Avrupa’da Rus doğal gazının arzıyla ilgili sıkıntılar yaşanırken, kıtada önemli bir enerji şirketine siber saldırı düzenlendi
Gaz boru hattı operatörü ve enerji şirketi Encevo saldırının ardından birçok Avrupa ülkesindeki müşterilere kimlik bilgilerini güncelleme çağrısı yapıldı.
Lüksemburg merkezli enerji tedarikçisi Encevo, 25 Temmuz’da iştiraklerinin bir fidye yazılımı saldırısına maruz kaldığını duyurdu. Şirket birkaç gün sonra da ekiplerin şu anda uğranılan zararın boyutunu araştırdığını açıkladı.
“FİDYE ÖDENMEZSE 150 GB VERİ YAYINLAYACAĞIZ”
Edinilen bilgiye göre BlackCat adlı fidye yazılımı grubu Encevo’dan çalındığı iddia edilen sözleşmeler, pasaportlar, faturalar ve e-postalar da dahil olmak üzere 150 GB’lık veriyi sitesinde yayınladı ve fidye ödenmediği takdirde bunları birkaç saat içinde yayınlamakla tehdit etti.
BlackCat; BlackMatter ve REvil gibi kötü ün yapmış ve şimdilerde dağılmış olan grupların eski üyeleriyle oluşturulmuş zorlu bir fidye yazılımı aktörü olarak ortaya çıktı.
HİZMETLER KESİNTİYE UĞRAMAYACAK
Saldırı özellikle doğal gaz boru hattı operatörü Creos ve enerji tedarikçisi Enovos’u etkiledi. Encevo, siber saldırıyla ilgili yaptığı açıklamada, kullanıcılara saldırı neticesinde tedarikin kesintiye uğramayacağı garantisini verdi, ancak müşterilerin sisteme giriş bilgilerini mümkün olan en kısa sürede güncellemelerini tavsiye etti.
“Encevo Group, potansiyel olarak etkilenen her bir kişiyi kişisel olarak bilgilendirmek için gerekli tüm bilgilere şimdilik sahip değil. Bu nedenle müşterilerimizden şu an için bizimle iletişime geçmemelerini rica ediyoruz. Verdiğimiz rahatsızlıktan dolayı müşterilerimizden bir kez daha özür diliyor ve mümkün olan en kısa sürede hizmetlerimizi yeniden sağlamak için elimizden geleni yapıyoruz.”
Geçen hafta da ABD’de de bir benzin dağıtım firması siber saldırının hedefi olmuştu.
Tehdit aktörleri birçok saldırı hizmetini bir arada sunarak siber suç dünyasına yeni bir iş modeli getirdi
Tehdit istihbaratı şirketi Cyberint firmasının araştırmasına göre kendilerini Atlas Intelligence Group (AIG) olarak adlandıran yeni tehdit aktörü, diğer suç örgütlerinden farklı bir şekilde oluşturduğu yeni iş modeliyle hem operasyon güvenliğini sağlama alıyor hem de çok çeşitli suç hizmetleri sunuyor.
GİDEREK TEHLİKELİ BİR HÂL ALIYOR
Cyberint, mayıs ayında keşfettikleri Atlas Intelligence Group veya diğer adıyla Atlantis Cyber-Army olarak bilinen tehdit aktörünün siber suç dünyasında ortaya koyduğu yeni iş modelini ortaya çıkardı.
Diğer siber suç örgütlerinden çok daha farklı bir işleyişe sahip olan AIG, ortaya koyduğu hizmetlerle giderek popülerleşirken aynı zamanda da operasyon güvenliğini üst seviyede tutarak tehlikeli bir hâl alıyor.
AIG’İN DİĞER SİBER SUÇ ÖRGÜTLERİNDEN FARKI
Paylaştığı analiz raporunda Cyberint, mayıs ayından itibaren giderek büyüyen grubu en başta sıradan bir veri sızıntısı grubu olarak gördüklerini ancak sundukları hizmet çeşitliliğini yakından incelediklerinde çok daha geniş bir pencereye baktıklarını belirtti.
Pek çok siber suç örgütü bir veya iki hizmet sunmaya odaklanırken AIG, DDoS, sızdırılmış veri tabanı hizmeti, paneller ve ilk erişim ve Avrupa’daki çeşitli kolluk kuvvetlerinde bulunan üstelik yalnızca belirli kişiler hakkındaS hassas bilgiler sağlayabilen kişilerle bağlantıları olup VIP hizmetler sağlıyor.
