duyurdu. Şirket birkaç gün sonra da ekiplerin şu anda uğranılan zararın boyutunu araştırdığını açıkladı.
“FİDYE ÖDENMEZSE 150 GB VERİ YAYINLAYACAĞIZ”
Edinilen bilgiye göre BlackCat adlı fidye yazılımı grubu Encevo’dan çalındığı iddia edilen sözleşmeler, pasaportlar, faturalar ve e-postalar da dahil olmak üzere 150 GB’lık veriyi sitesinde yayınladı ve fidye ödenmediği takdirde bunları birkaç saat içinde yayınlamakla tehdit etti.
BlackCat; BlackMatter ve REvil gibi kötü ün yapmış ve şimdilerde dağılmış olan grupların eski üyeleriyle oluşturulmuş zorlu bir fidye yazılımı aktörü olarak ortaya çıktı.
HİZMETLER KESİNTİYE UĞRAMAYACAK
Saldırı özellikle doğal gaz boru hattı operatörü Creos ve enerji tedarikçisi Enovos’u etkiledi. Encevo, siber saldırıyla ilgili yaptığı açıklamada, kullanıcılara saldırı neticesinde tedarikin kesintiye uğramayacağı garantisini verdi, ancak müşterilerin sisteme giriş bilgilerini mümkün olan en kısa sürede güncellemelerini tavsiye etti.
“Encevo Group, potansiyel olarak etkilenen her bir kişiyi kişisel olarak bilgilendirmek için gerekli tüm bilgilere şimdilik sahip değil. Bu nedenle müşterilerimizden şu an için bizimle iletişime geçmemelerini rica ediyoruz. Verdiğimiz rahatsızlıktan dolayı müşterilerimizden bir kez daha özür diliyor ve mümkün olan en kısa sürede hizmetlerimizi yeniden sağlamak için elimizden geleni yapıyoruz.”
Geçen hafta da ABD’de de bir benzin dağıtım firması siber saldırının hedefi olmuştu.
İranlı bir çelik şirketi geçtiğimiz günlerde uğradığı siber saldırı sonrası üretimi durdurmak zorunda kaldığını açıkladı.
Yaşanan saldırı, son yıllarda endüstri sanayisine yönelik artan saldırıların en büyüğü olarak adlandırılıyor.
Geçtiğimiz günlerde Huzistan Steel Company’ye yönelik gerçekleştirilen siber saldırı, şirketin tesisi kapatıp üretimi durdurmasına neden oldu. Olayın nasıl gerçekleştiğine yönelik araştırmalar devam ederken şirketin CEO’su Amin Ebrahimi, siber saldırıyı engellediklerini ve müşterileri etkileyecek yapısal hasarları önlemeyi başardıklarını ifade etti.
Siber saldırının hangi aktör tarafından gerçekleştirildiği bilinmese de “Gonjeshke Darande” adlı çete, saldırıyı üstlendiklerini açıklayıp Twitter üzerinden video ve ağ görüntüleri yayımladı. Bunun yanı sıra çete, Huzistan’ın dışında iki çelik fabrikasını daha hacklediklerini belirtti.
Söz konusu saldırının ardından Raidflow siber güvenlik şirketinin analistleri, saldırıya dair görüşlerini paylaştı.
OT VE BT FONKSİYONLARININ GÜVENLİĞİ KRİTİK
Giriş vektörünün hâlâ bilinmediğini belirten analistler, aktörlerin şirket ağına erişim elde etmek için hangi güvenlik açığından yararlandığını bilmediklerini ifade etti. Bunun yanı sıra analistler, OT (Operasyonel Teknoloji) altyapılarının birbirlerinden iyi ayrılmadığını, bağlantılı BT ortamlarından yeterince iyi korunamadığını, çeşitli sunucu ve iş istasyonlarının eski yahut güncellenmemiş sürümlerinin kullanılmasının tesis içerisinde siber aktörlere yanal hareket etmekte belirli bir konfor sağladığını düşündüklerini belirtti.
Analistler, istenen etkiyi istenilen zamanda ve yerde yaratabilmeleri için bir etki alanı uzmanına ihtiyaç duyduklarını belirtti.
AĞ GÖRÜNÜRLÜĞÜ SİBER SALDIRILARDA ÖN PLANA ÇIKIYOR
Analistlerin dikkat çektiği ve önemli bulduğu bir diğer konuysa ağ görünürlüğü. Siber saldırı aktörleri kadar siber savunma için de kritik olan bu konu, ağ bağlantıları ve bunların zafiyetlerinin bilinmesinin siber saldırı faaliyetlerinde önemli bir işlevde olduğu belirtildi.
Radiflow analistleri son olarak, çeşitli nedenlerle çeşitli aktörler tarafından dünya çapındaki kritik altyapı ve stratejik üretim tesislerine daha fazla odaklanacağını ve dolayısıyla endüstriyel ortamlar için OT ağ görünürlüğü, izinsiz giriş tespiti gibi çeşitli siber güvenlik araçlarının doğru şekilde uygulanmasının hayati bir öneme sahip olduğunu belirtti.
