Üst üste gelen siber saldırılarla karşı karşıya kalan Avrupa Birliği (AB), kritik altyapılara ait sektörlerin savunmalarını sertleştirmelerini istiyor. Bu kapsamda çıkarılan yeni yasa sektörler ve hükümetler için siber siber çöküşü önlemeye yönelik topyekûn bir mücadeleye katkıda bulunacak düzenlemeler içeriyor.
Yeni yasa, çoklu siber saldırı dalgalarına yanıt vermeye yönelik daha geniş kapsamlı bir AB stratejisinin temel taşını teşkil edecek. Yeni yönetmeliğin müzakerecileri, hackerların toplumun kritik işlevlerini bozmasını engellemek amacıyla bankacılık, enerji, telekom ve ulaşım gibi hassas sektörleri ağlarını daha iyi korumaya ve siber güvenliğe yatırım yapmaya zorlayacak bir anlaşma yaptı
SİBER SALDIRI DALGALARINA KARŞI TOPYEKÜN MÜCADELE
Yeni yasa, koronavirüs salgınına eşlik eden çoklu siber saldırı dalgalarına, Batı, Rusya ve Çin arasındaki yenilenen jeopolitik gerilimlere ve daha yakın zamanda Ukrayna’daki savaşa cevap vermeye yönelik daha geniş bir AB stratejisinin temel taşını teşkil etmekte. Hedef haline gelen kritik kuruluşların yaşadığı olaylar arasında ABD petrol boru hattı operatörü Colonial ve İrlanda’nın sağlık sistemine yönelik “fidye yazılımı” saldırıları ile AB genelindeki ajanslara ve bakanlıklara yönelik siber casusluk kampanyaları yer alıyor.
Yeni yönetmeliğe göre, kritik şirket ve kuruluşların yetkilileri siber saldırıları ya da büyük boyutta para cezalarını önlemek için siber olayları 24 saat içinde yetkililere bildirmek ve en gelişmiş siber güvenlik teknolojilerini kullanmayı içeren bir siber güvenlik müdahale planı kurmak ve bunu denetlemek durumunda olacaklar.
Avrupa Komisyonu, Avrupa Parlamentosu ve AB Konseyi temsilcileri Brüksel’de gece geç saatlerde yapılan görüşmelerde Ağ ve Bilgi Güvenliği Direktifinin (NIS2 Direktifi) ayrıntıları konusunda anlaştılar.
Müzakereleri Avrupa Parlamentosu adına yürüten Hollandalı Liberal milletvekili Bart Groothuis, yasanın “yüz binden fazla kuruluşun güvenlik konusundaki anlayışlarını sertleştirmelerine ve Avrupa’yı yaşamak ve çalışmak için güvenli bir yer haline getirmesine yardımcı olacak. “Endüstriyel ölçekte saldırıya uğruyorsak, endüstriyel ölçekte yanıt vermemiz gerekiyor.”
Yasa, AB’nin 2016’da kabul edilen ve AB yetkililerine siber güvenlik alanında gözetim ve kontrol sağlamada mihenk taşı konumunda olan ilk siber güvenlik mevzuatının yenilenmesi anlamına geliyor. Üye ülkeler, ulusal güvenlikle yakından bağlantılı olduğu için konu hakkında uzun süredir hassas davranıyorlar, ancak son yıllarda yıkıcı siber saldırıların akışı AB hükümetlerini Avrupa düzeyinde daha işbirliği içinde çalışmaya zorlamış durumda.
Yasaya ilişkin çalışmalarda bulunan Avrupa Parlementosu’nun Bulgaristanlı üyesi Eva Maydell, Avrupa’nın siber güvenliğinin güçlendirilmesinin “yapay zeka, yarı iletkenler ve savunma sektörünün geliştirilmesine kadar birçok politikanın temelini oluşturduğunu söyledi.
Mevzuat, şirketlere, kuruluşlara ve kamu hizmetlerine yazılım açıklarının düzeltilmesi, risk yönetimi önlemlerinin alnması, bilgilerin paylaşılması ve yetkililere 24 saat içinde yaşananlar hakkında üç gün içinde ise tam bir rapor verilmesi dahil olmak üzere uzun bir gereksinim listesi getirmekte.
Yasa kapsamında kuruluşların temel hizmet sağlayıcıları için cironun yüzde 2’si ve önemli hizmet sağlayıcılar için yüzde 1,4’ü oranında para cezasına çarptırılacak.
Dünyanın hemen hemen her yerinde güvenlik zafiyetlerini istismar ederek şirketlerin, hükümetlerin, sağlık kuruluşlarının ve birçok organizasyonun verilerini ele geçirip fidye yazılım saldırıları düzenleyen siber tehdit aktörleri, 2021 yılında da boş durmadı.
Colonial Pipeline, JBS Foods ve diğer büyük kuruluşların da hedef olduğu 2021’in öne çıkan fidye yazılım saldırılarını sizler için derledik.
FİDYE YAZILIMI NASIL TANIMLANIYOR?
