İlk defa 2011 yılında McAfee’nin hazırladığı bir raporla kamuoyunun haberdar olduğu Shady RAT (Remote Access Tool) saldırıları, gelmiş geçmiş en geniş çaplı siber saldırı olma ünvanını rahatlıkla hak ediyor. Bu çapta bir saldırıda dahi saldırganların kimlikleri tespit edilememiş olsa da McAfee’nin hazırladığı rapor, ekonominin her sektöründe faaliyet gösteren herhangi bir şirketin, benzer siber saldırılara maruz kalabileceğini vurguluyor.
McAfee, Shady RAT’in ilk izlerinin 2009 senesinde, bir savunma şirketinin uğradığı saldırıların forenzik analizinin yapıldığı dönemde keşfedildiğini belirtiyor. McAfee, saldırganların komuta-kontrol serverlarından birisine erişim edindiğini ve saldırı loglarını bu serverlar üzerinden analiz ettiğini belirtiyor.
Rapora göre hedef alınan bir firmada saldırıların fark edilip gerekli önlemlerin alınması hâlinde dahi sızmanın, ilk başladığı andan itibaren yaklaşık bir ay boyunca devam ettiği belirtiliyor. Sızmanın kısa sürdüğü kurbanlar arasında Uluslarararası Olimpiyat Komitesi, Vietnamlı bir teknoloji şirketi, Asyalı bir ülkenin ticaret örgütü, Kanadalı bir devlet kurumu, Amerikalı bir savunma şirketi ile Amerikalı bir muhasebe firması bulunuyor. Ancak rapor, bu sızmaların kısa sürmesini sadece kurbanların siber savunmadaki başarısıyla değil, saldırganların bazı örneklerde zaten kısa bir saldırı amaçlamasıyla da açıklıyor. Diğer taraftan sızmaların 20-28 ay boyunca tespit edilemediği pek çok örnek de var.
Örgütlü bir şekilde saldırdığı anlaşılan hackerların temel hedefleri devletler, örgütler, büyük firmalar, savunma şirketleri ve hatta uluslararası Olimpiyat komiteleri. ABD, Japonya, Tayvan, Birleşik Krallık, Hindistan, Güney Kore, Vietnam ve Kanada büyük zarara uğrayan devletler arasında yer alıyor. Bunun dışında Birleşmiş Milletler ve Uluslararası Olimpiyat Komitesi gibi uluslararası örgütler de saldırıların kurbanı.
McAfee’nin temel iddiası, saldırıların 2006 senesinde başladığı, büyük bir yoğunlukla devam ettiği ancak 2009, 2010 yıllarında yavaşladığı yönünde. Örneğin 2007’de saldırılar yüzde 260 oranında artarken 29 örgüte yayılmış. 2006-2011 arasındaki süreçte toplam 72 örgütün ve 14 ülkenin saldırılardan etkilendiği iddia ediliyor. Bu 72 örgütünse 49 tanesinin ABD’de bulunduğu belirtiliyor.
Kurbanlar arasında enerji ve ağır sanayiiden 6, elektronik ve haberleşme sektöründen 13, savunma sektöründense 13 şirket var. Sistemlerine sızılan yerler arasında ayrıca bir enerji araştırma laboratuvarı ile Koreli çeşitli çelik ve inşaat firmaları bulunuyor.
Shady RAT’in gerçek boyutlarını kestirebilmek mümkün değil. McAfee raporu tam olarak hangi kuruluşların ne ölçüde etkilendiğini söylemiyor. Ancak tespit edilenden çok daha fazla sızma olduğuna yönelik iddialar var.
Raporun yazarı Dmitri Alperovitch, ‘akla gelebilecek tüm sektörlerde önemli büyüklükteki ve değerli fikrî mülkiyeti ile ticari sırları olan bütün şirketlere sızıldığına (veya sızılacağına) ikna olmuş durumdayım’ sözleriyle siber tehditlerin ulaştığı boyut hakkında ilgilileri uyarmaya çalışıyor. Alperovitch analizlerinde oldukça iddialı. Dünyanın en büyük 2000 şirketini ikiye ayıran Alperovitch, bunları ‘sızma olduğunu bilenler’ ve ‘sızma olduğunu bilmeyenler’ olarak kategorize ediyor.
