IŞİD’a bağlı olduğunu iddia eden bir siber saldırganın, Ağustos 2014’te Hollanda’daki Suudi Elçiliği’nin resmi e-posta hesabını kontrol altına alarak Lahey’de çok sayıda elçiliğe şantaj mailleri gönderdiği ortaya çıktı.
csoonline.com’un ortaya çıkardığı belgelere göre, söz konusu saldırgan e-postalarda elçilik yetkililerinden IŞİD adına 50 milyon dolar talep ediyor ve talebin yerine getirilmemesi durumunda elçilikleri havaya uçuracakları yönünde tehditler savuruyor.
Suudi elçiliğinin sınıflandırılmamış bilgisayar ağını hedef alan saldırı, büyükelçi sekreterinin iş istasyonuna sıradan bir rootkit (kök kullanıcı takımı) yerleştirmek suretiyle gerçekleştirilmiş ve bu şekilde elçiliğin resmi e-posta hesabı ele geçirilmiş.
Uzmanlar CSO’ya yaptığı açıklamada, saldırının düşük profilde gerçekleştiği göz önüne alındığında, saldırganın gerçekten IŞİD’in organize çabalarının bir parçası mı, rastgele bir taraftar mı ya da bilinmeyen sebeplerle IŞİD üyesi gibi davranan bir ulus-devlet istihbarat ajanı mı olduğunu kestirmenin imkansız olduğunu ifade etti.
Hikaye, İngiltere’de başladı
Hikaye, İngiltere’deki bir Suudi okul müdürünü tuhaf bir şekilde dolandırma girişimi ile başladı, ardından gelen 50 milyon dolarlık fidye talebi ve takvimler 23 Eylül Suudi Ulusal Günü’nü gösterdiğinde Hollanda diplomatik polisinin insan avı ile sona erdi.
CSO’dan elde edilen belgeler, saldırının ve Suudilerin saldırıya cevabına ilişkin detayları da içeriyor. Bu durum, bir hükümetin şüpheli bir ulus-devlet saldırısına karşı nasıl tepki gösterebileceğine ilişkin yeni bir pencere açtı ve dünya genelindeki elçiliklerde konuşlandırılan güvenlik seviyesini gündeme getirdi.
Belgelere göre, büyükelçilik ilk kez, daha önce Suudi kraliyet ailesi tarafından finanse edilen radikal İslamcı ders kitaplarına sahip bir İngiliz okulunun müdürü olarak haberlerde yer alan Dr. Sumaya Alyusuf’un Suudi elçiliğine e-posta atarak Hindistan’dan vize alma noktasında yardım istemesi ve ardından kendisinden MoneyGram aracılığıyla 200 Euro para yatırması istenmesinin üzerine bir şeylerin ters gittiğini anladı.
Suudi elçiliğinin e-posta hesabının kontrolünü ele geçiren saldırgan, 26 Ağustos 2014 tarihinde Alyusuf’a cevap vererek MoneyGram’dan Londra’daki Suudi Elçiliği adresindeki Birleşik Krallık Suudi Elçisi Mohammed bin Nawaf Abdul Aziz’e para transferi yapılmasını talep etmiş.
E-postada şu ifadeler yer almış: “Cevabınızı alır almaz vizenin size hızlı bir şekilde verilmesini sağlayacağım.” Failin bu 200 Euro’luk ücreti nasıl tahsil edeceği konusu net değil.
Belgeler, Alyusuf’un bu tuhaf istek hakkında bilgi almak için Suudi elçisinin sekreterine telefon ettiğini ortaya koyuyor. Birşeylerin ters gittiğinin farkına varan sekreter, Alyusuf’tan e-postaları kendi kişisel Gmail hesabına yönlendirmesini istemiş. Sekreter daha sonra elçiliği olay hakkında bilgilendirmiş.
