İngiltere Ulusal Siber Güvenlik Merkezi Başkanı Lindy Cameron, geçtiğimiz hafta cuma günü yaptığı açıklamada Rusya Federasyonu’nun siber alanda ülkesine yönelik en büyük tehdit olduğunu söyledi.
Cameron’a göre, güvenlikle ilgili diğer birçok alanda olduğu gibi siber alanda da Rusya, Birleşik Krallığa daha akut ve acil bir tehdit oluşturuyor. Bu açıklamalarına karşın Cameron Çin’in uzun vadede daha büyük değişimlerin kaynağı olacağına işaret etti:
“Çin’in teknolojik gelişim konusundaki ihtiraslarını dikkate almalıyız. Çin yaşadığımız dünyayı Rusya’da çok daha köklü bir şekilde değiştirecek.”
Geçtiğimiz yıl görevinin başına getirilen kadın yönetici siber güvenliğin stratejik seviyede hala istenen düzeyde ilgi çekmediğini sözlerine ekledi. Cameron konuşmasında bu yıl içerisinde yaşanan ve tüm dünyada etkili olan SolarWinds ve Microsoft Exchange saldırılarından da konuşmasında bahsetti.
İngiltere’de elektronik gözetleme ve bilgi güvenliğinden sorumlu gizli servis GCHQ’ya bağlı olarak faaliyet gösteren NCSC’in başkanı Cameron’ın konuşmasında yer verdiği SolarWinds saldırısında ABD Hazine Bakanlığı, Anayurt Güvenliği Bakanlığı ve Pentagon’a ait sistemler etkilenmişti. Saldırının arkasında Rus istihbarat örgütü GRU için çalışan hackerlar olduğu iddia edilmişti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Siber güvenlik araştırmacıları, “tedarik zinciri saldırısı” olarak bilinen SolarWinds siber saldırısını araştırmaya devam ederken, Teksas merkezli yazılım firmasının üst düzey yöneticileri, saldırının zayıf parola kullanan bir stajyerden kaynaklandığını duyurdu.
“solarwinds123” şeklindeki söz konusu parolanın yanlış yapılandırmanın ortaya çıkarıldığı 22 Kasım 2019 tarihinden önce 17 Haziran 2018’den bu yana bir GitHub deposu aracılığıyla kamuya açık olduğuna inanılıyordu. Ancak geçtiğimiz cuma günü Senato’da düzenlenen oturumda SolarWinds’in CEO’su Sudhakar Ramakrishna, parolanın 2017’nin başından beri kullanımda olduğunu ifade etti.
Saldırı ile ilgili ön soruşturma, casusluk kampanyasının arkasındaki saldırganların, ‘Sunburst’ kötü amaçlı yazılımı yüklemek için Ekim 2019’da SolarWinds Orion platformunun yazılım oluşturma ve kod imzalama alt yapısını ele geçirmeyi başardığını ortaya çıkarırken, Crowdstrike’ın saldırıya müdahale ekipleri, 4 Eylül 2019’da SolarWinds ağına ilk sızmayı tespit eden revize edilmiş bir zaman çizelgesine işaret etti.
EN AZ 9 DEVLET KURULUŞU HEDEF ALINDI
Bugüne kadar, en az dokuz devlet kurumu ve 100 özel şirkete, müşterilerin gizliliğini ihlal etme amacıyla düzenlenen saldırı, Orion Software Platform’a kötü amaçlı yazılımın yüklenmesini içeren gelmiş geçmiş en sofistike ve iyi planlanmış operasyonlardan biri olarak tanımlanıyor.
ABD Temsilciler Meclisi’nin Kaliforniya Temsilcisi Katie Porter, “Çok fazla Youtube izlemelerini engellemek için çocuklarımın tabletlerine koyduğum parola bile ‘solarwinds123’ den daha güçlü” şeklinde açıklama yaptı.
