Etiket arşivi: aramco saldırısı

İran, İsrail, Küresel, Sektörel

K. Kore-İran siber ortaklığı iddiasına İsrail’den kanıt geldi

Yorum yapın

İsrail’de kurulan siber güvenlik şirketleri yabancı yatırımcı çekmeye devam ediyor. Bilgisayar virüslerini ortaya çıkmadan etkisiz hale getirdiğini iddia eden CyActive adlı şirkete PayPal’den ciddi yatırım geldi. CyActive saldırılarda kullanılan araçların yeniden kullanılmasını analiz ederek bunların başka bir saldırıda kullanılmasının önüne geçiyor.

CyActive CEO’su Liran Tancman’in deyimiyle ürünlerinin mantığı hackerların ‘tembelliğine’ dayanıyor. “Büyük saldırılarda kullanıldığı tespit edilen kodların büyük bir kısmı sonraki saldırılarda tekrar tekrar kullanılıyor.” diyen Tancman, içerisindeki tüm bileşenlerinin ilk defa kullanıldığı bir saldırıya rastlamanın zor olduğunu söyledi.

Bu bileşenleri etkisiz hale getirmenin riskleri azaltacağına inanan CyActive yöneticisi, hackerların yeni kodlar üretme konusundaki tembelliğinden faydalandığını ifade etmekten çekinmiyor. Şirket geliştirdiği algoritma ile zararlı yazılımların nereden gelip nereye gittiğini izleyip inceliyor. “Çok net bir şekilde geliştirilen zararlı yazılımın anahtarlığını görebiliyorsunuz.” diyen Tancman hackerların kullandığı metodların varyasyonlarını öngörebildiklerini belirtti. Önceden kullanılan bileşenleri etkisiz hale getirdiğinizde yeni zararlı yazılımın fonksiyonunu yerine getirmesini de engelliyorsunuz. Tancman virüslerin de tıpkı cam şişe ve kartonlar gibi ‘geri dönüşümünün’ olduğunu söylüyor.

Şirket geçen yıl yayınladığı raporda en fazla ‘geri dönüştürülen’ virüsleri açıkladı. Rapora göre, ABD’yi ayağa kaldıran Sony saldırısında kullanılan –Trojan Destover\BKDR_WIPALLA.A- ile Suudi petrol şirketi Aramco’ya yapılan saldırıda kullanılan-Disttrack\Shamoon- yazılımının birçok açıdan benzeştiği ortaya çıktı. Sony saldırısının arkasında Kuzey Kore olduğu iddia edilirken, Aramco saldırısının failinin İran devletine yakın hackerlar olduğu ifade ediliyor. CyActive’in iki saldırıda kullanılan yöntem ve araçların benzerliğini ortaya koyması nükleer alanda işbirliği yapan Kuzey Kore ve İran’ın siber silahlanma konusunda da beraber çalıştığı iddiasını yeniden gündeme taşıdı.

Antlaşmanın ayrıntıları açıklanmasa da İsrail medyasına yansıyan bilgilere göre yatırım miktarının en az 60 milyon dolar olduğu ifade ediliyor.  CyActive PayPal’in yatırım yaptığı ikinci İsrailli teknoloji şirketi. 2008 yılında finansal sahtekarlıkları izleme yazılımı üreten FraudSciences şirketini 169 milyon dolara satın almıştı.

Güvenlik sektöründe henüz bir yılını dolduran CyActive şirketinin PayPal gibi küresel bir şirketten yatırım alması sektörün geleceğinin parlak olduğunu gösteriyor. CyActive’in kısa sürede ciddi müşteri portföyü oluşturması da bunda etken olarak görülüyor.

 

Makale & Analiz

RasGas saldırısı siber kıyamet alameti mi?

Yorum yapın

Siber güvenliği hayatımızın hemen her alanında önemli hâle getiren unsurlardan birisini kritik altyapıların güvenliği oluşturuyor. Bir anlamda ‘siber kıyamet alametleri’ olarak tanımlanabilecek pek çok tehlikeli gelişme sadece devletleri ve özel şirketleri değil kritik altyapılar vasıtasıyla doğrudan biz bireyleri de hedef alıyor.

