Kuzey Kore’nin, silah programını siber saldırılarla çaldığı kripto paralarla finanse ettiği ortaya çıktı.
Birleşmiş Milletler (BM) raporuna göre, Kuzey Koreli siber saldırılarda ülkenin füze programını finanse etmek için milyonlarca dolar değerinde kripto para çalındı.
Raporda, 2020’den 2021’in ortalarına kadar çalınan dijital varlığın 50 milyon dolardan fazla olduğu tespit edildi. Araştırmacılar, bu tür saldırıların Pyongyang yönetiminin nükleer ve balistik füze programının “önemli gelir kaynaklarını” oluşturduğunu söyledi.
ABD, AVRUPA VE ASYA’DAKİ KRİPTO PARA BORSALARI HEDEF ALINDI
Araştırma sonuçlarının Cuma günü BM’nin yaptırımlar komitesine teslim edildiği bildirildi. Siber saldırılarda Kuzey Amerika, Avrupa ve Asya’daki en az üç kripto para borsası hedef alındı.
Raporda, Chainalysis isimli güvenlik şirketi tarafından hazırlanan ve geçtiğimiz yıl Kuzey Koreli siber saldırılarda 400 milyon dolar değerinde dijital varlık elde edildiğini işaret eden rapora da atıfta bulunuldu.
2019 yılında da BM, Kuzey Kore’nin çok yönlü siber saldırılarda, kitle imha silahları programları için tahmini 2 milyar dolar biriktirdiğini bildirmişti. BM Güvenlik Konseyi tarafından Kuzey Kore’nin nükleer denemeler yapması ve balistik füze fırlatması yasaklandı.
Ancak BM raporuna göre, tüm sert yaptırımlara rağmen Kuzey Kore, nükleer ve balistik füze altyapısını geliştirmeye devam edebiliyor.
Nitekim Kuzey Kore resmi medyası, Ocak ayı sonunda, 2017’den bu yana yapılan en büyük füze denemesi olduğu belirtilen denemenin fotoğraflarını yayımladı.
FÜZE TESTLERİNDE BELİRLİ BİR HIZLANMA VAR
Raporda ayrıca ülkenin, siber araçlar ve ortak bilimsel araştırmalar da dahil olmak üzere, yurtdışında malzeme, teknoloji ve uzmanlık bilgisi edinmeye devam ettiğine yönelik bilgiler de yer aldı. Yaptırımları gözlemleyen uzmanlara göre, Pyongyang’ın füze testlerinde “belirgin bir hızlanma” var.
Çin ve Rusya ise, Kuzey Kore’nin füze denemesi programlarının yaygınlaşmasını kınamak üzere hazırlanan ortak bir bildiriyi imzalamadı.
Washington tarafından Pazar günü yapılan duyuruda, ABD’nin Kuzey Kore özel temsilcisinin durumu görüşmek üzere bu hafta içinde Japon ve Güney Koreli yetkililerle bir araya geleceği bildirildi.
BM raporunda, Kuzey Kore’deki insani durumun kötüleşmeye devam ettiği de ifade edildi. Bunun, ülkenin pandemi sırasında sınırlarını kapatma kararının sonucu olabileceği aktarıldı. Raporda, Kuzey Kore’den gelen bilgi eksikliği nedeniyle, uluslararası yaptırımların nasıl bir zarara yol açtığını belirlemenin zor olduğu belirtildi.
Rusya kredi kartlarını çalan ve çalınan bu kartların satışını yapan bir hacker grubunun üyesi olduğu iddia edilen altı kişiyi tutukladı.
Üç carding forumuna ise Rus hükümeti tarafından el konuldu. Operasyonlarla ilgili ilginç bir gelişme de yaşandı. Bir güvenlik araştırmacısı el koyma bildirimine ait kaynak koda Rus yetkililer tarafından yerleştirilmiş gizli bir mesajı keşfetti. Mesajda “SIRADA HANGİNİZ VAR?” ifadesi yer alıyordu.
Rus basını, tutuklamaların Rusya Federasyonu İçişleri Bakanlığı’ndan müfettişlerin talebi üzerine gerçekleştirildiği bildirdi. Mahkeme kâtibi Ksenia Rozina, TASS Rus Haber Ajansına yaptığı açıklamada, “Moskova Tverskoy Mahkemesi, Rusya Federasyonu Ceza Kanunu’nun 187. maddesinin 2. Kısmı (“Ödeme araçlarının yasadışı dolaşımı”) uyarınca suç işlediğinden şüphelenilen altı kişinin gözaltına alınması talebini içeren bir dilekçe aldı.” ifadelerini kullandı.