Türkiye’de ilk defa enerji sektöründe meydana gelebilecek bir siber saldırıya karşı savunma simülasyonu etkinliği gerçekleştirildi
EPDK’nın bu yıl ilk kez Ankara’da kendi yerleşkesinde gerçekleştirdiği Ex4S’22’, enerji sektöründe Siber Savunma Simülasyonu’22 etkinliğinin teknik yürütücüsü Cyberwise oldu.
Etkinliğe elektrik üretim, elektrik iletim, elektrik dağıtım, rafineriler, doğalgaz iletim ve dağıtım gibi tüm kritik enerji altyapılarında faaliyet gösteren şirketler ve kamu kurumları yoğun ilgi gösterdi. Programda simülasyonlar, enerji tesislerine yönelik siber saldırı senaryolarını deneyimleme ve bunlarla baş etme metotlarını öğrenme fırsatı sundu.
Etkinlik ile ayrıca enerji altyapılarında siber dayanıklılığın artırılması, siber olaylara karşı teknik ve yönetsel yetkinliklerin geliştirilmesi, bireysel ve kurumsal farkındalık oluşturulması ve kuruluşlar arası paylaşım kültürünün oluşturulması da amaçlandı.
Türkiye’de ilk defa düzenlenen kritik enerji altyapıları ve endüstriyel kontrol sistemleri odaklı simülasyona, EPDK regülasyonlarına tabi olan kuruluşlardan 238 uzman ve yönetici katılırken iki gün süren etkinlik boyunca toplamda 350 davetli ağırlandı. Endüstriyel kontrol sistemlerinin güvenliği hakkında önemli bilgiler ve ipuçları verilen bir konferansla başlayan etkinlikte, olası siber saldırıların senaryolaştırıldığı savunma ve saldırı yeteneklerini test eden çeşitli simülasyonlar gerçekleştirildi.
Etkinlikte farklı şirketlerden katılımcıların oluşturduğu karma ekipler, simülasyonlarla olası siber saldırılara karşı takım halinde ya da bireysel olarak nasıl savunma gerçekleştireceklerini ve bir saldırganın nasıl davranacağını deneyimleme şansı elde ettiler. Öğrenme deneyimini artırmak için etkinlik öncesinde belirlenen ekipler, Cyberwise uzmanlarınca bilgilendirildiler ve simülasyonu deneme fırsatı buldular. Böylece hedeflenen bilgi ve deneyim aktarımı ile tecrübe edinimi etkinlik öncesinden başlayarak, yoğun bir şekilde gerçekleştirilmiş oldu.
Cyberwise Yönetim Kurulu Üyesi ve Genel Müdürü Aret Kıllıoğlu konuya ilişki şu değerlendirmelerde bulundu:
“Kritik altyapı sistemlerini barındıran enerji sektöründe olası bir siber felaket sonrasında çevre felaketleri, enerji kesintileri, finansal kayıplar hatta ulusal güvenliğin tehlikeye girmesi gibi hayati sorunların ortaya çıkması söz konusu. Bu nedenle bu sistemlerin siber güvenliğinin kusursuza yakın olması zorunludur. Pek çok kurumun siber güvenlik ihtiyaçlarını her aşamada karşılayabilen bir güvenlik şirketi olarak bu etkinliğin çok önemli olduğunu düşünüyoruz. Ülke, kurum ve şirketler olarak siber saldırılara hazırlıklı olmanın en etkin yolu hazırlıkları test etmektir. Bu etkinlik, bu prensibin ilk ve en önemli kilometre taşı oldu.EPDK’nın tecrübe ve uzmanlığımıza güvenerek bu özel etkinliğin yürütülmesinde bizi tercih etmesi gurur verici. Etkinliğe, enerji sektörünün elektrik üretim, dağıtım, iletim, rafineriler, doğalgaz iletim ve dağıtım gibi tüm paydaşları yoğun ilgi gösterdi. Ex4S’22 etkinliği için hazırladığımız oyunlaştırılmış simülasyon platformu üzerinden katılımcılar farklı senaryolarda siber saldırılarla baş edebilme yeteneklerini geliştirme fırsatı elde ettiler.”
Ex4S’22 Enerji Sektöründe Siber Savunma Simülasyonu etkinliğinde gerçekleştirilen simülasyon çalışmalar şöyle gerçekleşti
Yönetici odaklı simülasyon: Takımlar halinde iki ayrı oturumda gerçekleştirilen simülasyonda, endüstriyel bir enerji işletmesine yönelik bir siber saldırı sırasında zaman, ekip, bütçe ve üretim odağında en doğru kararların alınmasına odaklanıldı. Simülasyonda hızlı ve doğru kararlar vererek birinci olan takım üyelerine çeşitli hediyeler verildi.