Ramakrishna, Porter’a cevaben yaptığı açıklamada “Bunun, 2017’de bir stajyerin güvenlik ekibimize bildirilir bildirilmez kaldırılan ve sunucularından birinde kullandığı bir parola olduğuna inanıyorum” dedi. Eski CEO Kevin Thompson da Ramakrishna’nın ifadesini tekrarladı. Thompson,” Bir stajyerin yaptığı hatayla ilgili bir sorun yaşadık. Parola politikalarımızı ihlal ettiler ve bu parolayı kendi özel GitHub hesabına gönderdiler ” dedi.
Güvenlik araştırmacısı Vinoth Kumar, geçtiğimiz aralık ayında şirketi halka açık bir GitHub deposu konusunda uyarmıştı. Söz konusu GitHub deposu şirketin indirme web sitesinin FTP kimlik bilgilerini sızdırıyordu. Bu da bir hackera zararlı bir çalıştırılabilir dosya yükleme ve bunu bir SolarWinds güncellemesine ekleme imkanı veriyor. Saldırının açığa çıkarılmasını takip eden haftalarda, SolarWinds’e Ocak 2021’de toplu dava açıldı. Davanın gerekçesi şirketin 2020’nin ortalarından bu yana, SolarWinds Orion takip ürünlerinin hackerlara bu ürünlerin çalıştığı sunucuyu ele geçirmesine izin veren bir güvenlik açığına sahip olması ve “SolarWinds güncelleme sunucusunun solarwinds123 gibi kolayca erişilebilen bir parolaya sahip olması idi.
NASA VE FAA DA HEDEF ALINDI
Operasyonun arkasındaki tehdit aktörünün hedeflerini dikkatli bir şekilde seçmiş olsa da SolarWinds’in 18 bine yakın müşterisinin truva atı haline getirilmiş Orion güncellemesi aldığına inanılıyor. Saldırganların Microsoft, FireEye, Malwarebytes, CrowdStrike ve Mimecast ağlarına sızmanın yanı sıra, Solarwinds’i Ulusal Havacılık ve Uzay Dairesi (NASA) ve Federal Havacılık Dairesi’ne (FAA) sızmak için bir atlama noktası olarak kullandığı belirtiliyor. Gizliliği ihlal edilen diğer yedi kurumun Adalet, Ticaret, İç Güvenlik, Enerji, Hazine bakanlıkları ile Ulusal Sağlık Enstitüleri olduğu açıklandı.
Microsoft Başkanı Brad Smith, senatoda düzenlenen oturumda yaptığı açıklamada, ek olarak, diğer ülkelerdeki kamu ve özel sektör mağdurlarını belirlediklerini ve bulut göçünün Amerika Birleşik Devletleri’nde olduğu kadar gelişmiş olmadığı dünyanın diğer bölgelerinde henüz tespit edilmemiş başka mağdurların olduğuna inandıklarını ifade etti.
Rus orijinli olduğu iddia edilen tehdit grubu, UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) ve Dark Halo (Volexity) dahil olmak üzere farklı takma adlar altındatakip ediliyor.
Ulusal Güvenlik Danışmanı Yardımcısı Anne Neuberger, geçen ay Beyaz Saray’da yaptığı açıklamada, hackerların içeriden bir saldırı başlattıklarını bunun da ABD hükümetinin faaliyetlerini gözlemlemesini zorlaştırdığını söylemişti. “Bu, izlerini gizlemek için elinden gelenin en iyisini yapan sofistike bir aktör. Bu saldırıyı planlamanın ve gerçekleştirmenin aylar sürdüğünü düşünüyoruz.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Microsoft Başkanı Smith, SolarWinds saldırısıyla ilgili hazırladıkları raporu paylaştı
ABD’yi sarsan tedarik zinciri saldırısı SolarWinds’in gerçekleştirilmesinde en az bin kişinin görev aldığı ortaya çıktı.