Tehdit aktörünün diğer aktörlerden farkı sadece bu değil. Aktör, diğer suç örgütlerinden farklı olarak kalıcı işe alım yapmıyor. Farklı kampanyalar için alanlarında uzmanlaşmış grupları veya kişileri kiralıyorlar. Örneğin oltalama saldırıları için farklı bir grubu kiralayan aktör, web korsanlığı içinse farklı bir grubu işe alıyor. Sürekli olarak farklı grup veya kişileri sundukları hizmetler için kiralayan AIG, böylelikle operasyon güvenliğini de üst seviyeye çıkarmış oluyor.
Paylaştığı raporda Cyberint, söz konusu tehdit aktörünün çalışma prensibini “kartellere” benzetiyor.
TEHDİT AKTÖRÜNÜN YAPISI
Cyberint, söz konusu aktörün başrolünde Mr. Eagle olarak bilinen bir lider ve şimdiye kadar keşfedilen El Rojo, Mr. Shawji, S41T4M4 ve Coffee olarak bilinen dört alt yönetici tarafından organize edildiğini ortaya koydu.
Cyberint araştırmacıları, aktörün lideri Mr. Eagle’ın iş sözleşmeleri yayınlayıp işe alım yaptığını, oldukça profesyonel bir biçimde davrandığını, hata yapmadığını ve oldukça katı kurallara sahip olduğunu belirtti. Aynı zamanda Mr. Eagle, aktörün takipçileri arasında da oldukça yüksek güvenilirliğe sahip olduğunu belirten araştırmacılar, aktörün diğer alt yöneticilerininse reklam ve iletişim kanallarının işleyişinde aktif rol aldığı çok net bir hiyerarşiye sahip olduğunu belirtti.
GRUP BİRÇOK İLETİŞİM KANALI İŞLETİYOR
Atlas Intelligence Group, birden fazla platformda çeşitli iletişim kanalları işletiyor.
Aktör, binlerce abonesi olan üç farklı Telegram kanalı işletiyor. Bunlardan birincisi, bir veritabanı pazarı kanalı olarak görünüyor.
İkinci ve en ilginç kanalsa liderin iş ilanları yayımladığı ve kanal abonelerinin kendi hizmetlerini sunma fırsatı yakaladığı bir kanal olarak biliniyor. Bu kanalda lider ve yöneticiler, sosyal mühendisleri, zararlı yazılım geliştiricileri ve belirli vatandaşları bulmak adına paylaşımlar yapıyor.
Üçüncü kanal ise bir kullanıcı hakkında kişisel bilgilerin ifşa edilmesi gibi, aktörün karşılaştığı dolandırıcılar, sonraki hedefleri ve takipçilerinin ilgisini çekebilecek diğer güncellemeler gibi ekipten duyuruları da yayınlayan başka bir ticari kanal olarak göze çarpıyor.
Bunların yanındaysa aktörün bir de Sellix.io platformunda bir e-ticaret mağazası bulunuyor. Kişiler buradan aktörün hizmetlerini satın alabiliyor.
DİĞER TEHDİT GRUPLARIYLA İLİŞKİLERİ
Aktörün örgütlenmesi ve çalışma yöntemleri, bu kişiler hakkında kesin bir kanıt bulunmamış olsa da sektörde yeni olmadıklarını gösteriyor.
Bu kişilerin geçmişte başka tehdit gruplarında faaliyet göstermiş olmaları veya en azından bir tehdit grubu olarak nasıl hareket edeceklerini bildikleri düşünülüyor.
AIG KİMLERİ HEDEF ALIYOR?
Grup, dünyadaki belirli bir sektörü veya belirli bir bölgeyi hedef almıyor. Aktör dünya çapında faaliyet gösteriyor. Ülkelerin gizli belgelerinden, veritabanlarına, kuruluşlara ilk erişimden başka birçok hizmete kadar çok çeşitli ülkelerden çok çeşitli kurumları hedef alıyor.
Bunun yanı sıra aktörün e-ticaret sitesine bakıldığında satılık veritabanlarının çoğunun devlet kurumları, finans kuruluşları, eğitim ve imalat sektörüne yönelik olduğu görülüyor.
PEDOFİLLERİ BULUP HAPSE GÖNDERİYORLAR
Aktörün en şaşırtıcı faaliyetlerinden birisi de gönüllü olarak dünya çapındaki pedofilleri bulup hapse göndermek.
