Yıllardır üst düzey bilgisayar korsanlarının hedefinde olan hükümet kurumlarına ve şirketlere yardıma koşan dünyanın önde gelen siber güvenlik firması FireEye, hacklendi. Şirketin Kırmızı Takımının (Red Team) müşterilerin sistemlerini test etmek için kullandığı siber gereçlerin çalındığı olay tüm dünyada yankı buldu.
Daha önceki yıllarda ABD Ulusal Güvenlik Ajansı’ndan (NSA) çalınan ofansif gereçlerle yapılan saldırılar düşünüldüğünde (WannaCry, NotPetya) FierEye’dan sızdırılan istismar kodlarıyla neler yapılabileceğine dair endişeli bir bekleyiş başladı. Gerçekleşen olayın kanıtları Rusya ile ilişkili hackerları gösterse de, FireEye herhangi bir isim vermedi.
İşte 2020’nin en önemli siber saldırısı olabilecek olay ile ilgili bilmeniz gerekenler.
Kolay Erişim
1- FIREEYE NEDEN HEDEF OLDU?
Merkezi Kaliforniya’da bulunan ve 2004 yılında kurulan FireEye, 2013 yılında halka açık küresel bir siber güvenlik şirketi haline geldi. 40’tan fazla ülkede 8,800’ü aşan sayıda müşterisi bulunan FireEye’ın müşterileri arasında Sony ve Equifax gibi Fortune 500’ün içinde yer alan 100’den fazla kurumun da yer aldığını, Forbes Global 2000’de bulunan telekomünikasyon, teknoloji, finansal hizmetler, sağlık hizmetleri, elektrik operatörleri, ilaç şirketleri, petrol ve gaz endüstrisi şirketleri gibi kurumlar da bulunuyor. 3,5 milyar dolarlık FireEye şirketi, büyük siber saldırıların tespiti ve önlenmesinde, bu saldırıları araştırmakta, kötü amaçlı yazılımlara karşı korumakla ve BT güvenlik risklerini analiz etmek için donanım, yazılım ve hizmet sağlamasıyla müşterilerine yardımcı oluyor.
FireEye tarafından Salı günü yayımlanan açıklamada, binlerce müşterisinin savunmasını araştırmak için kullandığı saldırı araçlarını hackleyenlerin “siber alanda üst düzey saldırı yetenekleri olan bir ülke” olarak tanımlanması dikkat çekti. Ayrıca şirket, hackerların dünya çapında yeni saldırılarda kullanılabilecek ‘yeni teknikleriyle’ birlikte kendi araç donanımlarıyla saldırıyı gerçekleştirdiğini duyurdu. Saldırıdan sonra ise şirket, konuyu FBI’a bildirdi.
Rendition Infosec’te çalışan eski bir NSA çalışanı Jake Williams, “Operasyon hakkında bildiklerimizin bir Rus devlet aktörüyle tutarlı olduğunu düşünüyorum” dedi. “Müşteri verilerine erişilmiş olsun ya da olmasın, Rusya için hala büyük bir kazanç” yorumunda bulundu.
FBI konuyu Rusya uzmanlarına devrederken yapılan saldırının ‘bir ülkenin işi’ olabileceğini doğruladı. FBI’ın Siber Bölümü’nden Matt Gorham, “Olayı araştırıyoruz. İlk göstergeler bir ulus devletle uyumlu yüksek düzeyde yeteneklere sahip bir aktörü gösteriyor” ifadelerini kullandı.
2- RED TEAM ARAÇLARI ÇALINMASI NE ANLAMA GELİYOR
Şirket tarafından yapılan açıklamada hackerların, şirketin ‘Red Team araçları’nın peşinde olduğu söylendi. FireEye’ın Red Team’i müşterilerinin güvenlik zafiyetlerini bulmak için tasarlanmış özel araçlarla müşterilerinin sistemlerini hackleyen ekibi tanımlıyor. Red Team’i bu kadar önemli yapan ise FireEye’ın çok çeşitli saldırılarda kullandığı bütün kötücül yazılım araçlarını içinde barındırıyor olması.
