ABD merkezli teknoloji devi Microsoft, Rus hackerların şirketin kaynak kodlarının bir kısmına eriştiğini açıkladı.
Microsoft, ABD’nin resmi kurumlarına yönelik siber saldırının arkasında olduğunu belirtilen Rus siber tehdit unsurlarının şirketin kaynak kodlarına eriştiğini ancak herhangi bir tehlikenin oluşmadığını belirtti.
Şirketin açıklamasında bazı hesaplara erişildiği kaydedilirken söz konusu hesaplarda siber korsanların kaynak kodunun görüldüğü ancak hesapların bu kodlar üzerinde değişiklik yetkisi olmadığı için herhangi bir değişiklik yapılmadığı duyuruldu.
Firmanın açıklamasında ayrıca söz konusu erişimin Microsoft hizmetlerine veya müşteri verilerine tehlike arz etmediğini belirtildi. Ancak açıklamada kaynak kodlarını görüntüleyen hackerların sistemlerde ne kadar kaldığına veya kodların hangi hizmetlere ait olduğuna dair bir bilgi yer almadı.
MICROSOFT DA SolarWinds MÜŞTERİSİ
Öte yandan Microsoft, geçtiğimiz günlerde büyük yankı uyandıran SolarWinds şirketinin müşterileri arasında bulunuyor. Literatüre SolarWinds saldırısı olarak geçen saldırıda hackerlar SolarWinds’in ürettiği ağ izleme ve yönetme platformu olan Orion’u hedef almışlardı. Ürün için güncelleme yazılımı sağlayan servise zararlı yazılım yerleştiren saldırganlar böylece ürünün yeni güncellenmesini yükleyen Orion kullanıcılarının ağlarına sızma gerçekleştirebilmişti.
Bu zamana kadar başta FireEye ve Microsoft gibi özel kurumların dışında, ABD Hazine Bakanlığı, Ticaret Bakanlığı, Dışişleri Bakanlığı ve Ulusal Nükleer Güvenlik Ajansı, Enerji Bakanlığı, İç Güvenlik Bakanlığı gibi kritik kamu kurumlar da hedefler arasındaydı. Microsoft ise 40 müşterisinin bu saldırıdan etkilendiğini belirtmişti. ABD’li yetkililer, siber saldırının arkasında Rusya olduğuna inandığını belirtse de Rusya, söz konusu iddiaları reddetmişti.
Microsoft ise yaptığı açıklamada kendi sistemlerinde zararlı Orion güncellemesini tespit ettiklerini, hackerların da bu güvenlik açığından yararlandığını belirtti.
“RUSYA’YA KARŞI YAPTIRIM PAKETİ GÜNDEMDE”
Uzmanlara göre ise ABD yönetimi ülkelerine yönelik son zamanlarda sıklaşan siber saldırıları gündemine alarak Rusya’ya karşı bir yaptırım paketi tartıştıklarını iddia etti. Rus araştırmacı Konstantin Blokhin, böyle bir yaptırımın olası olduğunu bunun yanı sıra Rus devlet kurumlarına karşı bir siber saldırı hamlesi de olabileceğini belirtiyor.
Benzer bir yaklaşım da Mikhail Sinelnikov-Orishak’tan geldi. Orishak, Moskova’nın ABD’ye müdahale etmekle suçlamanın yapılacak önlemleri haklı çıkarması için harika bir neden olduğunu savunurken saldırıların arkasında tam olarak kimin olduğun belirlemenin imkansız olduğunu belirtti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Geçtiğimiz hafta siber güvenlik camiası FireEye’ın ofansif güvenlik için kullanılan Red Team gereçlerinin çalındığı saldırının etkilerine odaklanmışken, bu saldırının nasıl gerçekleştiğini araştıran FireEye, çok daha büyük bir saldırıyı ortaya çıkardı.
Pazar günü (13 Aralık) FireEye, SolarWinds saldırısı olarak anılacak olan ve kendisinin de kurbanları arasında olduğu siber saldırının ilk detaylarını yayınladı.
Tüm hafta boyunca konuşulan ve her gün en az iki ya da üç yeni gelişmenin yaşandığı siber saldırının ayrıntılarını ve bugüne kadar ortaya çıkan bilgileri sizler için derledik:
1- SolarWinds nedir?
