Etiket arşivi: Shamoon virüsü

İran, İsrail, Uluslararası İlişkiler

Shamoon kabusu 4 yıl sonra geri döndü!

Yorum yapın

Amerikalı güvenlik firmalarına göre dört sene önce Orta Doğu enerji firmalarına ciddi zarar veren Shamoon zararlısının bir versiyonu, Kasım ortalarında Suudi Arabistan ve bölgede diğer yerlerdeki bilgisayarlara saldırmak için kullanıldı.

İlgili haber >> Shamoon’un ilk bulunduğu saldırı: ARAMCO 

Reuters’ın haberine göre CrowdStrike, Palo Alto Networks Inc ve Symantec Corp. gibi siber güvenlik firmaları geçtiğimiz hafta yeni saldırılar hakkında uyarılarda bulundular. Shamoon’un yeni kurbanları hakkında herhangi bir isim verilmezken ne kadar zararın verildiği ve hackerlerin kim oldukları konusuna dair de bir açıklama yapılmadı. FireEye bir blog yazısında bağlı ortaklığı Mandiant’ın bölgede diğer kuruluşlarda birden çok olaya karşılık verdiğini belirtti.

Disk silici kötü amaçlı yazılımlar içeren yüksek profilli saldırılar çok az sayıda olduğundan Shamoon virüsünün yeniden ortaya çıkışı dikkat edilmesi gereken bir durum oluşturuyor.  Hükümetler ve kurumlar, etkilenmiş sistemlerin yeniden yüklenmesi oldukça pahalı ve zaman kaybına neden olabileceğinden bu gibi tehditlere oldukça önem veriyorlar.

2012 yılında asıl Shamoon hackerleri Saudi Aramco’da ve RasGas Co ltd’de makinelerde yanmış bir Amerikan bayrağı görüntüsü bırakmıştı. Benzer sekilde, saldırı üzerinde çalışan araştırmacılar Shamoon-2 hackerlerinin geçen yıl Akdeniz’de boğulan Suriyeli üç yaşındaki mülteci Alan Kürdi’nin bedeninin rahatsız edici görüntüsünü bıraktıklarını söylediler.

İlgili haber >> RasGas saldırısı: Siber kıyamet habercisi mi?

CrowdStrike teknoloji departmanı şefi Dmitri Alperovitch 2012 yılındaki Shamoon saldırılarının muhtemelen İran hükümeti adına çalışan hackerler tarafından yapıldığını ancak şu an Shamoon 2 saldırısının arkasında aynı grubun olup olmadığını söylemek için çok erken olduğunu söyledi.

Symantec’in Güvenlik ekibi kendi bloğunda “Shamoon’un dört yıl aradan sonra neden aniden geri döndüğü bilinmiyor” dedi. “Fakat son derece yıkıcı kapasitesi ile saldırganların hedeflerinin bunun farkına varmalarını istedikleri açık.”

İlgili haber >> S. Arabistan kim vurduya gitti: İran mı İsrail mi?

Güvenlik firmalarına göre kötü amaçlı yazılım disk silme işleminin 17 Kasım Perşembe günü yerel saatle saat 8:45’de başlaması için tetiklendi. Suudi Arabistan’da kurumlar perşembe günü paydos yapıyor, yani öyle görülüyor ki personelin hafta sonu için ayrılmasından sonrasına zamanlanmış olması fark edilme şansını düşürüp maksimum zarar vermek için yapılmış.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

İran, İsrail, Uluslararası İlişkiler

S. Arabistan kim vurduya gitti: İsrail mi İran mı?

Yorum yapın

Suudi Arabistan, geçtiğimiz iki üç hafta içerisinde kendisini hedef alan virüs saldırısının arkasında İran’ın parmak izlerinin bulunduğunu iddia ediyor. Ancak bu iddia, biraz mantıksız duruyor ve arkasında başka görünmez eller olabileceğini işaret ediyor. Bu oyunda perde arkasında bir başka görünmez oyuncu olabileceği kimsenin görmezden gelemeyeceği bir ihtimal olarak duruyor. Bu “sahte bayrak” saldırısının arkasındaki görünmez el, çok makul şüpheli İsrail de olabilir.

Bloomberg’in haberine göre devlet destekli bazı hackerlar, geçtiğimiz iki hafta boyunca Suudi Arabistan’ı hedef alan “bir dizi yıkıcı saldırı” gerçekleştirdi. Hackerlar, ülkedeki havaalanlarını yöneten ajansı hedef alarak verilerini sildi ve yıkıcı bir zarar sebep oldu. Ayrıca 5 ayrı yer daha hedef alındı. Suudi Sivil Havacılık Genel İdaresi’nde binlerce bilgisayar kullanılamaz hale geldi, kritik veriler silindi ve ajansın çalışmaları birkaç gün boyunca durmak zorunda kaldı.

Bazı ABD merkezli İnternet güvenliği şirketlerinin iddiasına göre bu saldırılar, hackerlar tarafından “Shamoon” adı verilen ve İran hükümeti ile bağlantılı olan bir virüs tarafından gerçekleştirildi.