“Rusya Federasyonu Ceza Kanunu”nun 187. maddesi, “Sahte kredi veya banka kartı ile menkul kıymet olmayan diğer ödeme belgelerinin düzenlenmesi veya satışı” ile ilgili hükümler içermekte.
Rus kolluk kuvvetleri, tutuklanan kişilerin hangi hacker gruplarına bağlı olduklarına ilişkin bir bilgi vermedi. Öte yandan, konuyla ilgili çıkan haberlerde, çalınan kredi kartlarının satışına ilişkin işlemlerin yapıldığı üç carding forumunun / pazarının Rus hükümetinden geldiği iddia eden el koyma bildirisi ile karşı karşıya kaldığı bildirildi.
BleepingComputer; SkyFraud, Ferum, Trump’s Dumps (Trump’ın Çöplükleri) ve U-A-S Shop adlı web sitelerinin platformlarının Rusya İçişleri Bakanlığı BSTM’nin “K” Yönetimi tarafından ele geçirildiğini belirten bildirimler paylaştığını doğruladı. Bildirimde şu ifadeler yer aldı: “SKYFRAUD kaynağı, özel bir kolluk operasyonu sırasında sonsuza dek kapatıldı. Rusya İçişleri Bakanlığı BSTM’nin “K” yönetimi uyardı: “Banka kartlarından fon çalmak yasadışı!”
Rusya Federasyonu Ceza Kanunu’nun 187. maddesine göre sahte ödeme kartlarının, para transferi talimatlarının ve ödeme araçları ya da belgelerinin kullanım veya satış amacıyla üretimi, satın alınması, depolanması ve taşınması 7 yıla kadar hapis cezası ile cezalandırılıyor.
GÜVENLİK ARAŞTIRMACISI KEŞFETTİ
Güvenlik araştırmacısı Soufiane Tahiri ayrıca Sky-fraud.ru müsadere bildirimine ait kaynak koduna diğer Rus hackerlar için yerleştirilmiş gizli bir mesaj keşfetti. Mesajda “SIRADA HANGİNİZ VAR?” ifadesi yer alıyordu.
Söz konusu operasyon ile tutuklananlar 2022’in başından bu yana Rus makamları tarafından gözaltına alınan üçüncü hack grubu oldu. Ocak ayında, Rusya 6 milyon dolar ele geçirdi ve dünya çapında sayısız siber saldırıdan sorumlu olan kötü şöhretli bir fidye yazılımı operasyonu olan REvil ile ilişkili on dört kişiyi tutuklamıştı. Ayın sonunda Rusya, dünya çapındaki işletmelere 560 milyon dolardan fazla zarar veren bir hack grubu olan Infraud Örgütünün liderini de tutuklamıştı.
RUSYA’NIN İŞBİRLİKÇİ TAVRI ŞAŞIRTTI
Rusya’nın bu seri tutuklamaları, ülkenin sınırları içinde faaliyet gösteren siber suçlara karşı iş birliği yapma geçmişine sahip olmaması nedeniyle sıra dışı olarak kabul ediliyor.
Bununla birlikte, Darkside’ın Colonial Pipeline fidye yazılımı saldırısı ve Revil’in Kaseya saldırısından sonra, Beyaz Saray ve Rus temsilciler, Rusya’dan kaynaklanan hack faaliyetlerinin yükselen eğilimini engelleme yolunda iş birliğini artırmaya gayret gösteriyor.
Batı Avrupa’nın en büyük petrol limanları, enerji fiyatlarının yükseldiği bir dönemde siber saldırı mağduru oldu.
Saldırılarda Almanya’da Oiltanking, Belçika’da SEA-Invest ve Hollanda’da Evos şirketlerinin hedef alındığı belirtiliyor. Saldırıların eş güdümlü olup olmadığı ise bilinmiyor.
ROTTERDAM VE ANTWERP’TE SEVKİYAT DURMA NOKTASINA GELDİ
Rotterdam’ın ardından Avrupa’nın en büyük ikinci limanı olan Antwerp de dahil olmak üzere ülkenin limanlarda bulunan petrol tesislerinin hacklenmesiyle ilgili soruşturma başlatıldı.
Alman savcılar, hackerların kilitledikleri ağları yeniden açmak için para talep ettiği olası bir fidye yazılımı saldırısı olarak tanımladığı petrol tesislerini hedef alan siber saldırıyı araştırdıklarını söyledi.
Geçtiğimiz ay gaz Rusya ile yaşanan diplomatik gerilimler nedeniyle petrol fiyatları, yedi yılın en yüksek seviyesine ulaştı.