Aktör, hâlihazırda iki pedofilin ev adresine, telefonlarına ve resimlerine ve daha birçok kişisel verisine ulaşarak mahkûm ettirmeyi başardı.
SOFİSTİKE ANONİM VE HIRSLILAR
Geçtiğimiz aylarda, bazıları fidye yazılımı sektöründen, bazıları veri sızdıranlardan ve bazıları kötü amaçlı yazılım geliştirme sektöründen birçok yeni tehdit grubunun ortaya çıktığını görsek de hepsi hemen hemen aynı reklam ve ekip oluşturma tekniklerini kullanıyor.
Atlas ise, hedeflerine ulaşmak için paralı “kuklalar” kullanarak hepsinden ayrılıyor. Şu ana kadar siber suç endüstrisinde sofistike, son derece anonim, hırslı bir aktör olarak görünen Atlas, gelecekte iz bırakmak ve baskın bir tehdit grubu oluşturmak istiyor.
Atlas’ın doğası göz önüne alındığındaysa, aktörün fidye yazılımı sektörüne de geçmesinin an meselesi olduğu düşünülüyor.
Vatandaş hizmetlerinin henüz geçtiğimiz Mayıs ayında çevrimiçi hale geldiği Arnavutluk’ta resmi web siteleri siber saldırılar sonucunda hacklendi.
Ülkenin çevrimiçi kamu hizmetleri ve web sitelerinin siber saldırılar nedeniyle devre dışı kaldığı bildirildi. Arnavutluk Ulusal Bilgi Toplumu Ajansı’ndan (AKSHI) yapılan açıklamaya göre, Başbakanlık ve Parlamento’nun web siteleri ile yerli ve yabancılar tarafından kamu hizmetlerine erişmek için kullanılan e-Arnavutluk portalı hacklendi. Resmi işlemlerin geçtiğimiz Mayıs ayında çevrimiçi ortama aktarılarak gerçekleştirilmeye başladığı ülkede gerçekleşen saldırı endişeye sebep oldu.
Arnavut basını, söz konusu saldırının Ukrayna ve Almanya’da gerçekleştirilenlerle benzerlik gösterdiğini bildirdi. AKSHI, sorunları çözmek için Microsoft’un Tespit ve Müdahale Ekibi (DART) ve Jones Group International ile işbirliği yaptığı belirtiliyor.
DEUTSCHE WINDTECHNIK SALDIRISIYLA BENZERLİK GÖSTERİYOR
Arnavut medyasının Başbakanlıktan aktardığı resmi açıklamada, halka verilerinin güvende olduğuna dair güvence verildi.
Uzmanlar, Arnavutluk’a düzenlenen saldırı ile Nisan 2022’de Deutsche Windtechnik’in bilişim sistemlerini devre dışı bırakan saldırı arasında benzerlik kuruyor.
Şirketin bakımını yaptığı rüzgâr türbinleri hasar görmemiş olsa da, düzenli olarak çalışmaya yeniden başlanabilmesi için birkaç güne ihtiyaç duyulmuştu.
İsrail Ulusal Siber Güvenlik Müdürlüğü (INCD) Başkanı Gaby Portnoy
İsrail Ulusal Siber Güvenlik Müdürlüğü (INCD) Başkanı Gaby Portnoy, ülkeye yönelik siber saldırılara karşı ulusal bir savunma sistemi mekanizması geliştirmek amacıyla “Cyber-Dome” (Siber Kubbe) oluşturacaklarını açıkladı.
EnVizon Medical’in müdürü olan, silahlı kuvvetlerde 31 yıl geçiren ve İstihbarat’ta operasyon başkanlığı da dahil olmak üzere üst düzey görevlerde bulunup ordudan tuğgeneral rütbesiyle emekli olan Gaby Portnoy, bundan yaklaşık üç ay önce Ulusal Siber Güvenlik Müdürlüğü’ne atanmıştı.
“İSRAİL’İN EKSTRA SAVUNMAYA İHTİYACI VAR”
Geçtiğimiz günlerde Tel Aviv’deki bir konferansta ilk halka açık konuşmasını gerçekleştiren Portnoy, önemli açıklamalarda bulundu. Portnoy, INCD’nin geçtiğimiz yıl yaklaşık bin 500 siber saldırıyı tespit edip alt ettiğini açıklarken ulusal siber güvenliği artırmak için “Siber Kubbe” oluşturulacağını açıkladı.