Microsoft’tan yapılan açıklamada saldırıda kullanılan zararlı kodun bin kişilik yazılım geliştirici bir ekibin çalışması sonucu ortaya çıktığı belirtildi.
Şirketin saldırıyla ilgili saptadığı bulguları ABD’de “60 dakika” adlı bir televizyon programında açıklayan Microsoft Başkanı Brad Smith, saldırının “dünyanın gördüğü en geniş ve en karmaşık saldırı” olduğunu söyledi.
Smith “Her şeyi analiz ettiğimizde kendi kendimize bu saldırılarda kaç mühendisi çalıştığını kendi kendimize sorduk. Cevabı ise binden fazla olduğuydu. ABD’ye karşı ilk kez tedarik zinciri saldırısıyla bozguna uğratma taktiğinin kullanıldığını görüyoruz. Ancak bu durumla ilk kez karşılaşmıyoruz. Rus hükümeti bu taktiği gerçek anlamda ilk defa Ukrayna’da geliştirmişti.” diye konuştu.
Saldırıyı belli bir siber tehdit aktörüne bağlamayan Smith, gösterilen çaba bakımından Rusya bağlantılı APT gruplarına atfedilen Ukrayna enerji şebekesi saldırısıyla kıyaslanabilir bir saldırı olduğuna dikkati çekti.
Smith ayrıca saldırı için yazılan kodun 4032 satırdan oluştuğu bilgisini paylaştı. Orion yazılımının en yaygın ve olmazsa olmaz yazılımlardan biri olduğunu vurgulayan Smith, “Milyonlarca satır bilgisayar kodundan oluşan bir yazılım. 4032 satırı gizlice yeniden yazılmış ve rutin bir güncellemeyle 18 bin etkilenmiş ağa gizli bir arka kapı bırakarak müşterilere dağıtılmış.” ifadelerini kullandı.
YAKINDAN BAKTIKÇA DAHA ÇOK DETAY GÜN YÜZÜNE ÇIKIYOR
Microsoft’un 500 mühendisi saldırıyı araştırmak için görevlendirdiğini belirten Smith, “Birisi Rembrandt’ın bir tablosuna benzetti bu saldırıyı, yakından baktıkça daha çok detay gün yüzüne çıkıyor” şeklinde konuştu.
Aynı televizyon programına konuşan siber güvenlik şirketi FireEye CEO’su Kevin Mandia ise, saldırganların çift faktörlü doğrulama aşamasını nasıl atlatmaya çalıştığını anlattı.
Birçok şirket gibi uzaktan çalışırken çift faktörlü kimlik doğrulama sistemi kullandıkların belirten Mandia, “Bir kod telefonumuzda belirir ve o kodu girmek zorundayızdır. Sonrasında giriş yapabiliriz sisteme. Bir FireEye çalışanı giriş yapıyordu fakat farklı olan güvenlik çalışanımız girişe baktığına kişi adına iki telefonun kaydedildiğini fark etti. Kişiyi arayan çalışanımız gerçekten ikinci bir telefon kaydettiniz mi? diye sordu. Çalışanımız ise ‘Hayır bu değilim, bu ben değildim’ dedi” diye konuştu.
Bunu şüpheli bulan şirket daha derinlemesine durumu araştırınca bazı davetsiz misafirlerin çalışanlar gibi davranarak ağa girerek FireEye’ın müşterilerin güvenliğini test etmek için kullandıkları araçları çaldığını fark etti. Saldırganlar zararlı yazılım ya da oltalamaya ilişkin herhangi bir kanıt bırakmadı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Siber Bülten, ABD’yi sarsan SolarWinds saldırısını alanında uzman isimlerle online olarak düzenlenecek etkinlikte ele alacak.
Zoom platformu üzerinde 13 Ocak Çarşamba günü gerçekleştirilecek toplantının moderatörlüğünü Minhac Çelik yapacak. Tartışmada BGA Security Genel Müdürü Huzeyfe Önal saldırıyı teknik açıdan analize edecek. Kadir Has Üniversitesi Öğretim Üyesi Doç.Dr. Salih Bıçakçı ise olayı uluslararası ilişkiler boyutuyla değerlendirecek.