Bu saldırıları iki teori ile açıklamak mümkün.

Birincisi; bu saldırılar, İran ile Suudi Arabistan ve yoldaşı ABD arasındaki gerilimin tırmanmasını isteyen bir başka yabancı ülkenin yanıltıcı “sahte bayrak” harekâtı olabilir. Kimse bu müdahalede İsrail’in parmağı olmayacağını söyleyemez; çünkü İsrail bu saldırıdan sonra bu durumdan oldukça faydalandı.

İlgili haber >> İsrail onay verdi casus yazılım Araplara satıldı

Washington’da bulunan Stratejik ve Uluslararası Çalışmalar Merkezi direktörlerinden birisine göre “bu saldırıyı kim gerçekleştirdiyse, nükleer anlaşma [İran ve dünya devletleri arasındaki] açısından sonuçlarını gayet iyi biliyor.”

Oyundaki Diğer Devletler

Bu arada, İsrail’in bir hackleme operasyonları geçmişine sahip olduğunu da hatırlamak gerekiyor. 2010 yılında İsrailliler, Amerikalılarla işbirliği yaparak Stuxnet virüsünü kullanarak İran’ın nükleer zenginleştirme tesislerine saldırmışlardı.

İlgili haber >> Stuxnet’in perde arkası: Hedef alınan İranlı şirketler

İkincisi; Suudilerin yaptığı soruşturmaların ilk sonuçlarına göre – ki elbette önyargılı olabilir – “dijital deliller” saldırıların İran’dan kaynaklandığını işaret ediyor.

Ancak İran Cumhurbaşkanı Hasan Ruhani, uluslararası ilişkilerde yumuşama arayan bir isim. Yaptırımların kaldırılmasının getirdiği faydalara güveniyor; ancak İran’ı uluslararası ekonomik belirsizliğin içinden çıkarmak için, yabancı yatırımı çekmek için ve ülkeyi yutan ciddi ekonomik gerilemeyi sonlandırmak için barışçıl bir ortama ihtiyaç duyuyor.

İran ve dünya devletleri arasında nükleer bir anlaşmaya varılması, Ruhani’yi ve İran’ın şu anki bir bütün olarak ılımlı duruşunu güçlendirdi. İran hükümetindeki radikal unsurlar, bu ılımlı başarının altını kazmak amacıyla, Ruhani yönetimine karşı bir dış politika krizi çıkarmak için art niyetli bir adım atmış olabilirler. Ruhani ve yönetimini bir dış politika krizi ile boğuşturarak, bu ılımlı yönetimin ekonomiyi yeniden canlandırma şansını, dolayısıyla Ruhani’nin Mayıs ayındaki seçimlerde yeniden seçilme şansını yitirmesine neden olabilirler.

Shamoon virüsü, 2012 yılında Suudi petrol şirketi Aramco’yu perişan eden virüsle aynı. Amerikan Ulusal Güvenlik Ajansı tarafından yazılan ve muhbir Edward Snowden tarafından ifşa edilen Nisan 2013 tarihli bir gizli belgede bu virüsle ilgili doğrudan İran işaret ediliyordu.

İlgili haber>> Shamoon’un ilk ortaya çıktığı saldırı: Aramco

Bu açıdan, geçmişte benzer siber saldırılara maruz kalmış olan İran’ın, maruz kaldığı saldırılardan çok şey öğrenmiş olduğu görülüyor.

Zira geçmişte İran’ın dış politikasın sabote etmeye yönelik çok sayıda benzer saldırı olmuştu.

Örneğin 2001 yılında İran ve ABD arasında Afganistan konusunda bir uzlaşma sağlamak için perde arkasında görüşmeler başlamıştı. Bu görüşmeler o dönemde İran Devrimi’nden sonra iki ülke arasındaki en sıcak yakınlaşma olarak değerlendiriliyordu, iki devlet Afganistan’daki Taliban rejimini devirmek için adeta işbirliği yapıyordu.

Ancak ilişkilerin bu kadar yumuşadığı bir dönemde Karine A olayı yaşandı. 4 Temmuz 2002’de İsrail, İran’ı Filistin Bölgesi’ne kaçak silah göndermekle suçladı. İsrail askerleri, Karine A isimli bir gemiye el koymuş, iddiaya göre de bu gemide İran’ın Filistin Bölgesi’ne gönderdiği silahlar bulunuyordu. İran iddiaları reddetti.

Ancak bu Karine A hadisesinin zamanlaması, İran-ABD ilişkilerindeki yakınlaşmanın çözülmesini arayan birisi için bundan daha harika bir döneme denk gelemezdi.

İran ve ABD yakınlaşması bir anda yıkıldı ve birkaç hafta sonra ABD Başkanı George W. Bush, İran’ı “şer eksenlerinden biri” olarak ilan etti. İki ülke ilişkileri arasındaki uçurum yeniden derinleşmeye başladı. Washington Post, Karine A hadisesini ABD Dışişleri Bakanlığı’nın İran ile yakınlaşma girişimine vurulmuş büyük bir darbe olarak niteledi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Makale & Analiz

RasGas saldırısı siber kıyamet alameti mi?