 

Kritik altyapılara yönelik siber saldırıların önemli bir kısmının enerji alanında gerçekleştiğini görüyoruz. 2012 yılında Suudi Arabistan merkezli Aramco enerji şirketine yapılan saldırı bu nitelikteydi.

 

Aramco’yu takip eden günlerde meydana gelen, ancak gündemde kendisine pek yer bulamayan bir başka saldırı ise Katar merkezli bir enerji şirketi olan RasGas’a karşı gerçekleştirildi.

 

Saldırıların detayıyla ilgili RasGas yetkilileri detaylı bilgi vermekten kaçındı. Ancak yapılan açıklamalara göre şirket, bilgi sistemleri içerisine sızmış ‘tanımlanamayan bir virüs’ keşfetti. Bunun üzerine hızlı bir şekilde saldırıdan etkilenme şüphesi bulunan masaüstü bilgisayarlar, elektronik posta adresleri ve ağ sunucuları virüsün temizlenme aşamasında çevrimdışı oldu. Bu süre içerisinde şirketin dijital hizmetleri kullanıma kapatıldı.

 

Saldırıların nihai hedefi hâlen belirsizliğini korusa da şirketin üretimi saldırılardan etkilenmedi. RasGas şirketi, Qatar Petroleum ile ExxonMobil ortaklığında faaliyet gösteren bir ticari teşebbüs. Şirket yıllık ortalama 36,3 milyon tonluk sıvı doğal gaz ihracatıyla dünyanın en büyük enerji üreticilerinden birisi.

 

Güvenlik şirketlerinin ‘Shamoon’ ve ‘Disstrack’ adlı virüsler hakkında yaptıkları uyarılardan sonra bu saldırıların gerçekleşmesi ise ilgi çekici. Bu virüsleri ayırt edici kılan şey, virüslerin verileri çalmaktan ziyade, geri kurtarılamaz şekilde silmeye çalışmaları. Virüs, bulaştığı sistem içerinde paylaşılan sabit diskler üzerinden hızlı bir şekilde yayılıyor ve ulaştığı verileri kurtarılamayacak şekilde siliyor.

 

Saldırıların üzerinden iki seneden fazla zaman geçse de bugün kritik altyapı güvenliği konusunda yeniden düşünmemiz ve mevcut tedbirlerinin etkinliğini gözden geçirmemiz gerekiyor.

 

Kritik altyapılara düzenlenen saldırılar, amaçladıkları şekilde sistemlere zarar verip üretim sürecini sekteye uğratırlarsa bu aksaklıktan bireyler olarak bizim de etkilenmemiz kaçınılmaz.  Mesela SCADA sistemleriyle işletilen bir nükleer santrale, hidroelektrik santraline, baraja veya su deposuna düzenlenecek bir saldırının sonuçları küçük bir kıyamet yaşamamıza sebep olabilir.

 

Bu saldırıların hayatımızın işlevselliğini ortadan kaldırması için illa ki büyük yıkımlara sebep olması da gerekmiyor. En basitinden Çankaya Nüfus Müdürlüğü’nün veritabanının hacklendiğini ve burada yaşayan 915.000 insanın vatandaşlık bilgilerinin değiştirildiğini düşünelim. Bu bilgilerin illa ki silinmesi veya çalınıp yabancı istihbarat örgütlerine satılması gerekmiyor. Sadece bu verilerin güvenilirliğiyle oynanması dahi yeterli. Böyle bir saldırının fark edilmesi ve uğranılan zararın tespiti çok zor.