Konunun uzmanı bir gemi brokerına göre hack iddiası birçok Avrupa limanını etkiliyor ve zaten gergin olan bu pazardaki yüklerin boşaltılmasını engelliyor. Rotterdam’daki Riverlake’in kıdemli brokerı Jelle Vreeman, “Birçok tesiste siber saldırı oldu, bazı terminaller çöktü.” dedi.
Yazılımların ele geçirilmesi suretiyle gerçekleşen saldırılar mavnaların işleyişini sekteye uğratıyor. Vreeman, “Kısacası, operasyonel sistem çökmüş durumda.” diyor.
Europol sözcüsü Claire Georges, “Bu aşamada soruşturma devam ediyor ve hassas bir aşamada.” dedi.
SALDIRILARIN EN BÜYÜK MAĞDURU BELÇİKA HOLLANDA HATTI
Saldırıların başlıca kurbanlarından biri, şirket bilişim sistemlerinin siber saldırı kurbanı olduğu Hollanda ve Belçika ortaklığında faaliyet gösteren Amsterdam-Rotterdam-Antwerp petrol ticaret merkezi gibi görünüyor.
Belçika’da yayın yapan De Morgen gazetesinin haberine göre, Antwerp’te depolama tesisleri bulunan SEA-TANK tesisi de saldırılardan nasibini aldı. Hollanda Ulusal Siber Güvenlik Merkezi, “gerekirse” yeni adımlar atacaklarının sözünü verdi.
Almanya’da iki petrol şirketi, 29 Ocaktan bu yana siber saldırının kurbanı olduklarını söyledi.
Hem Oiltanking Deutschland GmbH hem de Mabanaft, fors majör (bir sözleşmenin yürürlüğünü engelleyen beklenmedik durum) ilan etti. Şirket sözcüleri, “Sorunu çözmeye ve etkilerini olabildiğince çabuk bir şekilde en aza indirmeye kararlıyız.” dediler.
ALMANYA’DAKİ SALDIRILARDA BLACKCAT ŞÜPHESİ
Alman gazetesi Handelsblatt’a göre, Alman güvenlik servislerinden gelen ilk değerlendirmelere göre Almanya’daki siber saldırıda kullanılan aracın BlackCat fidye yazılımı olduğu belirtiliyor.
BlackCat, Kasım 2021’in ortalarında hackerların hedef sistemlerin kontrolünü ele geçirmesine izin veren bir yazılım aracı olarak ortaya çıktı ve gelişmişliği ve yenilikçiliği nedeniyle hızla ün kazandı.
Uzmanlar ayrıca Blackcat’in programcılarının Rusça dilini kullandıklarına dikkat çekiyor.
Amerika Birleşik Devletleri ve diğer batı ülkelerindeki hedeflere yönelik son fidye yazılımı saldırıları, Rusça konuşan hacker gruplarına veya Rus topraklarından faaliyet gösterenleri işaret ediyor.
Haziran ayında ABD makamları, Colonial Pipeline’ın büyük bir yakıt ağının kapatılmasını zorlayan Rusya merkezli fidye yazılımı grubu Darkside’a ödenen fidye ödemesini geri aldıklarını söyledi.
Saldırı kısa vadeli yakıt kıtlığına neden olmuş ve fidye yazılımının temel altyapı ve hizmetlere yönelik oluşturduğu tehdidin boyutuna dikkat çekmişti.
Kuzey Kore’nin ABD’li güvenlik araştırmacılarına yönelik saldırılarına Washington’ın yeterli tepki vermemesinden dolayı hayal kırıklığına uğrayan bir hacker, meseleyi kendi yöntemleriyle halletmeye karar verdi.
Geçtiğimiz haftalarda Kuzey Kore’deki gözlemciler, ülkenin bazı ciddi bağlantı sorunlarıyla boğuştuğunu fark etti. Zira, farklı farklı günlerde, web sitelerinde topluca bağlantı kopukluğu yaşandığı gözleniyordu. Air Koryo (uçak rezervasyon sitesi) ve Naenara, (diktatör Kim Jong—un hükümeti için resmi portal olarak hizmet veren sayfa) bağlantı problemi yaşayan sitelerden yalnızca ikisiydi.
Yapılan incelemelerde ülkenin ağlarına erişime izin veren merkezi yönlendiricilerden en az birinin bir noktada felç olduğu ve bu durumun “Hermit Krallığı’nın dış dünyayla olan dijital bağlantılarını sakat bıraktığı ortaya çıktı.
Bazı Kuzey Kore gözlemcileri, ülkenin bir dizi füze testi gerçekleştirdiğine dikkat çekerek, yabancı bir hükümete bağlı çalışan hackerların devlete karşı kılıç sallamayı bırakmasını söylemek için siber saldırı başlatmış olabileceğini ima etti.