Yorum yapın

Siber güvenliği hayatımızın hemen her alanında önemli hâle getiren unsurlardan birisini kritik altyapıların güvenliği oluşturuyor. Bir anlamda ‘siber kıyamet alametleri’ olarak tanımlanabilecek pek çok tehlikeli gelişme sadece devletleri ve özel şirketleri değil kritik altyapılar vasıtasıyla doğrudan biz bireyleri de hedef alıyor.

 

Kritik altyapılara yönelik siber saldırıların önemli bir kısmının enerji alanında gerçekleştiğini görüyoruz. 2012 yılında Suudi Arabistan merkezli Aramco enerji şirketine yapılan saldırı bu nitelikteydi.

 

Aramco’yu takip eden günlerde meydana gelen, ancak gündemde kendisine pek yer bulamayan bir başka saldırı ise Katar merkezli bir enerji şirketi olan RasGas’a karşı gerçekleştirildi.

 

Saldırıların detayıyla ilgili RasGas yetkilileri detaylı bilgi vermekten kaçındı. Ancak yapılan açıklamalara göre şirket, bilgi sistemleri içerisine sızmış ‘tanımlanamayan bir virüs’ keşfetti. Bunun üzerine hızlı bir şekilde saldırıdan etkilenme şüphesi bulunan masaüstü bilgisayarlar, elektronik posta adresleri ve ağ sunucuları virüsün temizlenme aşamasında çevrimdışı oldu. Bu süre içerisinde şirketin dijital hizmetleri kullanıma kapatıldı.

 

Saldırıların nihai hedefi hâlen belirsizliğini korusa da şirketin üretimi saldırılardan etkilenmedi. RasGas şirketi, Qatar Petroleum ile ExxonMobil ortaklığında faaliyet gösteren bir ticari teşebbüs. Şirket yıllık ortalama 36,3 milyon tonluk sıvı doğal gaz ihracatıyla dünyanın en büyük enerji üreticilerinden birisi.

 

Güvenlik şirketlerinin ‘Shamoon’ ve ‘Disstrack’ adlı virüsler hakkında yaptıkları uyarılardan sonra bu saldırıların gerçekleşmesi ise ilgi çekici. Bu virüsleri ayırt edici kılan şey, virüslerin verileri çalmaktan ziyade, geri kurtarılamaz şekilde silmeye çalışmaları. Virüs, bulaştığı sistem içerinde paylaşılan sabit diskler üzerinden hızlı bir şekilde yayılıyor ve ulaştığı verileri kurtarılamayacak şekilde siliyor.

 

Saldırıların üzerinden iki seneden fazla zaman geçse de bugün kritik altyapı güvenliği konusunda yeniden düşünmemiz ve mevcut tedbirlerinin etkinliğini gözden geçirmemiz gerekiyor.

 

Kritik altyapılara düzenlenen saldırılar, amaçladıkları şekilde sistemlere zarar verip üretim sürecini sekteye uğratırlarsa bu aksaklıktan bireyler olarak bizim de etkilenmemiz kaçınılmaz.  Mesela SCADA sistemleriyle işletilen bir nükleer santrale, hidroelektrik santraline, baraja veya su deposuna düzenlenecek bir saldırının sonuçları küçük bir kıyamet yaşamamıza sebep olabilir.

 

Bu saldırıların hayatımızın işlevselliğini ortadan kaldırması için illa ki büyük yıkımlara sebep olması da gerekmiyor. En basitinden Çankaya Nüfus Müdürlüğü’nün veritabanının hacklendiğini ve burada yaşayan 915.000 insanın vatandaşlık bilgilerinin değiştirildiğini düşünelim. Bu bilgilerin illa ki silinmesi veya çalınıp yabancı istihbarat örgütlerine satılması gerekmiyor. Sadece bu verilerin güvenilirliğiyle oynanması dahi yeterli. Böyle bir saldırının fark edilmesi ve uğranılan zararın tespiti çok zor.

 

RasGas örneğinin bize verdiği en önemli ders, siber saldırılara hedef olmamak için her şeyin yapılması gerektiği yönünde değil. Elbette siber saldırıların hedefi olabiliriz. Siber saldırılar, ister birey ister özel şirket ister devlet olalım, hayatımızın hiç beklemediğimiz bir anında gelip başımıza dert olabilir. Ancak önemli olan saldırılar meydana geldikten sonra zararın en düşük seviyede tutulup en kısa sürede giderilebilmesi, yani rezilyans. RasGas şirketi, kriz yönetim sürecini etkili bir şekilde uygulayarak sistemlerini kısa sürede işler hâle getirebilmeyi başardı. Bunu yaparken üretim faaliyetlerinin etkilenmesine de fırsat vermedi. Nihayetinde de başarılı bir rezilyans örneği sundu.