ABD Siber Güvenlik ve Altyapı Ajansı’na (CISA) göre fidye yazılımı, “Bir cihazdaki dosyaları şifrelemek, dosyaları ve bunlara bağlı sistemleri kullanılamaz hale getirmek için tasarlanmış, sürekli gelişen bir zararlı yazılım biçimidir. Kötü niyetli aktörler şifre çözme araçları karşılığında fidye talep ederler. Fidye ödenmezse, hem elde edilen verileri hem de kimlik doğrulama bilgilerini sızdırmakla tehdit ederler.”
Son birkaç yılda, çoğu yüksek profilli saldırılar olan fidye yazılımı saldırılarında artış görülüyor. Bu saldırılar arasında Colonial Pipeline, Steamship Authority of Massachusetts, JBS, Washington DC Polis Departmanı’na karşı gerçekleştirilen saldırılar yer alıyor. ABD şirketlerine ve kuruluşlarına yönelik bu saldırılar, kritik altyapıların kapatılmasından mal/hizmet maliyetlerinin artmasına, faaliyetlerin durdurulmasından mali kayıplara kadar çeşitli zararlara yol açarken, tehdit aktörlerine ödenen fidye miktarlarında da geçmiş yıllara oranla yüzde 300’lük bir artış yaşandı.
2021’DE ÖNE ÇIKAN FİDYE YAZILIM SALDIRILARI
2021 yılında, ABD ve dünya genelinde şirketlere ve firmalara yönelik birçok yüksek profilli saldırı yaşandı. Sadece 6 fidye yazılım çetesi, 292 kuruluşun güvenliğini ihlal etmekten sorumlu olmakla birlikte söz konusu çeteler, saldırıları karşılığında da 45 milyon dolardan fazla fidye geliri elde etti.
İşte 2021’in öne çıkan en büyük 10 fidye yazılımı saldırısı.
COLONIAL PIPELINE
2021 yılında öne çıkan tüm fidye yazılım saldırılarından en fazla öne çıkanı Nisan ayı sonlarında ABD’nin en büyük boru hattı olan Colonial Pipeline saldırısı oldu. Touro College Illinois Siber Güvenlik Programı Direktörü Joe Giordano, “Colonial Pipeline saldırısı, büyük bir etki yarattı çünkü boru hattı ulusal kritik altyapı sisteminin önemli bir parçası. Sistemi kesintiye uğratmak, Amerika Birleşik Devletleri’nin Doğu Kıyısı boyunca gaz arzını kesintiye uğratarak kaosa ve paniğe neden oldu.” dedi.
Colonial Pipeline’a yönelik gerçekleştirilen saldırı sonrası bir hafta boyunca benzin tedariğinde sıkıntılar yaşandı. Benzin almak isteyen vatandaşlar uzun kuyruklarda bekledi. Paniği önlemek için Colonial Pipeline, fidye talebine boyun eğerek saldırının arkasında bulunan DarkSide siber suç örgütüne yaklaşık 4,4 milyon dolar değerinde bitcoin ödemesi yaptı.
Saldırı sürecinde tehlikeli olaylar da yaşandı. Doğu Sahili sakinleri, aldıkları benzini plastik torbalarda saklamaya çalışırken bazı arabalar alev aldı. Saldırı sonrasıda ABD kolluk kuvvetleri 4,4 milyon dolarlık fidye ödemesinin çoğunu kripto para hareketleri ve dijital cüzdanları izleyerek geri alsa da DarkSide siber suç örgütü varlığını ve etkinliğini sürdürüyor.
Mayıs 2021’in başlarında Colonial Pipeline’ı hedef alan DarkSide aynı zamanda bir kimyasal dağıtım şirketi olan Brenntag’ı da hedef aldı. 150 GB değerinde veri çaldıktan sonra DarkSide, 7,5 milyon dolarlık bitcoin talep etti.
Brenntag uzun sürmeden 4,4 milyon dolar fidye ödedi. Ödenen bu fidye miktarı da Colonial Pipeline’la birlikte tarihin en yüksek fidye yazılımı ödemelerinden biri olarak kayıtlara geçti.
ACER
Tarihte istenen en yüksek fidye miktarlarından birinin kurbanı olan bilgisayar üreticisi ACER, REvil siber suç örgütü tarafından saldırıya uğradı.
REvil, ACER’in finansal tablolarını, banka bakiyelerini ve banka iletişimlerini ortaya koyarak ACER’den 50 milyon dolar fidye talep etti. REvil, ACER’in verilerini ele geçirmek için Microsoft Exchange sunucusundaki bir güvenlik zafiyetinden yararlandı.
JBS FOODS
Dünyanın en büyük et tedarikçilerinden biri olan JBS Foods’a yönelik de yüksek profilli bir fidye yazılım saldırısı gerçekleşti. Saldırının arkasında ACER’e de saldıran REvil olduğu düşünülüyor.
Söz konusu saldırıdan sonra tedarikte aşırı derecede sıkıntı yaşanmasa da JBS, 11 milyon dolarlık fidye ödemesi gerçekleştirdi. Bitcoin’deki bu büyük ödeme, tüm zamanların en büyük fidye yazılımı ödemelerinden biri oldu. Bu saldırının ardından da REvil, gizemli bir şekilde ortadan kaybolmuştu.