“DİŞİMİZİ GÖSTERMEZSEK SALDIRILAR DEVAM EDER”
Ancak kısa bir süre sonra Kuzey Kore’nin devam eden internet kesintilerinin sorumluluğunun ABD Siber Komutanlığı veya başka bir devlet destekli hackerlara ait olmadığı ortaya çıktı. Olayın oturma odasında pijama ve terliğiyle oturmuş uzaylı filmleri izleyip baharatlı mısır cipsi yiyen Amerikalı bir adamın işi olduğu anlaşıldı.
Bir yıl kadar önce, P4x takma adını kullanan bağımsız bir hacker, Kuzey Kore casusları tarafından hacklendi. P4x, hackerlık araçlarını ve yazılım açıklarına ilişkin bilgileri çalmak amacıyla batılı güvenlik araştırmacılarını hedef alan bir siber saldırı kurbanlarından sadece biriydi. P4x, saldırganların kendisinden değerli bir şey çalmasını bir şekilde engellemeyi başarabildiğini belirtiyor. Ancak yine de, kendisini kişisel olarak hedef alan devlet destekli hackerlar yüzünden ve ABD hükümetinden görünür bir yanıt gelmemesi nedeniyle tedirgin olduğunu ifade ediyor.
P4x’in bir yılın ardından sorunu kendi yöntemleriyle çözmeye karar vermesi de bu sebebe dayanıyor. Konuyla ilgili Wired’a konuşan P4x, kovuşturma veya misilleme korkusuyla gerçek adını kullanmayı reddederek şu açıklamalarda bulunuyor: “Dişimizi göstermezsek bu saldırılar gelmeye devam edecek. Bize saldırmaya devam ederlerse altyapılarının çökmeye başlayacağını anlamalarını istiyorum.”
GÜVENLİK AÇIKLARINI AÇIKLAMAYI REDDETTİ
P4x, Kuzey Kore sistemlerinde, ülkenin ağının bağlı olduğu sunuculara ve yönlendiricilere tek başına DoS saldırıları başlatmasına izin veren çok sayıda bilinen ancak eşleştirilmemiş güvenlik açığı bulduğunu söylüyor. ABD’li güvenlik araştırmacısı, Kuzey Kore hükümetinin savunmasına yardımcı olacağı gerekçesiyle bu güvenlik açıklarını açıklamayı ise reddetti.
Web sunucusu yazılımı NginX’te, belirli HTTP başlıklarını yanlış kullanan ve yazılımı çalıştıran sunucuların aşırı yüklenmesine ve çevrimdışı duruma getirilmesine izin veren bir zafiyeti dile getirmekle yetindi. Ayrıca, Kuzey Kore’nin eski ve muhtemelen savunmasız bir Linux sürümü olarak tanımladığı Red Star OS olarak bilinen kendi ulusal homebrew işletim sistemini incelemeye başladığını söyledi.
P4x, Kuzey Kore sistemlerine yönelik saldırılarını büyük ölçüde otomatikleştirdiğini, periyodik olarak hangi sistemlerin çevrimiçi kaldığını numaralandıran komut dosyalarını çalıştırdığını ve ardından bunları kaldırmak için istismar araçları piyasaya süreceğini söylüyor. P4x, “Bence bu, küçük ve orta ölçekli bir pentest’e benziyor.” diyor ve geçmişte bir müşterisinin ağındaki güvenlik açıklarını ortaya çıkarmak için gerçekleştirdiğine benzer şekilde beyaz şapkalı hackerlık yaptığını açıklıyor.
Web sitelerinin çalışma süresini ve performansını izleme faaliyetlerinde bulunan Pingdom’un kayıtları, P4x’in hacklenmesi sırasında neredeyse her Kuzey Koreli web sitesinin birkaç kez devre dışı kaldığını gösteriyor. (Kapanmayan sitelerden Uriminzokkiri.com’un sunucusu ülke dışında bulunuyor.) Kuzey Kore internetini izleyen bir siber güvenlik araştırmacısı Junade Ali, iki hafta önce başlayan gizemli internet kesintilerini kimin gerçekleştirdiğine dair uzunca bir süre hiçbir fikre sahip olmadan yakından takip ettiğini söylüyor.
Ali, ülke için kilit yönlendiricilerin zaman zaman devre dışı kaldığını gördüğünü ve yalnızca ülkenin web sitelerine değil, e-postalarına ve diğer internet tabanlı hizmetlere de erişimin durduğunu söyledi.
