Türkiye’nin dört bir yanındaki devlet üniversiteleri günlerdir siber saldırıya hedef oluyor. Aynı saldırganın gerçekleştirdiği veri hırsızlığında, toplamda 200 bin öğrenci ve üniversite çalışanının bilgilerinin çalındığı iddia ediliyor.

Dark web forumunda paylaştığı gönderilerde siber tehdit aktörü, üniversitelerin veri tabanlarına yaptığı saldırıyla üniversitelerin öğrenci ve teknik personellerinin adres, telefon, TC kimlik numaraları, öğrenci numaraları, e-posta adreslerini ele geçirdiğini ileri sürmüştü.

SÜREÇ NASIL BAŞLADI?

Sürecin başlangıç noktasını İzmir Kâtip Çelebi Üniversitesi (İKÇÜ) oluşturuyor. İKÇÜ’deki veri tabanı sızıntısı sonrası tehdit aktörü, Diş Hekimliği Fakültesi öğrencilerinin verilerinin bulunduğu 15 sütunluk örnek yayımladı.

İKÇÜ tarafından öğrencilere gönderilen toplu mesaj, telaşa yol açmıştı. Mesajda “Bilindiği üzere 17/10/2021 tarihinde uğradığımız siber saldırı sonucunda öğrenci ve personel bilgileri saldırganlar tarafından ele geçirildi. Yaşanan durumdan dolayı özür diler gerekli işlemlerin başlatıldığını bildiririz.” ifadeleri yer aldı.

İKÇÜ, paylaştığı başka bir mesajda ise “Kurumumuz adına gönderilen sahte SMS mesajları olduğu tespit edilmiştir. Kurumumuz resmi SMS gönderici ismi IKCU ve kodu B002’dir. Diğer gönderilen mesajlara itibar etmeyiniz. Verilerin çalındığı bilgisi doğru değildir.” uyarısında bulunmuştu.

İzmir Kâtip Çelebi Üniversitesi’yle başlayan siber saldırı sürecini Bolu Abant İzzet Baysal Üniversitesi, Erzurum Teknik Üniversitesi ve Kastamonu Üniversitesi takip ederken Hitit Üniversitesi, Gaziantep Üniversitesi, Bartın Üniversitesi, Sivas Cumhuriyet Üniversitesi ve Bakırçay Üniversitesi’nin de siber saldırıya hedef olduğu siber tehdit aktörü tarafında iddia edildi.

Öte yandan Bakırçay Üniversitesi’nden sızdırılan datalara da önceki tarihlerde erişildiği ve şimdi yayımlandığı düşünülüyor. Kâtip Çelebi Üniversitesi’ne yönelik bir süredir brute-force saldırılarının devam ettiği de gelen bilgiler arasında. Siber tehdit aktörünün iddiaları doğruysa, söz konusu saldırılarda toplamda 200 bin öğrenci ve üniversite çalışanının bilgileri çalınmış olabilir.

TEHDİT AKTÖRÜ SALDIRILARI NASIL GERÇEKLEŞTİRİYOR?

Elde ettiği verileri dark web forumunda satışa çıkaran siber tehdit aktörü, satış ilanlarının saldırılarla ilgili detayların yer aldığı bir paylaşım da yaptı. Saldırgan, verileri ele geçirmek için CVE-2019-0708 kodlu güvenlik zafiyetini ve SQL Injection zafiyetini kullandığını açıkladı. Ayrıca MoreToCome takma adını kullanan saldırgan, 2500 dolar karşılığında SQL Injection zafiyetini de satışa çıkardı.

SİBER SALDIRILARA DAİR ÇEŞİTLİ SENARYOLAR

İddia edilen veri sızıntılarına dair çeşitli yaklaşımlar bulunuyor. Bunlardan biri, saldırganın istismar ettiğini söylediği CVE-2019-0708 zafiyeti. 2019 yılında keşfedilen ve giderilen kritik seviyedeki zafiyet genel olarak Microsoft tarafından desteği kesilen işletim sistemlerinde tespit edilmişti. RDS hizmetlerinde uzaktan kod yürüterek işletim sisteminin manipüle edilmesini sağlayan zafiyet, Windows XP ve Vista gibi sürümlerde bulunuyor.

