Kosta Rika’da birçok bakanlık ve devlet kurumunun verilerini ele geçiren Conti fidye yazılım grubu, halka seslenerek istedikleri ödemeyi yapmayan hükümeti devirmelerini istedi.
Orta Amerika ülkesi Kosta Rika’da siber güvenlik alanında oldukça ilginç bir gelişme yaşandı. Siber suç örgütü Conti, geçen aydan bu yana yaptığı saldırıları geri çekmek için Kosta Rika hükümetinden fidye talep etti. 8 Mayıs tarihinde başa geçen çiçeği burnunda cumhurbaşkanı Rodrigo Chaves Robles’e seslenerek daha fazla ödeme yapacak bir hükümet kurmasını isteyen çete, halka da rejim değişikliği için ayaklanma çağrısında bulundu.
Conti tarafından verilen mesajda, “Kosta Rika’nın tüm sakinlerine sesleniyorum, hükümetinize dönün ve en kısa zamanda ödeme yapmaları için mitingler düzenleyin.” denildi. İnternet üzerinden sesini duyurmaya çalışan grubun açıklamasındaki “Peki ya hükümetiniz durumu istikrara kavuşturamazsa? Belki de onu değiştirmeye değerdir?” ifadeleri dikkat çekti.
Conti, Maliye Bakanlığı, Çalışma ve Sosyal Güvenlik Bakanlığı, Sosyal Kalkınma ve Aile Ödenekleri Fonu ve Alajuela’daki bir Kosta Rika Üniversitesi sitesindeki verileri şifreledi. Çete ele geçirdiği 670 gigabayttan fazla verinin %97’sini sızdırdıklarını iddia etti.
Cumhurbaşkanı Rodrigo Chaves Robles, verilerin çalınması ve 10 milyon dolar olduğu iddia edilen fidye talebi üzerine ülke genelinde olağanüstü hal ilan etti.
Yıldız Teknik Üniversitesi Teknopark’a gerçekleştirilen siber saldırıda kişisel veriler tehdit aktörlerinin eline geçti.
Teknoparkta, yazılım, bilişim ve iletişim teknolojileri, telekomünikasyon, elektronik, ilaç, makine ve teçhizat imalatı, kimya, havacılık, enerji, savunma sanayi, inşaat, gıda gibi birçok sektörde ar-ge çalışmaları yürütülüyor.
Fidye talep edilen bir not bulunmasıyla veri ihlalinin tespit edildiği siber saldırıda çalışanların, kullanıcıların ve müşterilerin kimlik, iletişim, lokasyon, özlük, müşteri işlem ve finans verileri tehdit aktörlerinin eline geçti.
TOPLAM 802 MİLYON DOLAR AR-GE İHRACATI BULUNUYOR
Girişimci üniversite modeli doğrultusunda teknoloji geliştirme bölgesi açma faaliyetlerine katkı vererek 2003 yılında Yıldız Teknik Üniversitesi tarafından kurulan YTÜ Teknopark, siber saldırıya uğradı.
Bünyesinde 438 ar-ge firması, 109 kuluçka firması ve 8 binden fazla kalifiye ar-ge ve yazılım personeline ev sahipliği yapan YTÜ Teknopark’ın 802 milyon dolar toplam ar-ge ihracatı bulunuyor. 5 Mayıs’ta veri ihlali yaşadığını resmî internet sitesinden duyuran YTÜ Teknopark, yaşanan ihlalden kaç kişinin etkilendiğini henüz tespit edemediklerini bildirdi.
KİMLİK, İLETİŞİM, LOKASYON, ÖZLÜK, MÜŞTERİ İŞLEM VE FİNANS BİLGİLERİ ÇALINDI
YTÜ Teknopark’ın resmî sitesinden yapılan açıklamada, “Türkiye genelinde 2 ile 4 Mayıs 2022 tarihleri arası bayram tatilinde uluslararası şebekeler tarafından birçok şirkete siber saldırı gerçekleştirilmiştir. Yıldız Teknoloji Geliştirme Bölgesi Teknopark A.Ş. sunucu ve sistemlerinde de 05.05.2022 tarihinde bir siber saldırı gerçekleştirildiği tespit edilmiştir. Konu hakkındaki inceleme ve çalışmalarımız devam etmektedir.
Siber saldırı nedeniyle Şirketimiz tüm sistemleri kapatmış olup erişim sağlanması engellenmiştir. Sistemlerimizde şu ana kadar herhangi bir veri kaybı tespit edilememiştir. İhlalden etkilenme riski bulunan kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, müşteri işlem, finans, mesleki deneyim bilgileri olduğu öngörülmektedir.” ifadeleri kullanıldı.