ABD HÜKÜMETİNE MESAJ NİTELİĞİNDE
Tek bir hackerın bu ölçekte bir internet kesintisine neden olması ne kadar nadir bir durum olursa olsun, saldırıların Kuzey Kore hükümeti üzerinde etkisi olduğu bir gerçek. Fakat bu etkinin ne boyutta olduğu net değil. Stimson Center adlı düşünce kuruluşunun Kuzey Kore odaklı projesi 38 Kuzey’in araştırmacısı Martyn Williams, Kuzey Korelilerin yalnızca küçük bir kısmının internet bağlantılı sistemlere erişebildiğini söylüyor. Vatandaşların büyük çoğunluğu ülkenin bağlantısız intranetiyle sınırlı. Williams, P4x’in defalarca devre dışı bıraktığı onlarca sitenin büyük ölçüde propaganda ve uluslararası bir kitleye yönelik diğer işlevler için kullanıldığını söylüyor.
Williams, bu siteleri devre dışı bırakmanın bazı rejim yetkilileri için hiç şüphesiz bir sıkıntı teşkil etmesine rağmen, geçen yıl P4x’i hedef alan hackerların – neredeyse tüm ülkenin bilgisayar korsanları gibi – Çin gibi diğer ülkelerde bulunduğuna dikkat çekiyor. Williams, “Bu insanların peşinden gidiyorsa, muhtemelen dikkatini yanlış yere yönlendirdiğini söyleyebilirim. Ama amacı eğer sadece Kuzey Kore’yi rahatsız etmekse, muhtemelen sinir bozucu oluyor.”
P4x ise rejimi rahatsız etmeyi bir başarı olarak sayacağını ve internet erişimi olmayan ülke nüfusunun büyük çoğunluğunun asla hedefi olmadığını söylüyor ve ekliyor: “Kesinlikle insanları mümkün olduğunca az ve hükümeti mümkün olduğunca çok etkilemek istedim.”
BAŞKA HACKERLARI DA TEPKİ VERMEYE ÇAĞIRIYOR
Ancak aynı zamanda hackerlığının şu ana kadar güvenlik açıklarını bulmak için test etmeye ve araştırmaya odaklandığını söylüyor. Şimdilerde ise bilgi çalmak ve uzmanlarla paylaşmak için Kuzey Kore sistemlerini gerçekten hacklemeyi denemeyi planlıyor. Aynı zamanda, planlarına başka hackerları da dahil etmek üzere FUNK Projesi (FU Kuzey Kore) adıyla karanlık bir web sitesi açan P4x, davasına daha fazla hacktivist dahil etmeyi umuyor.
FUNK sitesinde “Bu, Kuzey Kore’yi dürüst tutmak adına hayata geçirilmiş bir proje. Bir kişi olarak bir fark yaratabilirsiniz. Amaç, Kuzey Kore’nin batı dünyasını hacklemesini önlemek için orantılı saldırılar gerçekleştirmektir.” ifadesi yer alıyor.
P4x, hacktivist çabalarının yalnızca Kuzey Kore hükümetine değil, kendi hükümetine de bir mesaj olması gerektiğini söylüyor. Kuzey Kore ağlarına yönelik siber saldırıları, kısmen Kuzey Kore’nin ABD vatandaşlarını hedef almasına hükümetin yeteri kadar tepki göstermemesine dikkat çekme girişimi olduğunu söylüyor ve ekliyor: “Kimse bana yardım etmeyecekse, ben de kendime yardım edeceğim.” diyor.
Ukrayna’daki onlarca devlet kuruluşu, kendilerine ait web sitelerine yönelik düzenlenen siber saldırılarda hedef alındı. Peki gerçekte ne oldu?
Geçtiğimiz haftalarda Ukrayna’daki onlarca devlet kuruluşu, hackerların web sitelerinin ana sayfalarını politik içerikli bir mesajla değiştirdikleri bir web sitesi tahrif kampanyasının hedefi oldu. Hackerların aynı zamanda kurumlardan veri çaldığı iddia edilse de, hükümet iddiaların doğru olmadığını açıkladı.
Öte yandan Microsoft, web siteleri tahrif edilmiş olanlar da dahil olmak üzere Ukrayna’daki birçok devlet kuruluşunun sistemlerinde “silici kötü amaçlı yazılımlar” tespit ettiğini açıkladı. Söz konusu yazılımlar genellikle önemli sistem dosyalarını siliyor veya üzerine yazıyor, böylece sistemler önyükleme yapamıyor az veya başka şekilde çalışamaz hale gelir.
Silici yazılımın gerçekten de bir sistemde başlatılıp başlatılmadığı veya gelecekteki bir silme işlemine hazırlık olarak bu sistemlere yüklenip yüklenmediği henüz netlik kazanmış değil.
Kim Zetter, yankıları süren olaylar zincirini anlamaya yardımcı olacak bilgileri derledi.
