Norveç’te fidye yazılım saldırısına uğrayan firma birkaç eski bilgisayar, fax makinesi ve SMS’le ile para ödemeden tehdidin üstesinden gelmeyi başardı.
19 Mart 2019’da Oslo’da gece yarısı, büyük bir alüminyum üreticisi Norsk Hydro ASA’nın bilgisayarlarında, dosyalar şifrelenmeye ve toplu olarak çevrimdışı olmaya başladı. Şirketin Macaristan’daki operasyon merkezinde bir çalışanın neler olup bittiğini fark etmesi iki saat sürdü.
Çalışan, güvenlik prosedürünü takip ederek web sitesi, e-posta sistemini, bordrolar başta olmak üzere şirketin tüm ağını çevrimdışı hale getirdi. Ancak olan olmuştu ve çevrimdışı hale gelinceye kadar çok fazla hasar oluşmuştu bile. Beş yüz Hydro sunucusu ve 2 bin 700 bilgisayar işe yaramaz hale getirilirken çalışanların bilgisayar ekranlarında bir fidye notu yanıp sönüyordu:
“Selamlar! Şirketinizin güvenlik sisteminde önemli bir kusur vardı. Kusurun çaylaklar tarafından değil, ciddi insanlar tarafından suistimal edildiğine şükretmelisiniz. Yanlışlıkla ya da sadece eğlencesine tüm verilerinize zarar verebilirlerdi.”
Mesajda alıcılardan Bitcoin ile yapılması gereken ödeme hakkında görüşmek üzere kendilerine e-posta göndermeleri isteniyordu. Karşılığında bilgisayar korsanları sistemi eski haline çevirmek için kendilerine bir şifreleme anahtarı sağlayacaktı.
Diğer birçok büyük çok uluslu şirket gibi, Hydro da saldırı olasılığının farkındaydı. Kendilerince bir siber güvenlik politikasına sahiplerdi ve ağlarını “beyaz şapkalı” hackerlar ile test etmişlerdi. Neticede saldırının şirkete 60 milyon dolardan fazlaya mal olacağı bekleniyordu. Veri ihlalini araştıran savcıya göre ise söz konusu olay Norveç tarihinin en kötü siber saldırısı idi.
Kolay Erişim
ŞİRKET İMAJINA ZARAR VERİR DÜŞÜNCESİYLE FİDYE ÖDEMEYİ REDDETTİLER
Tüm bunlara rağmen, Hydro fidyeyi ödemeyi asla düşünmedi, zira kimliği belirsiz hackerların Bitcoin’lerini alıp ortadan kaybolabilme ihtimalleri vardı. Öte yandan kilitli hesapları açacak şifre çözücüyü kendilerine teslim etseler dahi fidye ödemenin Hyrdo’yu kolay bir hedef gibi gösterme ihtimali de bulunuyordu ve bu da gelecekte başka saldırılara yol açma ihtimalini beraberinde getiriyordu.
Şirketin Bilgi Teknolojilerinden Sorumlu Başkanı Jo De Vliegher, fidye ödemek yerine eski PC’ler, faks makineleri, post-it’ler ve diğer her türlü analog teknolojiyi kullanarak saldırıdan uygun bir şekilde kurtulmanın yolunu buldu.
Saldırı gecesi De Vliegher, Hydro’nun büyük bir varlığa sahip olduğu Brezilya’nın Belém kentine gitmek üzere uçaktan inmişti. Bilgisayarların şifrelendiğini duyar duymaz, ilk uçakla eve döndü. Hydro’nun Oslo’daki şirket merkezine geri döndüğünde, kendisini Microsoft’tan beş uzman karşıladı. Bu kişiler sorunu tespit etmek ve şirketin verilerini nasıl geri yükleyebileceklerinin yolunu bulmaya çalışıyorlardı. Kapılara çalışanlara, şirket ağına bağlı herhangi bir telefonu açmamaları konusunda uyaran el yazısı notlar yapıştırılmıştı.
SİBER SALDIRI HABERİ FACEBOOK SAYFASINDAN DUYURULDU
Hydro’nun müşterileri, tedarikçileri, çalışanları ve yatırımcıları da uyarması gerekiyordu, ancak şirketin web sitesi de kapanmıştı. Bu yüzden, hacklemeden bir gün sonra saat 9:42’de, iletişim ekibinde görev yapan bir çalışan, şirketin Facebook sayfasında bir yazı yayınlamak için kişisel cep telefonunu kullandı: “Hydro şu anda siber saldırı altında. Durumla ilgili güncellemeler Facebook’ta yayımlanacaktır.”
Hydro çalışanlarına ödeme yapması gerektiğinde ise işler biraz karıştı. Bankalar şirkete bulaşan virüsün kendi sistemlerine de bulaşabileceği korkusuyla iletişim kurmayı reddetti. Brezilya’da maaş gününe iki gün kalmıştı ve 5 bin çalışan ödeme almayı bekliyordu. De Vliegher bir çözüm buldu: Bir önceki ayın maaş çeklerini harici bir bordro sisteminden kopyaladı. Vliegher bulduğu çözümün yüzde 90 işe yaradığını belirtiyor.