ARGEPORTAL, EBYS, eBA, PDKS VE LOGO YAZILIMLARI ETKİLENDİ
YTÜ Teknopark’a yönelik gerçekleştirilen siber saldırı sonucunda KVKK bildirimi geldi. Yapılan KVKK bildiriminde; “Veri sorumlusu sıfatını haiz Yıldız Teknoloji Geliştirme Bölgesi Teknopark AŞ tarafından Kurula iletilen veri ihlal bildirimlerinde özetle;
İhlalin 03.05.2022 tarihinde veri sorumlusuna ait sistemlere siber saldırı gerçekleştirilmesi neticesinde sistemlerin devre dışı bırakılması ile gerçekleştiği,
05.05.2022 tarihinde fidye talep edilen bir not bulunması sonucu veri ihlalinin tespit edildiği,
İhlalden etkilenen sistemlerin, veri sorumlusuna ait Argeportal, EBYS, eBA, PDKS, Logo yazılım ve şirket içi ortak alan olduğu,
İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, müşteri işlem, finans, mesleki deneyim bilgileri olduğu,
İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve müşteriler olduğu,
İhlalden etkilenen kişi sayısının henüz tespit edilemediği
bilgilerine yer verilmiştir.” ifadeleri kullanıldı.
Rusya merkezli fidye yazılım grubu Conti, Rusya’ya karşı gerçekleştirilecek herhangi bir saldırı durumunda karşı harekete geçerek siber saldırı düzenleyeceklerini açıkladı. Ukrayna işgalinin başlaması üzerine Kiev yönetimi, ‘vatansever’ hackerlara Rus ordusuna saldırı çağrısında bulunmuştu.
ABD’li ve Avrupalı şirketlere milyonlarca dolarlık şantaj yapmak için fidye yazılımı kullandığı bilinen Rusya merkezli bir siber suç örgütü Conti, Ukrayna’ya dört bir koldan saldıran Rusya’ya işgaline karşı herhangi bir saldırıda bulunacaklara karşı siber saldırı düzenleme tehdidinde bulundu.
Conti, İkinci Dünya Savaşı’ndan bu yana bir Avrupa devletine yönelik en büyük saldırıyı gerçekleştirerekRusya komşusu Ukrayna’ya kuzeyden, doğudan ve güneyden saldıran Rus ordusuna ve Putin yönetimine “tam destek” verdiğini açıkladı.
Conti, yayınladığı blog yazısında, “Rusya’ya karşı siber saldırı veya herhangi bir savaş faaliyeti düzenlemeye karar veren olursa, eldeki tüm kaynaklarımızı düşmanın kritik altyapılarına karşılık vermek için kullanacağız.” tehdidinde bulundu.
Ukrayna, askeri işgalin yanı sıra siber saldırılara da maruz kalıyor. Ukrayna hükümeti, işgalin başladığı 24 Şubat’ta, ülkenin yer altı bilgisayar korsanlarını kritik altyapıyı korumak ve Rus birliklerine karşı siber casusluk yapmak için gönüllü olmaya çağırmıştı.
Reuters’a konuşan ABD’li siber güvenlik şirketi Mandiant’ın direktörü Kimberly Goody, “Conti fidye yazılımı grubundaki üyelerin bir kısmı Rusya’da bulunuyor ve bir kısmının Rus istihbaratıyla bağları olduğu belgelenmiş durumda.” dedi. Kremlin’in geçmişte de siber suçlularla dirsek teması hâlinde olduğunu ifade eden Goody, bu aktörlerin doğrudan yönlendirilmeseler dahi bağımsız operasyonlar yürütebileceklerini ifade etti.
İlk kez 2019’da eyleme geçtiği tespit edilen Conti, çok sayıda Batılı şirketine yönelik fidye yazılımı saldırısı gerçekleştirdi. Bu saldırılarda, operasyonları kesintiye uğratan hackerlar erişimin yeniden sağlanması için ödeme talep etti. FBI, geçtiğimiz yılında Mayıs ayında Conti’nin ABD’li 16 sağlık kuruluşuna düzenlenen saldırılardan sorumlu olduğunu açıklamıştı.
İtalya’da yapay zeka teknolojisi kullanan firma, kritik bir siber saldırıyı önledi.
Siber güvenlikte yapay zeka kullanımı alanında hizmet veren Darktrace, Otonom müdahale teknolojisi Antijena’nın, büyük bir İtalyan elektronik distribütöründe kripto madenciliğine bağlı kötü amaçlı yazılımları çalıştırmak amacıyla bir GitLab güvenlik açığından yararlanan siber saldırıyı durdurduklarını açıkladı.