NE OLDU?
Geçtiğimiz hafta perşembe günü gece yarısından kısa bir süre sonra, Rusya’nın Ukrayna sınırındaki askeri yığınağı konusunda ABD, Rusya ve NATO arasında yapılan görüşmelerin başarısızlıkla sonuçlanmasından üç gün sonra hackerlar çoğu üst düzey devlet kuruluşuna ait Ukrayna merkezli 70 web sitesine tahrif saldırısı düzenledi. Hackerlar yaklaşık bir düzine sitenin ana sayfasını “kork ve daha kötüsünü bekle” yazılı tehdit mesajıyla değiştirdiler.
Saldırıda hedef olan siteler arasında dışişleri, savunma, enerji, eğitim ve bilim bakanlıklarının yanı sıra Devlet Acil Durum Servisi ile halkın çok sayıda kamu hizmetine dijital erişimini sağlayan e-devlet hizmetinin de dahil olduğu Devlet Acil Servisi ve Dijital Dönüşüm Bakanlığı yer alıyor.
Dışişleri Bakanlığı internet sitesine gönderilen ve Ukrayna, Rusça ve Lehçe olarak üç dilde yazılan tahrif mesajında şu ifadeler yer alıyordu: “Ukraynalılar! Tüm kişisel verileriniz genel ağa yüklendi Bilgisayardaki tüm veriler yok edildi, geri yüklemek imkansız. Hakkınızdaki tüm bilgiler halka açıldı, korkun ve en kötüsünü bekleyin. Bu senin geçmişin, şimdiki zamanın ve geleceğin için. Volyn için, OUN UPA için, Galiçya için, Polissya için ve tarihi topraklar için.”
Bir bakanlık yetkilisi, Ukrayna’nın “büyük bir siber saldırı” ile vurulduğuna ilişkin tweet attı. Ancak birçok site toplu olarak tahrif edilebilse de tek tek değerlendirildiğinde bu tür kampanyalar önemli değil veya büyük kabul edilmiyor.
Mandiant İstihbarat Analizi John Hultquist, “Aynı anda birden fazla hedefi vurmak ilk bakışta karmaşık, gelişmiş bir operasyon gibi görünüyor olsa da bu tek bir içerik yönetim sistemine erişim sonucu gerçekleşmiş olabilir. Bu saldırıyı gerçekleştirmek için gereken yeteneği abartmamak gerekir.” diyor.
Yöneticiler tahrif edilmiş sayfaları kaldırmak ve olayları araştırmak için çevrimdışı moda geçtiğinden siteler hızla ortadan kayboldu. Kısa sürede tüm sitelere yeniden erişim sağlandı.
Dışişleri Bakanlığı’nın internet sitesinde yer alan tahrif mesajında verilerin elde edildiği ve yakında sızdırılacağı söylense de verilerin alındığına dair bir kanıt yok ve web sitelerinin sunucularında genellikle çalınacak önemli veriler bulunmadığı biliniyor.
Devlet Özel İletişim ve Bilgi Koruma Hizmetleri Müdür Yardımcısı Victor Zhora, sigortalı araçları kaydeden bir kamu kuruluşunun web sitesinin ön portalından bazı verilerin silindiğini, ancak arka uç veritabanlarının sağlam olduğunu söyledi. Kamu kuruluşu web sitesini kapattı ve yedek verilerle portalı geri yükledi.
Tahrif saldırısı, belirlenen bir zamanda otomatik olarak tahrif için ayarlanmış bir komut dosyası aracılığıyla değil, manuel olarak gerçekleştirildi. Zhora, bunun tahrifleri birden fazla aktörün koordine ettiğini gösterdiğini söylüyor. Araç sigortası portalındaki verilerin silinmesi de manuel olarak yapıldı.
Ayrıca, tahrifatın Polonya’yı suçlamak için sahte bayrak operasyonu girişimi olabileceği de düşünülüyor. Dışişleri Bakanlığı internet sitesine gönderilen tahrif mesajı, Polonyalı vatanseverler tarafından yazılmış gibi gösterilmek suretiyle Ukrayna ile Polonya arasındaki bölünmeyi karıştırmak için tasarlanmış görünüyor. Ve tahrifatta kullanılan görüntünün meta verileri, Polonya’dan geldiğini gösteriyor. Ancak Polonyalı gazeteciler, tahrifattaki Polonyalı metnin, Polonyalı olmayan biri tarafından yazıldığını ve metnin muhtemelen Google Translate aracılığıyla üretildiğini gösteren üslup sorunları olduğunu fark etti.