SolarWinds, 1999’da Oklahoma’da iki kardeş tarafından kurulan ABD’de bulunan bir yazılım şirketi olan ,. Donald ve Davind Yonce kardeşler şirketi 2006’da bir sene sonra yüklü bir miktar yatırım alacakları Texas, Austin’e taşıdılar. 3 binden fazla çalışanı olan SolarWinds’in geçtiğimiz yıl açıkladığı geliri yaklaşık 1 milyar doları buluyor.
2. Şirket ile saldırının bağlantısı nedir?
Saldırganlar, SolarWinds’in ürettiği ağ izleme ve yönetme platformu Orion’u hedef aldılar. Ürün için güncelleme yazılımı sağlayan servise zararlı yazılım yerleştiren saldırganlar böylece ürünün yeni güncellenmesini yükleyen Orion kullanıcılarının ağlarına sızma gerçekşetirebildi.
Saldırıda istismar edilen arka kapı açıklığına teknoloji şirketleri -nedense- farklı isimler vermeyi tercih etti. FireEye’ın SUNBURST olarak adlandırdığı açıklığa, Microsoft Solorigate ismini vermeyi seçti. Fakat medyada saldırı SolarWinds saldırısı olarak anılmaya devam etti.
3. Saldırıdan kimler etkilendi?
SolarWinds’in toplam 300 binden fazla müşterisinin 33 bine yakını Orion müşterisi. Şirket yaptığı açıklamada zararlı yazılım yüklenmiş güncellemeyi 18 bin kullanıcının yüklediğini, dolayısıyla saldırıdan bu müşterilerin öncelikli olarak etkilenmiş olabileceğini belirtti. Saldırının hedefli bir saldırı olduğunu gösteren önemli noktalardan biri, sakat Orion güncellemesi yüklenen hedeflerden sadece bazılarında malware’in aktive edilmesi oldu.
Perşembe günü CISA’nın yaptığı açıklamada saldırganların operasyon için kullandıkları başka yollar da bulunduğunu bunların ortaya çıkartılması için çalışmaların devam ettiği belirtildi. Yani her geçen gün saldırıdan etkilenen kurumların sayısı artabilir. Bu zamana kadar başta FireEye ve Microsoft gibi özel kurumların dışında, ABD Hazine Bakanlığı, Ticaret Bakanlığı, Dışişleri Bakanlığı ve Ulusal Nükleer Güvenlik Ajansı, Enerji Bakanlığı, Anayurt Bakanlığı gibi kritik kamu kurumları da hedefler arasında. Microsoft 40 müşterisinin de saldırıdan etkilendiğini belirtti.
4. Saldırının arkasında kim var?
Saldırının boyutları ortaya çıkar çıkmaz, ABD hükümet seviyesinde harekete geçti. Kısa bir süre sonra Ulusal Güvenlik Konseyi bir araya geldi. FBI tarafından hacklenen devlet kurumlarında araştırma başlatıldı ve basına ‘soruşturmaya yakın kaynakların verdiği bilgiye dayanarak’ saldırının arkasında Rusya’nın olduğuna dair haberler sızdırıldı. Teknik olarak hangi delillere dayandırıldığı açıklanmayan bu suçlamalar yapılırken, konuyla ilgili rapor hazırlayan teknoloji firmaları da faillerin ‘devlet destekli’ olduğu üzerinde durdular. Basına yansıyan bilgilerde Rusya’nın dış istihbaratından sorumlu SVR operasyonun arkasındaki kurum olarak işaret edildi. SVR, Sovyet döneminden sonra kapatılan KGB’nin yerini alan kurum olarak biliniyor. ABD Dışişleri Bakanı da saldırıdan dolayı Rusya’yı suçladı.