Hydro, Brezilya’daki boksit madenlerinden Norveç’teki hidroelektrik santrallerine kadar dünyanın dört bir yanında operasyon yürüten bir şirket. Saldırıdan en büyük zararı ise şirketin en büyük alüminyum fabrikasını işlettiği yer olan Cressona aldı. İkinci Dünya Savaşı sırasında ABD hükümeti tarafından silah endüstrisi için alüminyum üretmek üzere inşa edilmiş tesisin başında ise Michael Hammer bulunuyor.
ÜRETİM ESKİ BİLGİSAYARLAR VE YAZICILARLA DEVAM EDEBİLDİ
Pensilvanya’daki şirket normal şartlar altında, 1180 kişiyi istihdam ediyor, 7 gün 24 saat faaliyet gösteriyor. Bu tür bir şirkette üretim bilgisayarlardan önce geliyor, ancak bilgisayarlar olmadan birçok şeyi yapmak mümkün değil.
Hydro, 50 binden fazla kalıba sahip ve bunlarla neler yapıldığını takip etmek ve çalışanların raflardan hangi kalıbı alacağının belirlenmesi için yazılım kullanılıyor. Ayrıca müşteri siparişlerine erişim olmadan, teknisyenlerin ne yapacaklarını bilmedikleri de bir gerçek.
Saldırı üzerine Hydro çalışanları müşterileri aramaya başlar ve kendilerinden siparişlerini kısa mesajla göndermelerini veya kişisel e-posta hesaplarını kullanmalarını ister. Kurumsal e-posta sistemi kapalı olduğu için, fabrika personeli birbirileri ile kendi telefon numaraları ve mesajlaşma grupları üzerinden iletişim kurar.
Siparişler akmaya başladığında, fabrika katındaki insanların yapması gereken tek şey her bir siparişin yer aldığı formu okumaktır. Ancak bu siparişleri bastırmak için gerekli olan bilgisayarlar ve yazıcılar kullanılamaz durumdadır. Neyse ki, fabrikada, sipariş formlarını yazdırmak için bir odada saklı tutulan bir sürü eski bilgisayar vardır. Hammer, “Ambara gittik, yazıcıları, kağıtları ve kartuşları aldık.” diyor.
TEDARİKÇİLERLE ÖDEME BİLGİLERİ FAX İLE ULAŞTIRILDI
İlk hafta, Hammer fabrikada kalır ve ofisindeki kanepede uyur. Hydro ağına erişimi kaybetmek, aynı zamanda tedarikçilere aylık ödeme yapamamak anlamına gelmektedir, üstelik tedarikçiler sık sık arayıp ödemenin nerede kaldığını sormaktadırlar. Hammer eski bir faks makinesini dolaptan çıkarır ve tedarikçilerden ödeme bilgilerini fakslamasını ister ve daha sonra bu faksları Hydro’nun çalıştığı bankaya iletir.
Hydro’ya kimin saldırdığı henüz netlik kazanmadı ancak ipuçları Doğu Avrupa’da bir ülkede faaliyet gösteren organize bir siber suç grubuna işaret ediyor. Güvenlik araştırmacıları tarafından FIN6 adıyla bilinen grup genellikle yüz binlerce dolara denk Bitcoin ile fidye ödemesi talep eden bir örgüt.
“Finansal olarak motive” ifadesinin kısaltması olan ”Fin“, Çin, Kuzey Kore, Rusya ve ABD gibi aktif siber silah programlarına sahip ülkelere bağlı askeri hack birimlerinden bu işi finansal amaçlı yapmaları ile ayrılıyor.
FIN6’nın en önemli silahı, zararlı yazılımında gömülü dosyalardan birinin adını taşıyan LockerGoga adlı virüs. Zararlı yazılımın onlarca çeşidi bulunmakta ve Hydro, saldırganların ağında birden fazla konuşlandırıldığını ve bunun da şirketin sistemlerinden çıkarılmasını zorlaştırdığını düşünüyor.
Fidye yazılımcılar genellikle bilgisayarlara rastgele sızarlar, daha sonra şirket ağında daha derine inmek için kendiliğinden yayılan bir yazılım programı (solucan) kullanırlar. Ancak Hydro’nun durumunda, saldırganlar İtalyan bir müşteriden meşru bir e-posta ele geçirerek erişim kazandılar.
Müşterinin eklediği bir dosya daha sonra hackerlar tarafından modifiye edildi. Dosya 5 Aralık’ta açıldığında, saldırganların tüm ağa erişmesine izin veren kötü amaçlı kod çalıştırıldı. Hackerlar saldırılarını başlatmak için Mart ayına kadar beklediler.
Hydro, LockerGoga virüsü tarafından vurulan ilk sanayi şirketi değil. Fransız mühendislik şirketi Altran Technologies SA da Ocak 2019’da saldırıya uğramıştı. Aynı yılın ilerleyen aylarında ABD kimya şirketleri Hexion Inc. ve Momentive Performance Material Inc. de LockerGoga’nın kurbanı olmuştu.