Daha sonra cuma günü, saldırılardan etkilenen bazı devlet kurumları DDoS saldırılarının da hedefi oldu. Bu saldırılar, meşru trafiğin sitelere erişmesini kasıtlı olarak önlemek için web sunucularına gönderilen trafik akışını içeriyordu. Pazartesi günü ise başka bir tahrifat saldırısı meydana geldi, bu kez hedefte kamu ihalelerine ilişkin faaliyette bulunan Pro Zorro’ya ait bir web sitesi vardı.
HACKERLAR KİTLESEL BİR TAHRİFATI NASIL BAŞARDILAR?
Araştırmacılar saldırganların birden fazla yöntem kullanmış olabileceklerine inanıyorlar. Saldırıya uğrayan web sitelerinin çoğu OctoberCMS adlı aynı yazılımı kullanıyordu. Bu durum araştırmacıların hackerların OctoberCMS yazılımında bilinen bir güvenlik açığını kullanarak web sitelerinin gizliliğini tehlikeye attığına inanmalarına neden oldu. Saldırıya uğrayan 70 sitenin yaklaşık 50’si de Kitsoft adlı Ukraynalı bir şirket tarafından tasarlanmıştı ve aynı şirket tarafından yönetilmekteydi. Araştırmacılar Kitsoft’un gizliliğinin de tehlikeye atıldığını belirlediler ve bu da hackerların Kitsoft’un yönetici paneline erişmesine ve şirketin kimlik bilgilerini müşteri web sitelerini tahrif etmek için kullanmasına izin verdi.
Bununla birlikte, etkilenen sitelerin tümü Kitsoft tarafından yönetilmemekteydi, bu nedenle araştırmacılar hala bazılarının OctoberCMS sistemindeki bir güvenlik açığı veya başka bir ortak yazılım aracılığıyla tehlikeye atılmış olabileceğine inanıyor. Saldırıların son zamanlarda çok sayıda yazılım programı tarafından kullanılan açık kaynaklı bir kitaplıkta keşfedilen Log4j güvenlik açığını kullanıp kullanmadığı üzerinde de duruyorlar.
SALDIRILAR HENÜZ BİR BAŞLANGIÇ MI?
Tahrifatların gerçekleşmesinden iki gün sonra, Ukrayna ulusal güvenlik ve savunma konseyi sekreter yardımcısı Serhiy Demedyuk Reuters’e verdiği demeçte, tahrifatların “perde arkasında gerçekleşen ve yakın gelecekte hissedeceğimiz sonuçları daha yıkıcı eylemler için sadece bir örtü olduğunu” söyledi.”
Dermedyuk ayrıntı vermedi, ancak birkaç saat sonra Microsoft, tahrifatların gerçekleştiği gün Microsoft’un “Ukrayna hükümeti ile yakın çalışan birkaç Ukrayna devlet kurumuna ve kuruluşuna” ait sistemlerde yıkıcı kötü amaçlı yazılım tespit ettiğini açıkladı.”
Microsoft, kuruluşların isimlerini vermedi ancak aralarında “kritik yürütme organı veya acil müdahale işlevleri sağlayan” kurumların yanı sıra, web siteleri yakın zamanda tahrif edilmiş devlet kurumları da dahil olmak üzere kamu ve özel sektör müşterileri için web sitelerini yöneten bir BT firması yer aldığını söyledi. Microsoft BT firmasının ismini vermedi, ancak açıklama Kitsoft’a uyuyor.
Kitsoft, Pazartesi günü Facebook sayfasına gönderilen bir mesajda, silici yazılım tarafından enfekte olduğunu ve altyapısının bir kısmının hasar gördüğünü belirttiğini doğruladı. Ancak şirket sözcüsü Alevtina Lisniak gönderdiği bir e-postada söylediklerinden geri adım attı: “Birkaç bölüme virüs bulaştı ve bu nedenle gizlilikleri tehlikeye atılmış oldu, bu yüzden bu kısımları sıfırdan yeniden yüklemeye karar verdik Kitsoft’un silici yazılımla enfekte olup olmadığı sorulduğunda ise soruşturmanın sürdüğünü ifade etti.
Şirketin sözcüsü, dolaylı olarak bahsettiği “virüslerin” WhisperGate adlı silici kötü amaçlı yazılımın bileşenleri olduğunu ve silici yazılımın ana önyükleme kayıtlarının üzerine yazıldığını söylüyor. Bu kayıtlar sabit sürücü ön yüklendiğinde işletim sistemini bir cihazda başlatmaktan sorumlu olan kısmı.
Lisniak, “Üzerine yazılmış bazı ana önyükleme kayıtları keşfettik ve daha fazla saldırı olmasını önlemek için altyapıyı durdurduk.” ifadelerini kullandı. Bu, yalnızca silici yazılımın ilk aşamasının etkinleştirilebileceğini gösterir, ancak bu hala belirsizdir.