Alperovitch, geçmişte Batı enerji sektörlerinin hedef alındığı Night Dragon Operation ile Operation Aurora siber casusluk faaliyetlerini de soruşturmuş bir isim. Tüm bu saldırıların neden tek bir saldırgan tarafından gerçekleştirildiğinin kabul edildiği sorusuna Alperovitch net bir yanıt vermiyor. Ancak raporda da belirtildiği gibi bu çaptaki bir saldırıyı devletdışı bir aktörün tek başına üstlenebilmesi mümkün değil. Zaten böyle bir saldırıyla elde edilecek sonuçlar bakımından yapılacak kâr-maliyet analizi, ancak bir devletin bu tür bir saldırı gerçekleştirme sorumluluğunu üstlenebileceğini gösteriyor.
Rapora göre en dikkat çekici konu, saldırganın sırlara ve fikrî mülkiyete olan devasa açlığı. Saldırıları sıradan bir siber suç olayından ayıran temel fark belki de bu motivasyon. Zaten Advanced Persistent Threat olarak adlandırılan bu tür saldırılar, saldırganın hedefine ulaşmak için sahip olduğu yüksek motivasyona işaret ediyor. Ayrıca raporun yazarlarına göre Birleşmiş Milletler ve Uluslararası Olimpiyat Komitesi gibi kuruluşların hacklenmesi ekonomik menfaat getirmeyeceğinden temelde bir devlete işaret ediyor. ASEAN örgütüne yapılan saldırılar da raporu benzer bir sonuca götürüyor.
Diğer taraftan raporun içindeki belirsizlikler dikkat çekici. Örneğin sızma gerçekleştirilen bilgisayarların kime ait olduğu hâlâ bilinmiyor. Örneğin binlerce şirket çalışanının bilgisayarlarını hackleyebilirsiniz ancak bunların hiç birisi, tek bir yönetici bilgisayarının hacklenmesi kadar kritik önemde olmaz. Rapor hangi firmaların net olarak hedef alındığını belirtmiyor. Saldırganların kim olabileceğine dair de tahmin yürütmüyor. İçinde pek çok belirsizlik barındıran böyle iddialı bir raporun neden yayınlandığı sorusu net bir cevap bulabilmiş değil. Bilindiği üzere McAfee önemli bir güvenlik şirketi. Siber güvenlik ve anti-korsan yazılımlar üzerine yaptıkları çalışmalar yakından takip ediliyor. Rapor, tek tek firma ismi vermemesinin sebebini daha çok saldırıya uğrayan firmaların olumlu/olumsuz reklam yapmamakla açıklayarak geçiştiriyor. Oysa bu raporla McAfee en çok kendi reklamını yapmış görünüyor. Rapor boyunca sık sık tekrarlanan bir düşünce var: ‘Şirketler, devletler ve uluslararası örgütler! Hepiniz bir siber saldırının kurbanısınız ancak çoğunuz bunun farkında bile değilsiniz!’ Yani bu tehditlerden korunmak istiyorsanız bize gelmelisiniz çünkü biz sizi koruyabiliriz.
Sonuç olarak Shady RAT, iddiaların boyutu itibarıyla gelmiş geçmiş en büyük siber saldırı olma niteliğini hak ediyor. Hem ekonomiden, hem devletlerden hem de uluslararası örgütlerden kendisine pek çok kurban seçen hackerlar, organize bir siber saldırının ulaşabileceği boyutları gözler önüne seriyor. Advanced Persistent Threat türünden saldırılar, saldırganın sahip olduğu yüksek motivasyon nedeniyle senelerce sürebiliyor. Saldırgan, sızdığı sistemde tatmin olmazsa kendisine hemen başka bir hedef seçebiliyor. Hem veri hırsızlığı hem de fikrî mülkiyet hırsızlığı yapılıyor. İşin ilginç yanı, rapor, çalınan bu bilgilerle korsanların ne yaptığının bilinemediğini belirtiyor. Özellikle uluslararası piyasalarda rekabetin hat safhada olduğu ve şirket sırlarının, plan ve stratejilerinin ekonomik başarı açısından çok kritik öneme sahip olduğu günümüzde şirketler, hiç beklemedikleri bir anda, sırf bilgisayar korsanlarına çaldırdıkları bilgiler nedeniyle devasa kayıplara uğrama riskiyle karşı karşıya.
HAFTALIK SİBER BÜLTEN RAPORUNA ULAŞMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]