Güvenlik açığı, saldırganların özel kaynak kodunu silme, değiştirme ve sızdırma yeteneği de dahil olmak üzere rastgele komutlar çalıştırmasına olanak tanıyor.
Araştırmalar, zafiyete yönelik bir yamanın yayımlanmasından 6 ay sonra, 30 binin üzerinde “herkese açık” GitLab sunucusunun yamalı halde kaldığını ve kullanıma açık durumda olduğunu ortaya koydu.
VİRÜSLÜ CİHAZLARI OTONOM OLARAK KARANTİNAYA ALIYOR
Kendi Kendine Öğrenme yeteneğine sahip yapay zekâ tarafından desteklenen Darktrace teknolojisi, her kuruluş için normalin dışındaki faaliyetleri tespit etmesini sağlayan bir anlayış geliştiriyor. Bu anlayış sayesinde Antigena’nın mikro kararlar alabildiği ve virüslü cihazları otonom olarak karantinaya alarak, şüpheli cryptojacking tehdit aktörünün yanal hareketini önlediği düşünülüyor. Üstelik tüm bunları iş kesintisi olmadan yapabildiği de gelen bilgiler arasında.
CISO’nun ofis dışında olduğu, iki hafta daha geri dönmeyeceği ve şirketin küçük bir güvenlik ekibine sahip olduğu düşünüldüğünde, yapay zeka teknolojisi olmasa saldırının şirketi finansal ve itibar açısından etkileyecek aksaklıklara neden olacağı kaçınılmaz olarak değerlendiriliyor.
Saldırgan, kripto para üretmek için GitLab güvenlik açığını kullanırken yakalanmış olsa da bu güvenlik açığının kullanılması, daha yıkıcı bir fidye yazılımı saldırısının ilk aşaması olarak hizmet etmiş veya fikri mülkiyet hırsızlığına neden olmuş olabilir.
Darktrace, her günün her dakikasında otonom müdahale teknolojisinin bir tehdidin tırmanmasını engellediğini ve saniyeler içinde harekete geçebileceğini bildiriyor.
İngiltere Dışişleri Bakanlığı, siber saldırıya uğramasının ardından “acil durum” bildirisi yaparak güvenlik yüklenicisinden acil yardım istedi.
Dışişleri, İngiliz Milletler Topluluğu ve Kalkınma Ofisi (FCDO), acil destek talebi ile sonuçlanan “ciddi bir siber güvenlik olayının” hedefi oldu. Kurum, denizaşırı ülkelerdeki 280 büyükelçilik ve yüksek komisyonlar dahil olmak üzere diplomatik ve kalkınma ofislerinde 17 bin 300 personel istihdam ediyor.
İHALE DOĞRUDAN BAE SYSTEMS APPLIED INTELLIGENCE’A VERİLDİ
İngiltere hükümeti, olayın açığa çıkmasının ardından güvenlik hizmeti almak adına ihaleye çıktı. Kesinleşen ihale bildiriminde FCDO’nun BAE Systems Applied Intelligence’a ciddi bir siber güvenlik olayına maruz kalmasının ardından 467 bin 325 pound ödediği ve konuyla ilgili daha fazla ayrıntı verilmediği bildirildi. Başka şirketlerin başvuruları değerlendirilmeden, durumun aciliyeti dolayısıyla ihale doğrudan BAE Systems Applied Intelligence’a verildi. FCDO işin aciliyeti ve kritikliği nedeniyle rekabet prosedürlerini gerçekleştirmedi.
Kesinleşen ihale bildiriminde “Hak sahibi tedarikçi, kurumun uzun vadeli hizmet yönetimi entegratörü olarak işlev görüyor ve bu nedenle Kurumun altyapısı hakkında önemli bilgi ve anlayışa sahip kaynaklara sahip” ifadeleri yer aldı.
Dışişleri, İngiliz Milletler Topluluğu ve Kalkınma Ofisi (FCDO) sözcüsü ise şunları söyledi: “Güvenlik hakkında yorum yapmıyoruz, ancak potansiyel siber olayları tespit etmek ve savunmak için sistemlerimiz mevcut.”
KİMLİĞİ BELİRSİZ HACKERLAR SALDIRDI
BBC’den gelen bir rapor, kimliği belirsiz hackerların FCDO sistemlerine girdiğini, ancak daha sonra tespit edildiğini ekliyor.
Forrester’ın baş analisti Paul McKay,” FCDO’nun bir siber saldırının hedefi olması ve şu anda içinde bulunduğumuz karmaşık jeopolitik durum göz önüne alındığında düzenli olarak hedef alınması şaşırtıcı değil” dedi ve ekledi: “İhlalin niteliği, nasıl tespit edildiği ve saldırı motivasyonunun ne olduğu hakkında fazla bir şey bilmiyoruz”