Portnoy, İran, Hizbullah ve Hamas’ın faaliyetleri sonrası siber alandaki rakiplerinin giderek arttığını belirtirken gerçekleştirilen saldırıların spektrumunun da genişlediğini, vekillere, bağımsız örgütlere ve özel kişilere yönelik saldırılarda artış gördüklerini belirtti. Tüm bu sebeplerle İsrail’in ekstra savunmaya ihtiyacı olduklarını düşündüklerini belirten Portnoy, “Siber Kubbe, ulusal siber çevrede yeni mekanizmalar geliştirerek ulusal siber güvenliği artıracak ve siber saldırılardan kaynaklanan zararı büyük ölçüde azaltacaktır.” açıklamasında bulundu.
GÜVENLİK İÇİN SİBER KUBBE TEK BAŞINA YETERLİ DEĞİL
Portnoy, “Siber Kubbe ayrıca ulusal varlıkların korunmasını geliştirmek için çeşitli araç ve hizmetler sağlayacak, ülke düzeyinde gerçek zamanlı siber saldırıların algılanmasını senkronize edecek, tehditlerin azaltılmasında kritik bir rol oynayacak.” dedi.
Siber Kubbe’nin ne zaman faaliyete geçeceği konusunda özel bir tarih belirtmeyen Portnoy, Siber Kubbe’nin tek başına İsrail devletini güvence altına almasına yeterli olmayacağını ifade etti.
İranlı bir çelik şirketi geçtiğimiz günlerde uğradığı siber saldırı sonrası üretimi durdurmak zorunda kaldığını açıkladı.
Yaşanan saldırı, son yıllarda endüstri sanayisine yönelik artan saldırıların en büyüğü olarak adlandırılıyor.
Geçtiğimiz günlerde Huzistan Steel Company’ye yönelik gerçekleştirilen siber saldırı, şirketin tesisi kapatıp üretimi durdurmasına neden oldu. Olayın nasıl gerçekleştiğine yönelik araştırmalar devam ederken şirketin CEO’su Amin Ebrahimi, siber saldırıyı engellediklerini ve müşterileri etkileyecek yapısal hasarları önlemeyi başardıklarını ifade etti.
Siber saldırının hangi aktör tarafından gerçekleştirildiği bilinmese de “Gonjeshke Darande” adlı çete, saldırıyı üstlendiklerini açıklayıp Twitter üzerinden video ve ağ görüntüleri yayımladı. Bunun yanı sıra çete, Huzistan’ın dışında iki çelik fabrikasını daha hacklediklerini belirtti.
Söz konusu saldırının ardından Raidflow siber güvenlik şirketinin analistleri, saldırıya dair görüşlerini paylaştı.
OT VE BT FONKSİYONLARININ GÜVENLİĞİ KRİTİK
Giriş vektörünün hâlâ bilinmediğini belirten analistler, aktörlerin şirket ağına erişim elde etmek için hangi güvenlik açığından yararlandığını bilmediklerini ifade etti. Bunun yanı sıra analistler, OT (Operasyonel Teknoloji) altyapılarının birbirlerinden iyi ayrılmadığını, bağlantılı BT ortamlarından yeterince iyi korunamadığını, çeşitli sunucu ve iş istasyonlarının eski yahut güncellenmemiş sürümlerinin kullanılmasının tesis içerisinde siber aktörlere yanal hareket etmekte belirli bir konfor sağladığını düşündüklerini belirtti.
Analistler, istenen etkiyi istenilen zamanda ve yerde yaratabilmeleri için bir etki alanı uzmanına ihtiyaç duyduklarını belirtti.
AĞ GÖRÜNÜRLÜĞÜ SİBER SALDIRILARDA ÖN PLANA ÇIKIYOR
Analistlerin dikkat çektiği ve önemli bulduğu bir diğer konuysa ağ görünürlüğü. Siber saldırı aktörleri kadar siber savunma için de kritik olan bu konu, ağ bağlantıları ve bunların zafiyetlerinin bilinmesinin siber saldırı faaliyetlerinde önemli bir işlevde olduğu belirtildi.
Radiflow analistleri son olarak, çeşitli nedenlerle çeşitli aktörler tarafından dünya çapındaki kritik altyapı ve stratejik üretim tesislerine daha fazla odaklanacağını ve dolayısıyla endüstriyel ortamlar için OT ağ görünürlüğü, izinsiz giriş tespiti gibi çeşitli siber güvenlik araçlarının doğru şekilde uygulanmasının hayati bir öneme sahip olduğunu belirtti.