Microsoft’un WhisperGate adını verdiği kötü amaçlı yazılım, görünürde fidye yazılımı taklit ediyor. Ama bu onun altında yatan, daha yıkıcı yeteneğinin bir örtüsü. WhisperGate, sistemleri çalışamaz hale getirmek için virüslü sistemlerdeki kritik dosyaları silmek veya üzerine yazmak üzere tasarlanmış bir yazılım.
WHISPERGATE NASIL ÇALIŞIYOR?
Whispergate’in üç aşaması bulunuyor. İlk aşamada, hackerlar whispergate’i bir sisteme yüklüyor ve cihazın kapanmasına neden olmak suretiyle yazılımı çalıştırıyor. Kötü amaçlı yazılım, cihaz önyüklendiğinde işletim sisteminin başlatılmasından sorumlu sabit sürücünün bölümünün üzerine yazar. 10.000 $ değerinde Bitcoin talep eden bir fidye notu ile sistemin üzerine yazıyor.
Notta “Sabit sürücünüz bozuldu. Kuruluşunuzun tüm sabit disklerini kurtarmak istiyorsanız, bitcoin cüzdanı üzerinden 10 bin ABD doları ödemelisiniz. Daha fazla talimat vermek üzere sizinle iletişime geçeceğiz.” yazıyor.
İkinci ve üçüncü aşamalar halihazırda gerçekleşmiş durumda. Ve şu şekilde gerçekleştiği biliniyor: Kötü amaçlı yazılım bir Discord kanalına ulaştı ve başka bir kötü amaçlı bileşeni aşağı çekti, bu da virüslü sistemdeki diğer birçok dosyayı bozdu.
Sentinelone’un baş tehdit araştırmacısı Juan Andrés Guerrero-Saade, elektrik kesintisi gerçekleştiğinde bunun muhtemel olduğunu söylüyor. Sistem tekrar açıldığında fidye mesajı görüntüleniyor. Kullanıcı fidye yazılımı mesajını görüyor ve sistemin şifresini çözmek için para ödemeleri gerektiğine inanıyor.
Guerrero-Saade, enfeksiyonların nasıl geliştiği hakkında hala bilinmeyen çok şey olduğunu söylüyor: “Enfeksiyon vektörünü bilmiyoruz … saldırıları nasıl düzenlediklerini bilmiyoruz.”
Microsoft, blog yazısında, herhangi bir sistemin gerçekten silinip silinmediği veya kötü amaçlı yazılımın, hackerlar bir güç kesintisi ile başlatmadan önce sistemlerde bulunup bulunmadığı konusu net değil. Zhora, bir fidye mesajı görüntüleyen bazı devlet sistemlerinin farkında olduğunu söyledi, ancak araştırmacılar şu ana kadar Microsoft’un keşfettiği silici yazılımın doğru olup olmadığını belirleyemediler çünkü sistemlere erişilemiyor.
Microsoft, fidyeyi ödemek için Bitcoin cüzdan adresinin 14 Ocak’ta küçük bir para transferi aldığını söyledi. Ancak, mağdurların faillerle iletişim kurması için bir web sitesi veya destek portalı yoktu. Fidye yazılımı notu, mağdurların genellikle fidye yazılımı operatörleriyle iletişimlerine dahil etmeleri talimatı verilen özel bir kimlik içermiyordu.
Zira bu kimlik sayesinde operatörler kurbanları kilitlenen sistemlerini açmak için gereken şifre çözme anahtarı verebiliyordu. Bütün bunlar Microsoft’un kötü amaçlı yazılımın fidye kısmının sadece bir hile olduğuna ilişkin tespitini destekler nitelikte.
TAHRİFAT SALDIRILARI VE SİLİCİ YAZILIMI İLİŞKİLİ Mİ?
Silici yazılımının tahrifat için hedeflenen aynı kurumlardan bazılarına bulaşmış olması ve tahrifatın gerçekleştiği gün bulunmuş olması, iki olayın birbiriyle ilişkili olduğunu gösteriyor. Ancak Ukraynalı araştırmacılar terabaytlarca logu inceliyorlar ve hala iki olayın bağlantılı olup olmadığını ve tahrifatların silici yazılımların sistemlere yerleştirme noktasında bir örtü olup olmadığını veya zamanlamanın tesadüf olup olmadığını bilmiyorlar. Ayrıca kötü amaçlı yazılımların sistemlere nasıl girdiğini de bilmiyorlar. Silici yazılımın tahrif edilen aynı sistemlere bulaşıp bulaşmadığı da belli değil.