Katılımın herkese açık olduğu etkinliğe kayıt başvurusunu bağlantı üzerinden gerçekleştirebilirsiniz:
Kimi teknoloji şirketlerine göre farklı adlandırılsa da literatüre ‘SolarWinds Saldırısı’ olarak geçen, son yılların en büyük siber saldırısının ardından ABD’li yazılım şirketi SolarWinds’ten yeni hamleler geldi. Şirket, olayın yaralarını sarmak ve güvenlik açıklarını minimize etmek için eski resmi siber güvenlik yetkilisi Chris Krebs ve eski Facebook güvenlik yöneticilerinden Alex Stamos’u danışmanlık görevine getirdi.
SolarWinds’in ürettiği ağ izleme ve yönetme platformu Orion’u hedef alan hackerlar, ürün için güncelleme yazılımı sağlayan servise zararlı yazılım yerleştirerek Orion’un yeni güncellemesini yükleyen kullanıcıların ağlarına sızmayı başarmıştı.
Şirketin binlerce müşterisi söz konusu zararlı yazılımın bulunduğu güncellemeyi yükleyerek bu saldırıdan etkilenmişti. Zararlı yazılımın belli hedeflerde aktif hale gelmesi ‘hedeflenmiş bir saldırı’ olasılığını gündeme getirirken ABD’li yetkililerce olayın arkasında Rus hackerların olduğu vurgulanmıştı.
SolarWinds ŞİRKETİ YENİ TAKVİYELER YAPIYOR
Firma, ağ yönetimi yazılımının arka kapı sürümlerine izinsiz girişleri değerlendirmesi ve ileriye dönük korumasına yardımcı olması için CrowdStrike şirketiyle daha önce anlaşmıştı.
SolarWinds, gerçekleştirilen saldırıdan sonra yaralarını sararken önemli takviyeler yapmaya devam ediyor. ABD Başkanlık seçimlerinde Donald Trump’ın ‘oy sayma makinelerinde usulsüzlük yapıldığı’ iddiasını reddeden ve yaptığı açıklamayla başkan tarafından görevine son verilen eski ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Direktörü Chris Krebs ve Facebook eski baş güvenlik sorumlusu Alex Stamos, ‘danışman’ sıfatıyla şirkete rehberlik edecek.
SolarWinds şirketinden yapılan açıklamada, “Bu saldırıdan ders alarak, güvenlik uygulamalarımızı, duruşumuzu ve politikalarımızı geliştirmemize yardımcı olacak, sektörde lider konuma ve güvenli bir yazılım geliştirme şirketine dönüşme yolculuğumuzda alanının en iyi rehberliğini sağlamaları için Chris Krebs ve Alex Stamos’u göreve getirdik.” ifadeleri kullanıldı.
NEDEN CHRİS KREBS VE ALEX STAMOS?
Danışmanlık görevi üstlenen Stamos ve Krebs, daha önceden de Rus hackerların arkasında olduğu saldırılara aşina. Eski bir Microsoft çalışanı olan ve daha sonra ABD siber güvenlik ekibinin başında yer alan Krebs, Rus hackerlar konusunda gayet bilgili.
2014 yılında Rus hackerların 500 milyon Yahoo kullanıcısının hesaplarını ele geçirdiği iddia edilen Yahoo’da güvenlik yöneticisi olarak görev alan Stamos’un da Rus hackerlar konusunda Krebs’ten geri kalmıyor. Halihazırda Stanford’da akademisyen olarak kariyerini sürdüren Stamos, koronavirüs salgını sonrası değişen çalışma biçimiyle hızla büyüyen video konferans şirketi Zoom’a da güvenlik konularında danışmanlık yapmıştı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