Microsoft tarafından güncellemeler yayımlanmış olsa da gerekli güncellemelerin yapılmaması zafiyetin istismar edilebileceği anlamını taşıyor. Bununla birlikte zafiyetin desteği kesilmiş işletim sistemlerinde bulunması ve istismar edilmesi, saldırıya uğrayan devlet üniversiteleri tarafından hâlâ eski işletim sistemleri kullanıldığını düşündürtse de Siber Bülten’e konuşan üniversite yetkilileri sistemlerin yeni ve tüm güncelleştirmelerin düzenli bir şekilde yapıldığını belirterek, ne eski bir işletim sisteminin kullanıldığını ne de söz konusu zafiyetin istismar edildiğini ifade ediyor.

Bununla birlikte üniversitelere yönelik veri sızıntısının arkasında phishing (oltalama) saldırısı ihtimali değerlendiriliyor. Bu senaryoda sistemlerde yönetici yetkisi bulunan kişilerin kullanıcı-adı parolalarının ele geçirilmesiyle bazı raporlara ulaşmış olduğu düşünülüyor. Ayrıca yine kurum içi kişilerin veri sızdırmış olabileceği de yaklaşımlar arasında bulunuyor.

UBS’DEN ALINMIŞ RAPORUN MANİPÜLE EDİLMİŞ HALİ

Siber Bülten’e bilgi veren yetkililer

İletişime geçebildiğimiz üniversiteler arasında bulunan Hitit Üniversitesi tarafından yapılan açıklamada, “Güncelleştirmelerimiz sürekli ve düzenli bir şekilde yapılırken güvenlik ağımız da çeşitli katmanlarla korunuyor. Üniversitemize dair herhangi bir veri paylaşımı da yapılmadı. Teknik ekibimiz yoğun bir şekilde çalışıyor. Kâtip Çelebi Üniversitesi’ndeki olayda olası tek senaryo, phishing yöntemiyle yönetici yetkisine sahip birinin kullanıcı adı-parolası ele geçirilip veri sızdırılması. Şu an için üzerinde durduğumuz konu bu. Bu konu hakkında ilk defa bizimle iletişime geçildi. Bizimle olayı öğrenmek amacıyla iletişime geçtiğiniz için çok teşekkür ederiz.” ifadeleri yer aldı.

Bolu Abant İzzet Baysal Üniversitesi Bilgi İşlem Daire Başkanı’nın yaptığı açıklamada şu ifadeler yer aldı:

“Tehdit aktörü tarafından yayımlanan datalara baktık. Öncelikle Kâtip Çelebi olsun bizim olsun yayımlanan dataların bir veri tabanını yansıtmadığını gördük. Tehdit aktörünün ilgili üniversitelere dair örnek olarak sunduğu data Kâtip Çelebi Üniversitesi tarafından geliştirilen UBS’den (Üniversite Bilgi Sistemi) alınmış bir raporun manipüle edilmiş hâlleri olduğunu gördük. Söz konusu UBS sistemini kullanan bizim de içerisinde olduğumuz toplam 25 üniversite var. Kâtip Çelebi Üniversitesi ile olay gününden itibaren iletişim hâlindeydik, beraber yoğun mesai harcadık ancak yayımlanan belgelerin gerçek olmadığını biliyorduk. Loglarımızı ve sistemlerimizi kontrol ettik, bizimle birlikte ismi geçen tüm üniversiteler de aynı işlemleri gerçekleştirdi. Sonuç olarak baktığımızda yayımlanan dataların gerçek olmadığını tekrar görmüş olduk.