Teknik odaklı simülasyon: Ekinliğin iki gününde de gerçekleşen simülasyonda32 takım yarıştı. Her takıma bir adet iş istasyonu verilen simülasyon sırasında, kırmızı ve mavi olmak üzere ayrılan takımların farklı yetkinliklerinin ölçülmesi ve değerlendirilmesi amaçlandı. Etkinlik öncesi simülasyon platformuna test erişimleri sağlanarak, takım üyelerinin maksimum öğrenme deneyimi yaşamaları ve yarışmada en iyi performansı sunmaları hedeflendi. İlk üçe giren takım üyelerine çeşitli hediyeler verildi.
Bireysel odaklı simülasyon: Bireysel yeteneklerin değerlendirildiği simülasyona 40 kişi katıldı. Katılımcılar kişisel bilgisayarlarından simülasyon platformunu deneyimleyerek hem olası siber saldırılar karşısındaki yeterliliklerini hem de ofansif yeteneklerini test ettiler. İlk üçe girerek simülasyonu tamamlayanlara çeşitli hediyeler verildi.
Ex4S CTF (Capture the Flag): En fazla iki kişilik takımların yer alabildiği bu simülasyona katılımcılar, kişisel bilgisayarları üzerinden katılım sağladı. Etkinlik sırasında bu simülasyona 35 kişi katıldı. CTF kapsamında özellikle enerji konusuna özel senaryolar hazırlandı. İlk üçe girmeyi başaran katılımcılara çeşitli hediyeler verildi.
Ofansif odaklı simülasyon: Bireysel ya da en fazla 2 kişilik takımlar halinde yer alınan bu simülasyonda katılımcılar gerçek endüstriyel ekipmanlara karşı yeteneklerini test ettiler. Saldırganların bakış açısını ve yaklaşımının da anlaşılmasının tam bir güvenlik stratejisi oluşturmada önemli olduğu prensibinden yola çıkılarak hazırlanan senaryoda katılımcıların bir trafo merkezinde elektriği en kısa sürede kesmesi beklendi. İlk üçe girmeyi başaran katılımcılara çeşitli hediyeler verildi.
Rusya yanlısı Conti fidye yazılım grubunun son kurbanı yerel elektrik yönetim sistemleri oldu.
Conti’nin Kosta Rika üzerinde başlattığı geniş kapsamlı ransomware saldırısı kapsamını genişleterek Kartaca’da elektrik idaresinin yönetim sistemlerini felç etti.
Yaklaşık 160 bin kişinin yaşadığı şehirde elektrik hizmeti sağlayıcısı Junta Administrativa del Servicio Eléctrico de Cartago (JASEC), Facebook’ta tüm idari sistemlerinin şifrelendiğini açıklayan birkaç bildirim yayınladı.
Genel Müdür Luis Solano yaptığı açıklamada, geçtiğimiz cumartesi günü başlayan saldırının kuruluşun web sitesini, e-postasını ve veri toplama sistemlerinin yönetiminde kullanılan sunucuları şifrelediğini söyledi.
JASEC, CONTI FİDYE YAZILIMININ KURBAN LİSTESİNDE
Müşteri verilerinin Conti operatörleri tarafından ayıklanıp ayıklanmadığını belirlemek için uzmanlar işe alındı. Fidye yazılımı grubu, müşterilerin elektrik ve internet faturalarını ödemeye yönelik sistemleri felç etti. JASEC, durum çözülene kadar tüm fatura ödemelerini askıya aldı. Solano, “Tüm müşterilerimize elektrik ve internet hizmetlerinin normal şekilde çalıştığını söylemek isteriz” dedi.
Görev süresi dolan Cumhurbaşkanı Carlos Alvarado Quesada ise geçen hafta yaptığı konuşmada, çeşitli devlet kurumlarına yönelik yapılan Conti fidye yazılımı saldırısını “geçiş durumundaki ülkenin istikrarını tehdit etme” girişimi olarak nitelendirdi.” Ülke, 4 Nisan’da yeni bir cumhurbaşkanını (eski Dünya Bankası yetkilisi Rodrigo Chaves) seçmişti.
FİDYEYİ ÖDEMEYECEĞİZ
Quesada, kimilerince 10 milyon dolar olduğu söylenen fidyeyi ödemeyeceklerini de sözlerine ekledi.
Başta Maliye Bakanlığı olmak üzere birçok devlet kuruluşu Conti’nin kurbanlar listesine eklenmişti. Maliye Bakanı Elian Villegas Reuters’e yaptığı açıklamada grubun “hassas” olarak kabul edilen ve vergi mükellefi bilgilerinin yer aldığı arşivin ihlal ettiğini açıklamıştı.
Bir ihracatçı birliği, dördüncü güne giren kesintilerden kaynaklanan darboğazlar nedeniyle çarşamba günü 200 milyon doların kaybedildiğini tahmin ediyor.
Maliye Bakanlığı, vatandaşları kimlik avı mesajlarına karşı dikkatli olmaları konusunda uyardı. İş dünyası liderleri Associated Press’e finansal ve kişisel bilgilerin çalınmasından, basına sızmasından veya hükümet yetkililerine gönderilmesinden endişe duyduklarını söyledi.