FireEye’a yapılan saldırının, halihazırda Amerika’nın gözleri ‘seçimlere’ kitlenmişken Rus istihbarat teşkilatlarının bu durumu avantaj olarak görmesi üzerine saldırıya geçmesi olarak yorumlandı. Amerika’nın kamu veya özel istihbarat sistemlerinin, seçmen kayıt sistemleri veya oylama makineleri ihlalleri aradığı bir anda 2016’daki seçimlerde ihlali bulunan Rus destekli aktörlerin saldırması için iyi bir zamanlama olduğu belirtildi.
3- NEDEN 2016’DAN BERİ YAŞANAN EN BÜYÜK FACİA?
Gerçekleştirilen saldırının 2016 yılında “ShadowBrokers” ekibinin NSA’yi hackleyişinin ardından yaşanan en büyük facia olarak nitelendirildi. 2016 yılında ShadowBrokers adlı hacker grubu NSA’in ‘siber silahları’nı çalmıştı. NSA’ye yönelik yapılan saldırıdan sonra Shadow Brokers’in eylemleri, NSA için feci sonuçlar doğurmuştu. Maddi anlamdaki felaketin dışında NSA’in büyük siber silahları koruma kabiliyeti ve kurumun ulusal güvenliğe verdiği önem konusunda soru işaretleri doğmuştu. Rakip ülkelerin bilgisayar ağlarına sızmada dünya lideri olan NSA, kendi ağlarını koruyamadı denilmişti.
O zamanlar “dijital krallığın anahtarlarını” ShadowBrokers’ın ellerine veren NSA yerine bugün FireEye’ın benzer senaryoyla karşılaştığını görüyoruz. Şirketin Red Team araçları çalındı. FireEye’ın güvenilirliği zedelendi ve şirketin şimdiden borsa değeri yüzde 7 oranında düştü.
4- FIREEYE NASIL ÖNLEMLER ALDI?
FireEye çalınan araç ve analizlerin saldırıyı gerçekleştiren aktörler tarafından kullanılmasına karşı bir dizi önlem aldıklarını duyurdu. Çalınan Red Team araçlarının kullanımını tespit edebilecek veya engelleyebilecek karşı önlemler hazırladığını duyuran FireEye, güvenlik ürünlerine karşı önlemler aldıklarını, bu karşı önlemleri güvenlik araçlarını güncelleyebilmeleri için güvenlik topluluğundaki meslektaşlarıyla paylaştıklarını açıkladı.
Ek olarak karşı önlemleri GitHub’larında herkese açık hale getirdiklerini vurgulayan FireEye, “Red Team araçlarına yönelik ek azaltma önlemlerini hem genel olarak hem de doğrudan güvenlik ortaklarımızla paylaşmaya ve geliştirmeye devam edeceğiz” vurgusunu yaptı.
5- RED TEAM ARAÇLARIYLA NE YAPILABİLİR?
ABD hükümeti bir ‘amaca’ yönelik siber silahlar ürettiğinden muhtemelen NSA’in araçlarının FireEye’dan daha tehlikelidir. Özellikle yanlış ellere geçtiğinde. FireEye’ın Red Team araçları da şirketin çok çeşitli saldırılarda kullandığı kötü amaçlı yazılımlardan oluşuyor. Yine de bu saldırının olası sonuçları arasında, saldırının aktörlerinin çaldıkları araçlarla yapacakları yeni saldırıların izlerinin örtülmesini sağlaması olasılığı ön plana çıkıyor.
Eski bir NSA çalışanı olan Patrick Wardle, “Bilgisayar korsanları, riskli, yüksek profilli hedefleri hacklemek için FireEye’ın araçlarından yararlanabilir” yorumunu yaptı. Bir yazılım şirketi olan Jamf’te şu anda güvenlik araştırmacısı olan Wardle “Riskli ortamlarda, en iyi araçlarınızı kullanmak istemezsiniz, bu nedenle bu, gelişmiş rakiplere, en iyi yeteneklerini kullanmadan başka birinin araçlarını kullanmanın bir yolunu sunar” dedi.
Bu duruma örnek olarak NSA araçlarının çalınmasından sonra Çinli bir hacker grubunun NSA araçlarını dünyanın dört bir yanındaki saldırılarında kullandığı ortaya çıkmıştı.