Tehdit aktörünün CVE-2019-0708 zafiyetini kullanarak verileri elde ettiği bir senaryo da söz konusu değil. Çünkü söz konusu zafiyeti kullanabilseydi tüm verilere erişebilirdi ki sistemlerimiz yeni ve güncel olduğu için bu da mümkün değil. Bununla birlikte ilgili üniversitelerle neler yapabiliriz diye bir konferans gerçekleştirdik. Alabileceğimiz güvenlik önlemleri hakkında istişarelerde bulunduk. Bunlar arasında UBS sistemini kurum dışına kapattık. Şimdilik sadece kampüs içerisinde girilebiliyor. Dışarıdan girmek için proxy kullanılmasını isteyeceğiz.

EK GÜVENLİK ÖNLEMLERİ GELİYOR

Yakın tarihte iki faktörlü doğrulamaya geçiş yapacağız. Kullanıcı yetkilendirme kararlarında değişiklik yapacağız, güvenlik anlamında olası bir olumsuz senaryoya karşılık raporlar üzerinde TCKN maskelemesi uygulayacağız ve bunların yanında SMS doğrulaması kullanmayı düşünüyoruz. Söz konusu olay ya kullanıcı zafiyetinden ya da kurum içi personelin veri sızdırmasıyla alakalı olduğunu düşünüyoruz. Ancak daha önce belirttiğim gibi sistemlerimizde herhangi bir sıkıntı yok, sızdırıldığı iddia edilen ‘veri tabanı’ hem bir raporlama sayfası yani veri tabanı değil hem de manipüle edilmiş. Durumla alakalı iletişime geçtiğiniz için de teşekkür ederiz.”

Bartın Üniversitesi’nin yaptığı açıklamada, “Siber saldırı sadece bir üniversitede gerçekleşti. Üniversitemizde herhangi bir sızıntı durumu yok. Bizim ismimizi kullanarak yapılmış bir paylaşım bu.” ifadeleri yer aldı.

Erzurum Teknik Üniversitesi’nin yaptığı açıklamada, “Gerekli araştırmaları yaptık, haber asparagastır. İşletim sistemlerimiz güncel ve yeni.” denildi.

Gaziantep Üniversitesi’nin yaptığı açıklamada, “Haberleri gördük, herhangi bir veri sızıntısı olayı yok. Sistemlerimiz yeni. Linux işletim sistemini kullanıyoruz. İKÇÜ tarafından geliştirilen UBS’yi de kullanmıyoruz.” ifadeleri kullanıldı.

Daha önce açıklama yapan Kastamonu Üniversitesi de söz konusu iddiaların gerçeği yansıtmamakta olduğunu belirterek, İKÇÜ’nün yaptığı açıklamayı da referans göstererek, İKÇÜ tarafından geliştirilen ve kendilerinin de kullandıkları Üniversite Bilgi Yönetim Sistemi’nde herhangi bir sorun olmadığını, konunun takip edildiğini söylemişti.

Bakırçay Üniversitesi ve Sivas Cumhuriyet Üniversitesi’yle ise konu hakkında görüşme gerçekleştiremedik.

SİBER SALDIRILAR MECLİS GÜNDEMİNE TAŞINDI

Milliyet’ten Mine Özdemir’in haberine göre, siber saldırı iddialarına yönelik harekete geçen CHP İzmir Milletvekili Mahir Polat, konuyu TBMM gündemine taşıdı. Polat, Ulaştırma ve Altyapı Bakanı Adil Karaismailoğlu’na cevaplanması istemiyle şu soruları yöneltti:

· Siber saldırı yöntemleri ile ilgili incelemeler ne sıklıkla yapılmaktadır? Yapılıyor ise bunlar kamu kurumlarındaki bilişim birimleri ile paylaşılmakta mıdır? Üniversiteler de bu kurumlara dahil midir?

· Son 5 yılda siber saldırıya uğrayan kamu kurumu sayısı kaçtır?

· Son 5 yılda bilişim suçları kapsamında ceza alan kişi sayısı kaçtır?