QUANTA
Apple’ın ve diğer teknoloji devlerinin bir numaralı bilgisayar tedarikçilerinden olan Quanta Computer, REvil’in saldırısına uğradı.
Tayvan merkezli bilgisayar şirketi Apple gibi dev firmalara ürünler üretiyordu. REvil, Quanta’dan ACER’de olduğu gibi fidye olarak 50 milyon dolar talep etti. Ancak Quanta fidyeyi ödemeyi reddetti. Daha sonrasında Apple’ı tehdit eden REvil’in tehditleri yanıtsız kaldı ve saldırı geçiştirildi.
AMERİKAN BASKETBOL LİGİ (NBA)
Hemen hemen her farklı sektörlerden işletmeler ve kuruluşlar, fidye yazılımı saldırılarının hedefi konumundadır. 2021’deki öne çıkan fidye yazılım saldırıları listesindeyse en şaşırtıcı olanlardan biri NBA oldu.
2021’in Nisan ayının ortalarında, siber suç örgütlerinden Babuk, Houston Rockets’la ilgili 500 GB gizli veri çaldığını iddia etti. Babuk, mali bilgiler ve sözleşmeler de dahil olmak üzere bu gizli belgelerin, talepleri karşılanmadığı takdirde kamuoyuna açıklanacağı konusunda uyardı. Ancak Houston Rockets herhangi bir fidye ödemesi yapmadı.
AXA
2021’in Mayıs ayında Avrupalı sigorta şirketi AXA, Avaddon çetesi tarafından saldırıya uğradı. Saldırı, şirketin sigorta poliçelerinde önemli değişiklikleri duyurmasından kısa bir süre sonra gerçekleşti.
AXA, müşterilerinin çoğuna fidye yazılımı ödemeleri için geri ödeme yapmayı bırakacaklarını belirtti. Bir siber sigorta şirketine yapılan bu benzersiz saldırıyla Avaddon çetesi 3 TB’lık devasa bir veriye erişim kazandı.
CNA
2021’in Mart ayının başlarında, başka bir büyük sigorta şirketi bir fidye yazılımı saldırısının daha kurbanı oldu. CNA’nın ağı 21 Mart’ta saldırıya uğradı ve siber tehdit aktörleri, uzaktan çalışan birçok çalışan bilgisayarı da dahil olmak üzere 15.000 cihazı şifreledi.
Saldırının sözde hacker grubu Evil Corp ile bağlantılı olduğu ve Phoenix CryptoLocker adlı yeni bir zararlı yazılım türü kullandığı tahmin ediliyor.
CD PROJEKT RED
CDProjekt Red, Polonya merkezli popüler bir video oyunu geliştirme firması olarak biliniyor. 2021 yılının Şubat ayında firma, HelloKitty çetesi tarafından saldırıya uğradı.
Siber tehdit grubu, firmanın oyun projelerinin kaynak kodlarına erişti. Ancak, CDProjekt fidye parasını ödemeyi reddetti ve kayıp verileri geri yüklemek için yedekleri olduğunu belirtti.
KASEYA
Acer, Quanta ve JBS Foods’u hedef alan aynı tehdit aktörü REvil, 2021’in Temmuz ayında Kaseya’ya yönelik bir saldırıyla yine manşetlere çıktı. Tüketiciler tarafından yaygın olarak bilinen bir isim olmasa da Kaseya, dünya çapındaki büyük şirketler için BT altyapısını yönetiyor. Colonial Pipeline ve JBS Foods’a yapılan saldırılara benzer şekilde bu saldırı, ekonomik olarak belirli sıkıntılara yol açtı.
Rusya destekli REvil fidye yazılım çetesi, Kaseya’nın VSA yazılımındaki bir zafiyetten faydalanarak birden fazla yönetilen hizmet sağlayıcısına (MSP) ve onların müşterilerine yönelik bir tedarik zinciri fidye yazılımı saldırısı gerçekleştirdi. REvil’e göre, bir milyon sistem şifrelendi ve fidye için tutuldu. Kaseya’ya göre, müşterilerinin yaklaşık 50’si ve toplamda yaklaşık 1000 işletme etkilendi. REvil’se fidye olarak 70 milyon dolarlık bitcoin talep etti. İsveç’te bir market zinciri, Yeni Zelanda’daki okullar ve ABD’de KOBİ’ler saldırının kurbanları arasında yer alırken İsveçli market zinciri Coop, bir hafta boyunca 800 mağazasını kapatmak zorunda kalmıştı.
Saldırıdan kısa bir süre sonra FBI, REvil’in sunucularına erişim sağlayarak şifreleme anahtarlarını aldı. Neyse ki fidye ödenmedi ve Kaseya müşterilerinin BT altyapısını geri yükleyebildi. Yılın en büyük fidye yazılımı saldırılarından biri olarak başlasa da sonunda durum kurtarıldı.
FİDYE YAZILIM SALDIRILARINA KARŞI ÖNLEM ALMA YOLLARI
Söz konusu sorunu çözmek için gerekli iki temel bileşene ihtiyaç duyuluyor. Birincisi, şirketlerin siber güvenliği ciddiye alması ve siber güvenliğe yatırım yapması gerektiği. İkinci olaraksa, şu anda karşı karşıya olduğumuz fidye yazılımı saldırıları belasını ele almaya hazır daha yüksek eğitimli siber güvenlik uzmanlarına ihtiyaç olduğu.