6- SALDIRI HANGİ YOLLARLA GERÇEKLEŞTİ?
FireEye’a yapılan saldırıda, aktörler gizlenmek için olağanüstü önlemlere başvurma yoluna gitti. Birçoğu Amerika Birleşik Devletleri içinde, daha önce saldırılarda hiç kullanılmamış binlerce IP adresi oluşturdular. Saldırılarını gerçekleştirmek için bu adresleri kullanarak, bulundukları yeri daha iyi bir şekilde gizlediler.
FireEye’ın CEO’su ve şirketin 2014 yılında satın aldığı Mandiant firmasının kurucusu Kevin Mandia, “Bu saldırı, yıllar boyunca yanıtladığımız on binlerce olaydan farklı” dedi.
FireEye, bilgisayar korsanlarının en korumalı sistemlerini tam olarak nasıl ihlal ettiğini hala araştırdığını söylerken Mandia ince detayları aktardı.
Eskiden Hava Kuvvetleri istihbarat biriminde çalışan Mandia, aktörlerin “birinci sınıf yeteneklerini özellikle FireEye’ı hedef alacak ve onlara saldıracak şekilde tasarladıklarını” söyledi. “Operasyonel güvenlik” konusunda oldukça eğitimli göründüklerini, “disiplin ve odaklanma” sergilediklerini, güvenlik araçlarının tespitinden kaçmak için gizlice hareket ettiklerini söyledi.
Google, Microsoft ve siber güvenlik araştırmaları yapan diğer firmalar ise bu tekniklerden bazılarını hiç görmediklerini belirttiler.
7- RUSLAR İNTİKAM MI ALIYOR?
Amerikalı araştırmacılar, NSA’in Pazartesi günü yaptığı açıklamada, Rusya’nın arkasında olduğunu belirttiği saldırılarla FireEye’a yapılan saldırı arasında herhangi bir ilişki olup olmadığını araştırıyor.
Ayrıca saldırının FireEye’a bir misilleme olduğu da düşünülüyor. FireEye daha önce birçok Rus destekli aktörü, yaptıkları araştırmalar sonrası ortaya çıkarmıştı. Örneğin FireEye, Mart 2018 tarihinde, siber korsanların bir Suudi petrokimya tesisinin güvenlik kontrollerini bozarak bir patlama yaratma girişiminde bulunduklarını, bunun arkasında ise Rus destekli aktörlerin yer aldığını duyurmuştu. New York Times’ın yazdığına göre saldırganların kodunda bir hata olmasaydı, planları başarıya ulaşacaktı.
Washington’daki Stratejik ve Uluslararası Çalışmalar Merkezi’nde bir siber güvenlik uzmanı olan James A. Lewis, “Ruslar intikam almaya inanıyor” yorumunu yaptı. Lewis “Birden, FireEye’ın müşterileri savunmasız hale geldi” dedi.
Salı günü, Rus uzmanlar yaptıkları forumda Amerika’nın yaptırım ve iddianameleriyle sonuçlanan saldırılardan sorumlu tutulan hackerların Ruslarla ilişkilendirilebileceğine dair bir kanıt yok dedi.
8 – SALDIRIYA UĞRAYAN DİĞER SİBER GÜVENLİK FİRMALARI HANGİLERİ?
Siber güvenlik firmaları, kısmen, araçlarının dünyanın her yerindeki kurumsal ve devlet müşterilerine ‘erişim düzeyi’ sağlaması nedeniyle, devlet destekli siber aktörler için sık sık hedef olmuştur. Siber aktörler, bu araçlara erişerek ve kaynak kodunu çalarak siber güvenlik firmalarının müşterilerinin sistemlerine girebilir.
McAfee, Symantec ve Trend Micro gibi güvenlik şirketleri, geçen yıl Rusça konuşan bir hacker grubunun kodlarını çaldığını iddia ettiği büyük güvenlik şirketleri arasında yer aldığı, Rus güvenlik şirketi Kaspersky’nin 2017 yılında İsrailli bilgisayar korsanları tarafından saldırıya uğradığı, 2012’de Symantec’in, antivirüs kaynak kodunun bir bölümünün bilgisayar korsanları tarafından çalındığını doğruladığı biliniyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz