Almanya hafta başında Alman politikacıları hedef alan siber saldırılardan Rusya’yı sorumlu tuttu .
Dışişleri Bakanlığı Sözcüsü Andrea Sasse, başkent Berlin’de yaptığı açıklamada, “Hükümet olarak Rusya’yı bu kabul edilemez siber faaliyetleri derhal durdurmaya davet ediyoruz.” ifadelerinin kullandı.
Sasse, Almanya’dan bir bakanlık yetkilisinin geçen hafta doğrudan doğruya Rusya Dışişleri Bakanlığı temsilcisine aynı talebi ilettiğini ifade etti.
ALMAN SİYASETÇİLER, KİMLİK AVI SALDIRILARIYLA HEDEF ALINDI
Sasse, Ghostwriter adlı bir hacker grubunun geleneksel siber saldırı yöntemlerini dezenformasyon operasyonlarıyla birleştirdiğini ve bir süredir Almanya’yı hedef aldığını gözlemlendiklerini söyledi.
Sasse, Almanya’da 26 Eylül’de gerçekleştirilecek seçim öncesinde, milletvekillerinin kişisel giriş bilgilerini almaya yönelik kimlik avı saldırılarının düzenlendiğini söyledi.
Alman basınında çıkan haberlerde, iktidardaki koalisyona dahil partilerden bazı milletvekillerinin saldırıdan etkilendiği belirtiliyor.
ABD, son yıllarda farklı ülkeleri de etkileyen kritik alt yapı saldırılarını ve sorumlu siber tehdit aktörlerini deşifre etti.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI’dan yapılan ortak açıklamada, kritik altyapıları kontrol eden ve işleten endüstriyel kontrol sistemlerine (ICS) yönelik güvenlik tehditlerinin ülkenin en önemli ve büyümekte olan sorunlarından biri olduğu belirtildi.
CISA ve FBI, kritik alt yapıya yönelik risklerle ilgili farkındalığı artırmak ve gerekli siber korumayı güçlendirmek için ortak bir tavsiye notu ve güncellemeler paylaştı.
İlk tavsiye notu Çin’in 2011-2013 yıllarında gaz boru hattına yönelik saldırısına ilişkin paylaşıldı. Olaya ilişkin ilk uyarı 2012’de etkilenen paydaşlara iletilmişti.
ICS’lere yönelik diğer tavsiye notunda ise İranlı siber tehdit aktörlerinin Shamoon olarak da bilinen W32.DistTrack adlı zararlı yazılımla kritik altyapılardaki önemli bilgilerin çalındığı belirtildi.
Havex adlı zararlı yazılıma ilişkin notta, saldırıyı Rusya devleti destekli siber tehdit aktörlerinin gerçekleştirdiği olaydan İspanya,İtalya,Almanya ve Fransa’nın da etkilendiği belirtildi.
Açıklamada Rusya’dan başka bir tehdit aktörünün ise Black Energy adlı yazılımla, kritik alt yapılara yönelik halen devam etmekte olan saldırılar düzenlediği ifade edildi.
TEHDİT AKTÖRLERİNİN ÇOĞUNLUĞU RUSYA’DAN
Rusların aynı zamanda Ukrayna’nın kritik altyapılarını hedeflediklerine dikkati çeken yetkililer, 2015’te düzenlenen saldırıyı hatırlattı. Açıklamada KillDisk zararlı yazılımının sistemlerdeki kritik bilgileri silme yeteneğine sahip olduğu vurgulandı.
Açıklamanın sonunda CrashOverride adlı zararlı yazılıma ilişkin teknik uyarı da yer aldı. Yetkililer Rusya destekli siber tehdit unsurlarının söz konusu yazılımı 2016 yılında Ukrayna’nın kritik alt yapılarına yönelik saldırıda kullandığını açıkladı.
İngiltere ve ABD, çeşitli kurum ve kuruluşların bulut bilişim sistemlerine sızmak için Rus askeri istihbaratına bağlı siber aktörlerin kullandığı saldırı tekniklerini açıklamak için bir araya geldi.
ABD Ulusal Güvenlik Dairesi (NSA), Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) ve İngiliz Ulusal Siber Güvenlik Merkezi’nin (NCSC) bir araya geldiği açıklamada, ABD ve Avrupa’da yaşanan saldırıların Rus imzası taşıdığı belirtilirken, Rus askeri istihbarat teşkilatı GRU’ya bağlı siber aktörlerin, hükümet daireleri, enerji firmaları ve pek çok kurum ve kuruluşun bulut bilişim sistemlerine sızmak için kullandığı “brute-force” teknikleri de paylaşıldı.
SALDIRILAR 2019’DA BAŞLADI
Rus askeri istihbaratı GRU’ya bağlı siber aktörlerin, Kubernetes adlı açık kaynaklı aygıt kullanılarak operasyonlarını 2019’un ortalarından 2021’in başına kadar sürdürdüğü kaydedilirken, NSA’in öncülüğünde yapılan açıklamada, “Saldırılar öncelikle ABD ve Avrupa’ya odaklandı. Özellikle hükümetler, ordular, savunma yüklenicileri, enerji şirketleri, yüksek öğrenim, lojistik şirketleri, hukuk firmaları, medya şirketleri, siyasi danışmanlar, siyasi partiler ve düşünce kuruluşları hedef alındı.” ifadeleri kullanıldı.
Rus askeri istihbaratı GRU’ya bağlı kötü niyetli siber aktörlerin, hedefledikleri kurum ve kuruluşlara sızmak için “brute-force” denilen “kaba kuvvet” tekniği kullandıkları belirtildi. Brute-force saldırıları, bir sisteme erişmek için kötü niyetli aktörlerin, olası şifre varyasyonlarını otomatik olarak deneyerek hedefledikleri sistemleri adeta bombardımana tutması olarak biliniyor.
Söz konusu “brute-force” saldırılarıyla e-posta, hesap kimlik bilgileri gibi çeşitli korunaklı verilere erişim sağlanabililiyor. Bunun yanı sıra güvenlik zafiyetlerini istismar eden aktörler bu yolla; sisteme erişim, kalıcılık, ayrıcalık yükseltme, uzaktan kod yürütme gibi çeşitli saldılar gerçekleştiriyor.
Brute-force saldırılarının yanı sıra Microsoft Office 365 bulut bilişim sistemlerinde bulunan güvenlik zafiyetlerini istismar ederek de hedefledikleri sistemlere erişmeye çalışan aktörlerin kendilerini gizlemek amacıyla çeşitli VPN hizmetlerini kullandıkları açıklandı.
Dünyada birçok firmaya darbe vuran şok saldırı Kaseya, son yılların en büyük fidye yazılım saldırısı olarak nitelendiriliyor.
Rusya destekli REvil fidye yazılım çetesi, Kaseya’nın VSA yazılımındaki bir zafiyetten faydalanarak birden fazla yönetilen hizmet sağlayıcısına (MSP) ve onların müşterilerine yönelik bir tedarik zinciri fidye yazılımı saldırısı gerçekleştirdi.
Şu ana kadar fidye talebi rekorunu elinde bulunduran grub bu kez talebi daha da yükselterek 70 milyon dolara çıkardı. REvil daha önce Tayvanlı teknoloji devi Acer’e düzenlediği saldırı sonrası 50 milyon dolar fidye istemişti.
İsveç’te bir market zinciri, Yeni Zelanda’daki okullar ve ABD’de KOBİ’ler saldırının kurbanları arasında yer alıyor.
ABD Başkanı Joe Biden da fidye yazılım saldırısı tehdidini milli güvenlik açısından birinci öncelik seviyesine çıkardı.
KAÇ ŞİRKET ETKİLENDİ?
Geçen hafta sonu Rusya destekli REvil grubunun düzenlediği saldırıdan şu ana kadar Kaseya firmasının da teyit ettiği en fazla 60 müşteri bulunuyor. Ancak dolaylı olarak etkilenen firma sayısı 1500’ü buluyor.
NEDEN BU TARİH SEÇİLDİ?
Siber tehdit aktörleri özellikle ABD’de bağımsızlık bayramı olarak kutlanılan 4 Temmuz Pazar gününün olduğu haftasonu gelmeden cuma günü harekete geçti. Bu periyotta firmalar çalışanlarına izin veriyor ve IT çalışanları da aynı izinden faydalanıyor.
Saldırının bu zaman diliminde gerçekleşmesi firmaları savunması yakalaması açısından daha yıkıcı oldu.
SALDIRI NEDEN FİRMALARI BÜYÜK ÇAPTA ETKİLEDİ?
Tehdit aktörlerinin Kaseya üzerinden bulduğu zafiyet onların binlerce sisteme sızmaları için büyük bir fırsat oldu. Çünkü ABD merkezli teknoloji firması Kaseya birçok firmaya IT yönetim yazılımı hizmeti sunuyor.
Söz konusu networke sızmak isteyen REvil grubu hackerları Kaseya’nın VSA yazılımını hedef aldı. Zafiyetten faydalanarak sisteme erişim sağlayan saldırganlar zararlı yazılımlarını bu yolla binlerce firmaya bulaştırdı ve sistemler kullanılamaz hale geldi.
Kaseya’nın müşterilerine ivedilikle sunucularını kapatma uyarısı ise yeterli olmadı.
SALDIRIDAN KİMLER ETKİLENDİ?
Saldırıdan en az 17 ülkeden birçok kurum ve şirket etkilendi. Etkilenen sektörler arasında finans hizmetleri, turizm firmaları, kamu kuruluşları bulunuyor.
Kaseya CEO’su Fred Voccola, saldırıdan diş klinikleri, mimarlık ofisleri, estetik cerrahi klinikleri ve kütüphaneler gibi küçük çaptaki firmaları etkilediğini açıkladı.
REvil grubu ise 1 milyondan fazla sistem ve networkün saldırıdan etkilendiğini öne sürüyor.
İsveç’ten süpermarket zinciri Coop, kasalarda meydana gelen yazılım probleminden dolayı 800 mağazasının çoğunu kapatmak zorunda kaldı. Ülkede bir eczane zinciri ve demir yolları firması da saldırıdan etkilenen kuruluşlar arasında.
Yeni Zelanda’da ise birçok okul saldırıdan dolayı kapısına kilit vurmak zorunda kaldı. Almanya ve Hollanda’da ise IT firmaları saldırıdan olumsuz etkilendi.
HANGİ ÖNLEMLER ALINMALI?
Öncelikle MSP’lerin Kaseya VSA Tespit Etme Aracını (Kaseya VSA Detection Tool) indirmesi gerekiyor. Söz konusu araç VSA sunucusu veya yönetilen uç noktayı analiz ediyor ve herhangi bir güvenlik ihlali (IoC) göstergesinin mevcut olup olmadığını tespit ediyor.
Şirketin kontrolündeki tüm hesaplarda ve müşteriye yönelik hizmetler için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri tavsiye ediliyor.
Firmaların izin verilenler listesi uygulaması veya Uzaktan Görüntüleme ve Yönetim (RMM) arabirimlerini bir VPN ya da ayrılmış bir yönetim ağı üzerindeki bir güvenlik duvarının arkasına yerleştirmesi ise uzmanların önerileri arasında yer alıyor.
İngiltere ve Hollanda Kraliyet Donanmalarına ait iki savaş gemisi, Karadeniz’de yerlerini tespit etmeye çalışan Rus deniz üssünü yanıltmayı başardı.
HMS Defender ve HNLMS Evertsen isimli gemiler Ukrayna’nın Odessa kentinde demirli iken, Rus Deniz Kuvvetleri’nni kontrolündeki stratejik Sivastopol limanının girişine yaklaşmış gibi sinyal verdi.
Karadeniz’de Rusya’nın kontrolü altında bulunan bir deniz üssü, iki NATO savaş gemisinin yerini tespit ederken aldatıldı. Gemilerin deniz üssünün tespit ettiği yere göre 180 mil uzakta bulunduğu ortaya çıktı.
İngiltere Kraliyet Donanması’na ait HMS Defender ve Hollanda Kraliyet Donanması’na ait HNLMS Evertsen isimli savaş gemileri, 18 Haziran’da Ukrayna’nın Odessa kentine uğradı. ABD Donanması’na ait 17 Haziran tarihli fotoğraflara göre grup Karadeniz’de manevra yapıyordu.
Deniz güvenliğini artırmak için konum ayrıntılarını ileten bir otomatik tanımlama sistemi (AIS) sinyaline göre, iki gemi 18 Haziran gece yarısından hemen önce Odessa’dan ayrıldı. Veriler, doğrudan Sivastopol’a gittiklerini ve limanın girişinin iki deniz mili yakınına yaklaştığını gösteriyor. Stratejik liman, Rusya’nın Karadeniz filosunun kalbini teşkil ediyor.
SAHTE SİNYALLER OLDUĞUNA DAİR İKNA EDİCİ KANITLAR VAR
AIS izine karşın, canlı web kamerası yayınları, iki savaş gemisinin Odessa’dan ayrılmadıklarını gösteriyor. Savunma çevrelerinde ve yerel medyada bilinen durum zaten bu şekildeydi. Windy.com gibi üçüncü taraf hava durumu siteleri tarafından arşivlenen ekran görüntüleri de, iki savaş gemisinin o geceyi Odessa’da geçirdiğini gösteriyor.
Birbiriyle çelişen egemenlik iddiaları dikkate alındığında, iki NATO savaş gemisini büyük bir Rus deniz üssünün girişine yerleştirmek kışkırtıcı bir eylem olarak görülecektir. ABD, İngiltere ve Hollanda da dahil olmak üzere uluslararası toplum, çoğunluk itibarıyla Kırım’ı Rus toprağı olarak tanımıyor.
Gemilerin yeri konusundaki aldatmanın sebepleri henüz belirsizliğini korusa da, söz konusu eylem, hem savunma sanayiinde hem de gazeteciler tarafından giderek daha yaygın şekilde kullanılan AIS gibi açık kaynaklı istihbarat verilerinin etkinliği hakkında soru işaretlerini artırmış durumda. AIS izlerinin sahte olduğuna dair ikna edici kanıtlar var.