Giordano’nun belirttiği gibi, “Pek çok şirket ve kurum hala zayıf bir güvenliğe sahip ve güçlü güvenlik, bir kerelik bir yükseltme değil, sürekli uyanıklık hâli ve güncellemeler gerektiriyor. Daha fazla kuruluş siber güvenliği ciddiye almaya ve tehditlerle mücadele etmek için zaman ve kaynaklara yatırım yapmaya başladığında, bu tehditlerin azaldığını görmeye başlayacağız.”
Son zamanların en büyük siber saldırılarıyla karşılan iki şirketin tepe yöneticileri, sistemlerine yönelik saldırı anıyla ilgili önceliklerini günlük işleri ikinci plana atarak saldırıya derhal karşılık vermek şeklinde değiştirdiklerini anlattı.
Bir siber güvenlik zirvesinde bir araya gelen yöneticiler, muhtemel siber saldırılar durumunda neler yapılabileceği konusundaki düşüncelerini paylaştı. Yakın zamanda önemli saldırılara muhatap olan Colonial Pipeline ve Accellion’un CEO’ları geçmiş tecrübelerini aktardı ve tehdit anında en tepe yönetimin dahi aktif olarak plana dâhil olduğunu belirtti.
Mandiant Siber Güvenlik Zirvesi Washington’da gerçekleşti. Colonial Pipeline’ın başkanı ve CEO’su Joe Blount, Accellion başkanı ve CEO’su Jonathon Yaron ve Mandiant kıdemli başkan yardımcısı ve CTO’su Charles Carmakal açılış paneli sırasında görüşlerini ve deneyimlerini paylaştı.
Blount, şirketinin büyük bir siber saldırıya uğradığını öğrendiklerinde, var güçleriyle anında karşılık vermek için günlük işlerini ikinci plana attıklarını söyledi. Firmasının 4,4 milyon dolarlık bir fidye ödemek zorunda bırakıldığı bir saldırı anında aklında geçen düşünceleri paylaşan Blount, “Alışageldiğiniz CEO’luk işi birkaç saat önce adeta kapıdan çıktı ve bir süre gelecek gibi de görünmüyor.” ifadelerini kullandı.
“CEO’NUN SORUMLULUĞU SALDIRIYI KONTROL ALTINA ALMAK”
Blount, bu saldırıda tüm diğer yöneticiler ve çalışanlar gibi, şirketin verdiği karşılıkta aktif rol almış. Blount, “Böyle bir olay yaşandığında, yeteri kadar zaman ya da insan olmuyor. Mecburen iş başa düşüyor.” şeklinde konuştu.
Saldırıya dair ayrıntılar, karşılık verme ve toparlanma hakkında ABD Enerji Bakanlığı ile iletişimi kuran “kanal” olarak görev yapan üst düzey yönetici, “Bizim durumumuzda saldırının ardından, CEO’nun sorumluluğu saldırıyı hemen kontrol altına almak ve durumu düzeltmek oluyor. Odak noktası buna dönüşüyor.” dedi.
Söz konusu saldırıda Blount, bakanlık aracılığıyla federal hükümetle neler yaşandığı hakkında ve Colonial Pipeline ve Mandiant da dâhil olmak üzere olay müdahale ekibinin elde ettiği bulgular hakkında brifinglere katılmış.
Blount, “Hükümetle o tek kanalı kurmuş olmak, bize Beyaz Saray’dan, tüm düzenleyicilere ve benzer şirketlerle bilgi paylaşımı konusunda yardımsever davranan lobici gruplara kadar birçok kişi ve kurumla iletişim kurma imkânı sağladı” değerlendirmesini yaptı ve bu yolla diğer kurumlara da tehditlere karşı dolaylı olarak uyarılmış olduğunu söyledi.
İsrailli 8200 istihbarat biriminin eski bir üyesi olan Accellion’dan Yaron ise şirketin eski Dosya Transfer Cihazı platformunda bir ay arayla gerçekleşen iki saldırıyı hatırlattı. Ocak sonunda gerçekleşen ikinci saldırı hakkında birilerinin bize zekasıyla alt ettiğini anlıyoruz yorumun yapan Yaron, “[Bu kişiler] bizim bilmediğimiz bir şeyleri biliyorlardı.” diye konuştu.
Saldırı ilk olarak, bazı şirketler tarafından büyük dosyaların transferi için kullanılan 20 yıllık bir teknolojinin bir akademik kurumda alarm vermesinin ardından Accellion ile temasa geçmesiyle fark edildi. İlk etapta saldırının bir devlet tarafından mı yoksa ticari bir kuruluş tarafından mı düzenlediği ya da tekil bir olay vaka olup olmadığı belirsizdi. Bankalar, ABD devlet kurumları ve büyük bir sağlık kuruluşu hala eski ürünü kullanan müşteriler arasındaydı.
“BÜYÜK ÇOĞUNLUK BİZİ DİNLEDİ VE SİSTEMLERİ KAPATTI”
“Birinci öncelik saldırının büyüklüğünü anlamaktı.” diyen Yaron, ilk değerlendirmelere göre, 300’e yakın kuruluşun mağdur olabileceği değerlendirildiğini söyledi. Araştırmalar sonunda, 90’a yakın saldırının gerçekleştiğini ve bunların 35’inin ciddi zarar verebildiği tespit edildi.
Saldırı sonucunda müşteri verileri çalındı ve daha sonra siber suçlular tarafından kaldıraç olarak kullanılan gasp girişimleri yaşandı. Satıcı, saldırının fark edilmesinden sonraki 72 saat içinde Aralık ayındaki ilk 0-day gün saldırısı için bir yama yayınladı ve ayrıca müşterilerini mevcut Kiteworks güvenlik duvarı platformuna geçmeye davet etti. Ancak 1 Şubat’ta, platformda bir zafiyeti daha tespit eden hackerlar tekrar saldırıya geçti.
Mandiant; ABD, Kanada, Hollanda ve Singapur’daki şirketlerden gelen verilerin Fin11 olarak bilinen Rus siber suç çetesiyle bağlantılı bir Dark Web sitesine düştüğünü tespit etti. Saldırının önde gelen kurbanları arasında Kroger, Jones Day ve Singtel gibi ünlü firmalar yer aldı.
Müşterilerini derhal müşterileri FTA sistemlerini kapatmaya çağırdıklarını söyleyen Yaron, “Büyük çoğunluk bizi dinledi ve sistemleri kapattı ve müşterilerimizden en fazla %10’u ağır hasar aldı.” dedi.
Yeni fidye yazılım grubu “BlackMatter”, bir süredir saldırı yapmayan “Revil ve DarkSide grupları geri mi döndü?” sorusunu akıllara getirdi. Çete diğer grupların özelliklerini bir araya getirerek dikkatleri üzerine çekti.
Rus darkweb forumlarında ortaya çıkan yeni fidye yazılım grubu, kendisini “Proje; DarkSide, REvil ve LockBit’in en iyi özelliklerini kendi içinde birleştirdi.” şeklinde tanıttı.
Exploit forumunda yer alan bir paylaşımda BlackMatter, daha önce saldırıya uğramış ABD, Kanada, Avustralya ve Birleşik Krallık’taki kurumsal ağlara erişimi olan siber tehdit aktörlerini işe almak istediğini duyurdu.
GRUBU KİMLER OLUŞTURDU?
BlackMatter’ın sızıntı sitesinde bulunan “Hakkımızda ve Kurallar” kısmındaysa “Sağlık kuruluşlarına, kritik altyapı tesislerine (nükleer santraller, enerji santralleri, su arıtma tesisleri vs.), petrol ve gaz endüstrisine, savunma sanayiiye, kar amacı gütmeyen kuruluşlara ve hükümet kurumlarına” saldırmayacağı aktarıldı.
Halihazırda herhangi bir operasyona imza atmayan BlackMatter, içerisinde soru işaretleri barındırmaya devam ediyor. Bunlardan en önemlisi ise grubun kimler tarafından oluşturulduğu. Bu konu ise bir süredir sessiz kalan iki fidye yazılım grubunu akıllara getiriyor.
Rusya destekli REvil fidye yazılım grubu, teknoloji sağlayıcı şirket Kaseya’nın VSA yazılımındaki bir zafiyetten faydalanarak birden fazla yönetilen hizmet sağlayıcısına (MSP) ve onların müşterilerine yönelik bir tedarik zinciri fidye yazılımı saldırısı gerçekleştirmişti.
KASEYA VE COLONIAL PIPELINE SONRASI İKİ GRUP DA ORTADA YOKTU
Yaşanan hadiseden birçok şirket etkilenirken, süper market zincirlerinde de kapanmalar olmuştu. Et tedarikçisi JBS Foods’a da saldıran REvil, bu saldırıların ardından gizemli bir şekilde ortadan kaybolmuştu.
Diğer bir saldırıysa, ABD’nin en büyük boru hattı olan Colonial Pipeline’a yönelik fidye yazılım saldırısıydı. Söz konusu saldırı DarkSide grubu imzası taşırken, bu saldırının ardından Colonial Pipeline, geçici süreyle hizmet verememişti.
DarkSide da, tıpkı REvil gibi, Colonial Pipeline saldırısının ardından ortadan kaybolmuştu.
Rusya destekli gruplar olduğu bilinen söz konusu grupların, kısa süre önce Rus hacker forumlarından da silindiği ortaya çıkmıştı. Büyük saldırılar ertesinde dikkatleri üzerlerine çeken gruplar, 2021 yılında toplam yaklaşık 16 milyon dolar fidye toplamıştı.
Ortaya çıkan yeni fidye yazılım grubu BlackMatter’ın, bir süredir faaliyet göstermeyen iki fidye yazılım grubuyla bağlantısının olduğu düşünülüyor.
ABD’nin en büyük boru hattı olan Colonial Pipeline, geçtiğimiz mayıs ayında uğradığı siber saldırı nedeniyle bir süre işlevsiz kaldı.
7 Mayıs sabahı 5.30 civarında gerçekleştiği belirtilen saldırı sonrası, ülkede 13 eyalette ve Washington DC’de 260 teslimat noktasıyla hizmet veren şirketin boru hattı devre dışı bırakıldı.
Tekrar faaliyete geçen Colonial Pipeline yönelik fidye yazılımı saldırısı ve sonrasında yaşanan gelişmelere gelin yakından bakalım.
NELER OLMUŞTU?
Günde 2,5 milyona yakın akaryakıt taşıyan Colonial Pipeline isimli boru hattı şirketi ABD’nin doğu yakasının dizel, benzin ve jet yakıtı ihtiyacının %45’ini karşılıyor. Georgia merkezli şirket, 5,500 millik güzergahı dahilinde günlük 2,5 milyon varil benzin, dizel, ısıtma yağı ve jet yakıtı taşıyarak ABD’deki en büyük petrol boru hattı olma özelliğini koruyor.
Geçtiğimiz mayıs ayında fidye yazılım saldırılarına maruz kalan Colonial Pipeline, saldırılar nedeniyle geçici süreyle hizmet veremedi. Fidye yazılımı olarak belirtilen siber saldırıların, Amerikan enerji sistemine yapılan şimdiye kadar en büyük siber saldırı olması nedeniyle oldukça önemli.
Şirketin saldırılar karşısında ilk tepkisi sistemleri durdurma olurken, gelişmeler sonrası Colonial Pipeline tarafından yapılan açıklamada, siber saldırıların şirketi bazı sistemleri çevrimdışına almaya ve boru hattını devre dışı bırakmaya zorladığını bildirildi. Saldırı sonrası şirket yetkilileri, tehdidi kontrol altına almak için IT sistemlerini ve tüm boru hattı işleyişi geçici olarak durduğunu açıkladı.
Şirketin boru hattını kapatma kararı ülkede domino etkisiyle bir dizi soruna yol açtı.
Colonial Pipeline CEO’su Joseph Blount, NPR’a verdiği röportajda, altyapılara yönelik saldırılar sonrasında başlangıçta odak noktalarının “..boru hattını mümkün olan en kısa sürede güvenli bir şekilde tekrar çalışır hale getirmek..” olduğunu dile getirdi. Fakat sistemin tamamen onarılması aylarca sürebilir.
Boru hattı bir hafta içinde yeniden başlatılırken, tam faaliyete geçerek teslimat programını tekrar sürdürmesi zaman aldı. Bu süreçte ülkenin doğu ve güneydoğusunda pek çok eyalette akaryakıt sıkıntısı oluşurken, Virginia ile Florida’da acil durum ilan edildi. Washington DC’deki benzin istasyonlarının yarısı ve Kuzey Carolina’daki istasyonların %40’ı dahil olmak üzere 9.500’den fazla benzin istasyonunun yakıtı tükendi.
BENZİN PANİĞİ YAŞANDI
ABD Ulaştırma Bakanlığı geçici bir kararname yayınlayarak devre dışı kalan akaryakıtın karayoluyla transferinin önünü açarken, yetkililerin tüm uyarılarına karşın kullanıcıların panik halinde benzin stoklaması sonucunda binlerce benzin istasyonunda yakıt sıkıntısı yaşandı. Öyle ki bazı benzin istasyonlarında benzin alımlarına 20 dolar sınır getirildi. Ülke genelinde benzinin fiyatı 2014’den bu yana kaydedilen en yüksek seviyeye (galon başına 3 doların üzerine çıktı) ulaştı.
The New York Times’ın haberine göre, Enerji ve Ulusal Güvenlik Bakanlıkları tarafından hazırlanan gizli bir değerlendirmenin sonucunda Colonial Pipeline kapatılmasıyla oluşan yakıt eksikliği durumunda, mevcut yakıtların otobüsler ve diğer toplu taşıma araçlarının yakıt harcamalarını yalnızca üç ila beş gün karşılayabileceği ortaya çıktı. Bu durum kritik altyapılara yönelik olası siber saldırıların ciddi sonuçlarının olacağının önemli bir göstergesi.
SALDIRILARIN SORUMLUSU: DARKSIDE
Fidye yazılım yoluyla gerçekleştirilen siber saldırının DarkSide adlı bir siber suç grubu tarafından düzenlendiği kaynaklarca doğrulandı. DarkSide adlı korsan grubunun daha önce de siber suç kapsamında çeşitli şirketlerden milyonlarca dolar çaldığı ve çaldıkları paraların bir kısmının hayır kurumlarına bağışladıkları iddialar arasında.
Bilinirliği açısından yeni bir siber suç grubu olmasına rağmen DarkSide, sanayi ve kritik altyapılara yönelik saldırılarla milyonlarca dolarlık zararlarla neden oluyor.
Saldırılara ilişkin açıklamaya göre, fidye pazarlığı süreci bilgisayar ekranına düşen uyarıyla başlıyor. Çalınan bilgiler suç grubunun sunucularına taşınırken, fidye ödemeleri şartıyla verilere yeniden erişim sağlanabileceği söyleniyor. Belirlenen süre içerisinde istenen fidyenin ödenmemesi durumunda hedeflenen kurum, şirket ya da bireylere ait bilgiler otomatik olarak dışarıyla paylaşılabiliyor.
Fidye yazılım saldırıları oldukça yaygın.
Kısaca bilgilendirecek olursak fidye yazılım saldırısı, suç grupları tarafından bulaştırılan virüs sayesinde kullanıcıların dosyalara erişimini engelleyerek fidye ödenene kadar sistemin tamamen kilitlenmesine neden olan kötü amaçlı yazılımdır. Bazen kullanıcıları verileri çalmakla ve yayınlamakla tehdit ederek çifte gasp yöntemi şeklinde gerçekleşebilir.
Fidye yazılım saldırıları, özel sektörden devlete, bireylerden hastanelere ve sağlık sistemlerine kadar birçok şeyi hedef alabilir. Dahası saldırıya uğrayan kurum ve kişilerin, bilgileri mümkün olan en kısa sürede geri alma ihtiyacının ne kadar acil olduğu göz önüne alındığında, bu tür saldırıların suç grupları için özellikle çekici hedef haline geldiği açık. Son birkaç yılda fidye yazılım saldırılarının sayısı hızla artarken ödenen fidyelerİN TOPLAMI milyarlarca doları buluyor.
Saldırıların arkasında yatan güvenlik açıklığının, sızdırılan tek bir PAROLA olduğu açıklandı.
Bloomberg’in haberine göre, ABD’deki en büyük boru hattını çökerten ve Doğu Kıyısında kıtlığa yol açan saldırı, güvenliği ihlal edilmiş tek bir parolanın sonucuydu. Saldırıdan yaklaşık bir ay sonra yapılan açıklamada, bilgilerin büyük olasılıkla şirketin sunucularına uzaktan erişmek için kullanılan ve sanal özel ağ (VPN) erişimi olan eski bir hesaba sızdırılmış bir parola yoluyla ihlal edildiği belirtildi.
FireEye Inc. bünyesindeki siber güvenlik firması Mandiant’ın başkan yardımcısı Charles Carmakal, bilgisayar korsanlarının 29 Nisan’da çalışanların, şirketin bilgisayar ağına uzaktan erişmesine izin veren VPN aracılığıyla Colonial Pipeline ağlarına giriş yaptığını doğruladı.
Hesabın parolası o zamandan beri dark web üzerinde sızdırılmış bir grup şifrenin içinde olduğu keşfedildi. Dahası hesabın temel bir siber güvenlik aracı olan çok faktörlü kimlik doğrulamasına sahip olmadığı bildirildi. Görünen o ki, bilgisayar korsanlarının ülkedeki en büyük boru hattını kilitlemek için yalnızca kullanıcı adını ve parolayı bilmeleri yeterliydi. Bilgisayar korsanlarının doğru kullanıcı adını nasıl elde ettikleri ise bilinmiyor.
Saldırılar sonrasında ülkenin en büyük yakıt boru hattı olan Colonial Pipeline, hacker grubuna 4,4 milyon dolar fidye ödediğini doğruladı.
Colonial Pipeline saldırı sonucunda ağlarından 100 GB büyüklüğünde verinin çalındığı bildirildi. Verileri çeşitli bilgisayarlarda tutan DarkSide, bunları geri vermek için fidye istedi ve fidyenin ödenmemesi durumunda bu bilgileri internete verme tehdidinde bulundu.
Colonial Pipeline, fidye yazılım saldırısı sonrasında yetkililerin sistemleri hızlı ve güvenli bir şekilde yeniden başlatmak için elinden gelen her şeyi yaptığını ve şirketin fidyeyi ödemeye karar verdiğini söyledi.
CEO Joseph Blount, Wall Street Journal’a verdiği söyleşide ödemeye izin verdiğini, çünkü şirketin oluşan hasarın boyutunu ve boru hattının sistemlerini geri getirmenin ne kadar süreceğini bilmediğini söyledi. Blount, bu kararı alırken hızla hareket etmediklerini, ayrıca ülkesi için yapılması gerekenin bu olduğuna inandığını sözlerine ekledi.
Fidye yazılım saldırılarının birçoğunda mağdurların, çalınan verilerin parolasını çözmek veya çevrimiçi sızdırılmasını önlemek için talep edilen büyük miktarda fidyeyi ödemeyi tercih ettiği biliniyor.
Blount, bu kritik kararın muhtemelen kariyerinde verdiği en zor karar olduğunu belirtirken, Amerikan halkına karşı duyduğu sorumluluk nedeniyle ülke için doğru bir karar olduğunu dile getirdi. Blount, önümüzdeki birkaç ay içinde sistemlerini tamamen geri yüklemenin Colonial için çok daha fazla maddi kayba yol açacağını da sözlerine ekledi.
ÖDENEN FİDYENİN BİR KISMI KURTARILDI
Geçtiğimiz günlerde Adalet Bakanlığı, DarkSide siber suç grubuna ödenen fidyenin bir kısmını geri almayı başardığını açıkladı.