 

RasGas örneğinin bize verdiği en önemli ders, siber saldırılara hedef olmamak için her şeyin yapılması gerektiği yönünde değil. Elbette siber saldırıların hedefi olabiliriz. Siber saldırılar, ister birey ister özel şirket ister devlet olalım, hayatımızın hiç beklemediğimiz bir anında gelip başımıza dert olabilir. Ancak önemli olan saldırılar meydana geldikten sonra zararın en düşük seviyede tutulup en kısa sürede giderilebilmesi, yani rezilyans. RasGas şirketi, kriz yönetim sürecini etkili bir şekilde uygulayarak sistemlerini kısa sürede işler hâle getirebilmeyi başardı. Bunu yaparken üretim faaliyetlerinin etkilenmesine de fırsat vermedi. Nihayetinde de başarılı bir rezilyans örneği sundu.

 

Kritik Altyapı Güvenliği, Siber Saldırılar

ARAMCO Saldırısı

Yorum yapın

 

15-22 Ağustos 2012 tarihleri arasında Suudi Aramco Petrol Firmasının 30.000 adet windows işletim sistemi tabanlı bilgisayarı; Shamoon isimli zararlı yazılım tarafından, bilgisayarlarda bulunan dokümanların, e-postaların, resimlerin silinerek, yanan Amerikan bayrağıyla  değiştirildiği saldırıdır.

Asıl amacı ulusal ve uluslararası ölçekte petrol ve gaz akışını durdurmak olan saldırının, amacına ulaşamamış olması büyük bir şans gibi gözükse de tek bir iş kalemine yapılan en büyük saldırılardan biri olması sebebiyle Aramco Saldırısı büyük önem arz etmektedir.

İran’ın nükleer tesislerini hedef alan ve 2010 yılında ortaya çıkartılan Stuxnet saldırısından sonra kritik altyapıları yönelik en büyük saldırı olarak bilinmektedir. Küresel petrol üretiminin önemli bir bölümünün gerçekleştiği Suudi Arabistan’da bir devlete ait olan Aramco’da meydana gelen hasar üretimi etkilemese de, petrol piyasasında paniğe neden olmuştu.

Ulusal ve uluslararası ölçekte büyük bir firma olan Aramco’nun saldırıdan doğan zararı telafi etmesi neredeyse iki haftasını almıştır. Aslında çok-uluslu şirketler sık sık benzer saldırılarla karşı karşıya kalmaktadır, ancak Aramco’yu hedef alan saldırının global ölçekte enerji piyasasını etkileyebilecek nitelikte bir saldırı olması, başta ABD olmak üzere birçok devleti Aramco’daki hasarın bir an önce giderilmesi için işbirliğine sevk etmiştir.

Shamoon Zararlı Yazılımının esas amacı bulaştığı bilgisayarların hard disklerinde bulunan veriyi geri getirilemeyecek sekilde silmekti. Dolayısıyla her ne kadar virüs, şirketin üretim ve dağıtım kapasitesini etkilememiş olsa da üretim ve dağıtım verilerinin silinmesi ile şirketi ciddi zarara uğratmıştır.            Saldırıyı üstlenen “Cutting Sword of Justice (Adaletin Keskin Kılıcı)” isimli gruba dahil hackerlar, saldırının amacının politik olduğunu ve bilgisayarlardan ele geçirdikleri önemli belgeleri yayınlayacaklarını söylemiş olsalar da bugüne kadar yayınlanan herhangi bir belge bulunmamaktadir.

Saldırıyla ilgili yapılan soruşturma da; saldırının 4 farklı kıtada bulunan farklı farklı ülkelerden gerçeklestirildiği tespitleri yer almaktadır. Fakat o dönemde hem Suudi Arabistan’ın Bahreyn’e asker göndermesi hem de Suriye deki ayaklanmaları desteklemesinin İran’ın menfaatleriyle çakıştığı göz önüne alındığında Tahran yönetiminin saldırının arkasında olabileceğini akla getirmiştir. Saldırı için Müslümanların kutsal günlerinden Kadir Gecesinin seçilmesi ve saldırıyı üstlenen hacker grubunun kendisini Şii inancında Hz Ali’ye atfedilen ‘Adaletin Keskin Kılıcı’ ismini vermesi gibi dini semboller saldırının arkasında İran olduğu şüphesini arttırmaktadır.