E-posta şifresi: 123456
E-posta şifresi: 123456Bunun üzerine Büyükelçi soruşturma başlatmış. İnceleme ekibi, Suudi elçiliğinin Dr. Alyusuf’a gönderilen e-postaların bulunduğu hesaptaki bazı kanıtları ortaya çıkarmış. Büyükelçiliğin sınıflandırılmamış ağı, o dönemde resmi büyükelçilik yazışmaları için bağlantılı bir e-posta hesabıyla birlikte bir ev tipi internet servis sağlayıcısı kullanıyormuş. Belgelere göre E-posta hesabının şifresi “123456”. Sekreterin iş istasyonu, POP3 / SMTP kullanacak şekilde yapılandırıldığından ve hiçbir zaman doğrudan web posta ara yüzünü kullanmadığından, e- postasının tehlikeye atıldığı net bir şekilde görülüyor.
Elçilik tarafından yürütülen daha detaylı bir inceleme sonucunda sekreterin iş istasyonuna yüklenmiş bir zararlı yazılım keşfedildi. CSO, VirusTotal’ı kontrol etmek için, Alphabet / Google şirketler grubunun bir parçası olan Chronicle’dan Brandon Levene ile kötü amaçlı yazılım hasarı paylaştı.
Levene, e-posta ile gönderdiği cevapta, şunları belirtti: “ISR Stealer adındaki bu zararlı yazılım HackHound olarak bilinen zararlı yazılım ailesinin modifiye edilmiş bir versiyonu. Nasıl elde edip kuracağınızı gösteren YouTube videolarını kolaylıkla bulabilirsiniz.”
Olayın ardından, büyükelçiliğe bağlı Bilgi Teknolojileri personeli sekreterin iş istasyonunu temizlemiş, kötü amaçlı yazılımları kaldırmak için Windows’u yeniden kurmuş ve e-posta hesabı şifresini “123456” dan daha güçlü bir şeyle değiştirmiş.
İki hafta sonra, 6 Eylül 2014’te, Suudi büyükelçisinin sekreteri, kendisini o sırada güvende olan resmi Suudi elçiliğinin e-postasından kişisel Gmail hesabına gönderilmiş gibi görülen sahte bir e-posta aldı.
IŞİD’i desteklemek üzere kendilerine 35 milyon dolar göndermesini isteyen e-posta, aksi takdirde saldırganların 25 Eylül’de yüzlerce diplomatik VIP davetliyi misafir edecek olan Lahey’deki Suudi Arabistan Ulusal Günü festivallerini havaya uçuracakları tehdidinde bulundu.
Büyükelçiliklere gönderilen sahte e-postalar, 25 bin Euro gibi daha düşük miktarlar talep ediyordu. Bir e-postada şu ifadeler yer alıyordu: “Son zamanlarda elçiliğe gelen bazı kötü muameleleri kontrol altında tutmak için desteğinizin finansal olarak yapılmasını isteyeceğim. Bu İslami olan IŞİD’dir ve bunun gizli kalmasını istiyorum. Salı gününe 25 bin Euro aktarabilirsen, bunu bana bildir, sana gizli bir hesap vereceğim. Birçok masum yaşamı kurtarmama yardım et ”
Saldırganın kimliği belirsiz
Saldırganın kimliği belirsizHollanda’daki diplomatik personeli içeren suçlara ilişkin yetki sahibi olan Hollanda Diplomatik Polisi, Lahey’deki diğer elçiliklere tehdit danışmanlığı birimi gönderdi. 9 Eylül’de, resmi Suudi elçiliğinin e-posta adresini bir kez daha taklit eden saldırgan, birkaç elçiye daha tehdit uyarısının bir kopyasını iletti ve şantaj taleplerini 50 milyon dolara çıkardı. Olay inceleme ekibi, saldırganın çok gizli danışma belgesine nasıl eriştiğini bulmak için büyük çaba gösterdiği belirtiliyor.
Saldırıdan kimin sorumlu olduğu konusu gizemini koruyor. Saldırının düşük profilli bir niteliğe sahip olması, failin herhangi biri olabileceğine işaret ediyor. ABD Savunma Bakanlığı eski Siber Suç Araştırmacısı (DoD) Jim Christy, CSO’ya yaptığı açıklamada şunları söylüyor: “Herkes olabilir, bir çocuk, bir grup, IŞİD’i maske olarak kullanan herhangi bir ülke de olabilir”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