Başsavcı Yardımcısı Lisa O. Monaco, 7 Haziran’da Adalet Bakanlığı’nın yeni Fidye Yazılımı ve Dijital Gasp Görev Gücü (Ransomware and Digital Extortion Task Force) aracılığıyla saldırganlara ödenen 75 bitcoin’in yaklaşık 64’ünü, izlenmesi zor bir para birimi olan kripto olmasına rağmen, “parayı takip ederek” geri kazandığını duyurdu. Bu erişimin nasıl olduğu kamuoyuna açıklanmadı.
Uzman isimler, dünyanın dört bir yanındaki birçok kuruluşa yönelik gerçekleşen fidye yazılım saldırılarının basit bir veri hırsızlığının ötesinde temel işlevleri etkileyen önemli siber saldırılar olduğunu belirtti.
Gelişmeler sonrasında, CISA endüstriyel kontrol sistemleri eski direktörü ve operasyonel teknoloji başkan yardımcısı Marty Edwards, Recode’a konuştu. Edwards, saldırıların siber güvenliğin günlük yaşamlarımız üzerindeki etkisini gösterdiğini belirterek, “Günlük yaşamınızı doğrudan etkiliyorsa sibersaldırının etkisini anlamak çok daha kolaydır.” dedi.
Recode aynı yazısında geçen bir diğer uzman olan Check Point yetkilisi Lotem Finkelstein, Colonial Pipeline’a yönelik gerçekleşen bu denli büyük saldırıların sofistike ve iyi tasarlanmış siber saldırıların varlığını açıkça ortaya koyduğunu belirtti.
Saldırı sonrası açıklamalarda tartışılan konular ve öne çıkan kaygılar bununla sınırlı kalmadı. Amerika’nın enerji altyapısının siber güvenliği, son yıllarda özel bir endişe kaynağı haline geldiği biliniyor. Colonial Pipeline saldırısı bu endişeleri artıran bir gelişme olarak görüldü.
KAMU-ÖZEL İŞ BİRLİĞİ TEKRAR GÜNDEME GELDİ
Enerji altyapılara yönelik saldırılarda yaşanan artış, kritik altyapıların siber güvenliği konusunda kamu-özel sektör işbirlikleri gerekliliğini tekrar gündeme getirdi.
Boru hatları, ham petrol ve diğer yakıt ürünlerinin rafinerilere ve tesislere getirilmesinden, kullanıcılara ve müşterilere ürün teslimatı sağlamaya kadar tüm enerji tedarik zinciri için kritik bir öneme sahiptir. Bu nedenle uzun süreli boru hattı kesintilerinin ciddi etkileri olabilir. En nihayetinde kesintiler neticesinde talepler karşılanmadığında kıtlık yaşanabilir, yakıt fiyatları artabilir, ulaşım ve toplumsal normlarda aksamalar meydana gelebilir.
Colonial Pipeline saldırısı bunun güzel bir örneği.
Colonial Boru hattı, Doğu Kıyısının yakıt ihtiyacının neredeyse yarısını sağlıyor ve uzun süreli bir kapatma, fiyat artışlarına ve kıtlıkların neden olarak sektörde dalgalanmalara yol açabilirdi. Boru hattının bir hafta içinde tekrar devreye girmesiyle bu durum büyük ölçüde önlendi, ancak çoğunlukla panik nedeniyle kıtlık ve fiyat artışları yaşandı.
Her ne kadar büyük veya uzun süreli bir kesinti yaşanmadan tekrar faaliyete başladığı için toplumsal ve maddi açıdan kullanıcıları çok fazla etkilememiş olsa da durum daha farklı sonuçlanabilirdi. Ya da gelecek için aynı şey olmayabilir, bir dahakine ciddi sonuçları olabilir.
Birçok siber güvenlik uzmanı, üst düzeyde önlemler alınmazsa kritik altyapılara yönelik olası siber saldırıların çok daha kötü sonuçlarının olacağını belirtiyor. Kritik altyapıların siber güvenliği konusunda işletmelerin gerekli ve yeterli önlemleri alıyor mu konusu tartışılan bir diğer başlık.
Bu noktada alınacak önlemler konusunda gözler kamu özel sektör işbirliğinde.
Siber güvenlik şirketi Team Cymru yetkilisi James Shank Recode verdiği röportajda, yaşanan gelişmelerin ulusal çıkarların korunması için kamu ve özel sektör arasında işbirliklerine duyulan ihtiyacı vurguladığını dile getirdi. Şirketlere yönelik siber saldırılar ve fidye ile karşı karşıya kalındığında sorumluluğun özel sektöre yüklendiğini belirten Blount, yaptığı açıklamada devletlerin kritik rolüne işaret ederek “kamu-özel işbirliklerininin” gerekliliğinin altını çizdi.
Colonial Pipeline saldırısı, kritik altyapılara yönelik siber saldırılarla ilgili bilgi aktarımının devlet ve diğer sektör bileşenleriyle paylaşması adına ders alınması gereken bir gelişme olduğu açık. Kritik altyapılara yönelik siber saldırıların çeşitli işbirliklerinin gerekli kıldığı gerçeğinin yanı sıra fidye yazılım saldırılarının sanılanın aksine ciddi sonuçlar doğurduğu yaşanan gelişmelerden belki de çıkarılan en önemli sonuçlardan biri olmalıdır.