5. Saldırı ne kadar zamandan beri devam ediyor?
İlk açıklamalar zararlı Orion güncellemelerinin mart ayından bu yana müşterilere gönderildiğini gösteriyordu. Fakat bu haber yazılırken ortaya çıkan bir bilgi, operasyonun çok önceden tasarlandığını ve ‘deneme sürüşlerinin’ yapılmaya başlandığını gösteriyor. Tecrübeli gazeteci Kim Zetter’ın haberine göre, saldırganların SolarWinds sistemine sızmaları 2019 ekimine kadar gidiyor. Bu tarihte sisteme sızan tehdit unsurları, Orion müşterilerine zararlı dosyalar gönderiyor fakat bunların içerisinde arka kapı açıklığı bulunmuyor. Saldırganların zaman baskısı olmadan operasyonu geliştirdiğini gösteren bu gelişme aynı zamanda tehdit unsurlarının şansa yer bırakmadan asıl operasyon öncesinde bir deneme yaptığını da gözler önüne seriyor. İlk denemeden 5 ay sonra arka kapı açıklığı olan zararlı yazılım yüklü diğer dosya da Orion kullanıcılarına gönderiliyor.
6. Tedarik Zinciri Saldırısı ne demek?
ABD’de birçok kurumu etkileyen saldırı bir tedarik zinciri olarak nitelendiriliyor. Peki nedir tedarik zinciri saldırısı? Saldırganların farklı kurumların kullandığı aynı üreticiden çıkmış ürünlere sızarak, kurumları direkt olarak hedeflemeden 3. taraf üzerinden sistemlerine sızabildikleri saldırılara tedarik zinciri saldırısı deniyor.
Diğer bir deyişle sistemlerine entegre ettikleri yazılım ve/veya donanım ile kurumlar saldırılara açık hale geliyorlar. Bunun en önemli örneklerinden bir tanesi İran’ın Natanz’daki nükleer tesisine dışarıdan aldığı bir parçaya yerleştirilen arka kapı açıklığıyla düzenlenen Stuxnet saldırısı oldu.
7. Saldırının şirkete etkisi ne oldu?
Konuyla ilgilenen medya kuruluşları, saldırının etkilerine odaklanırken aslında saldırının ilk mağduruna yeterli ilgiyi göstermedi. SolarWinds şirketinin sattığı ürünlerden birinin (bilindiği kadarıyla) hacklenmesiyle başlayan saldırıda en büyük mağdurlardan biri tabi ki SolarWinds şirketi oldu. Şirketin borsada işlem gören hisseleri yüzde 50’ye yakın bir kayıp yaşadı.
Gözden kaçırılmaması gereken bir noktada, şirketin bu fırtınaya kaptan değişimi sırasında yakalanması. 14 yıldır şirkette çalışan ve 11 yıldır da şirketin CEO’luğunu yapan Kevin Thompson 7 Aralık’ta, yani saldırının ortaya çıkmasında bir hafta önce, emekliliğe ayrıldı. Yerine geçecek olan Sudhakar Ramakrishna ise görevi 4 Ocak’ta teslim alacak. Saldırının tam bu tarihte ortaya çıkması ‘zamanlama manidar’ yorumlarına neden oldu.
8. Stratejik açıdan bu saldırı ne ifade ediyor?
ABD’nin bütün enerjisini ve odağını başkanlık seçimlerine verdiği bir dönemde operasyonun hazırlığının tamamlandığı anlaşılıyor. 2016 yılındaki seçimlerin öncesinde ve sırasında hack-leak operasyonları ve fake news ile gerçekleşen seçime müdahalenin tekrarlanmasını bekleyen ABD güvenlik eliti seçim güvenliği ile yatıp kalkarken, Rus istihbaratı adeta boş arazilerde rahatça at oynatmışa benziyor. Online dezenformasyon ve seçime hazırlanan adayların ekiplerinin siber güvenliği önceliklendirilirken bu kadar sıra dışı ve sofistike bir saldırıda ABD açıkta kalmış oldu. Tüm bunlara rağmen ABD’nin siber güvenliği sınıfta kaldı değerlendirmesi doğru bir sonuç ortaya koymayacaktır. Seçime yönelik siber operasyonlarla müdahale girişimleri olmuş olsa da, kamuoyu bunları ancak başarılı olduğu zaman öğrenebiliyor. Şayet böyle bir müdahale girişimi olduysa ve NSA ile Siber Komutanlık bunu başarıyla savuşturduysa bir kaç ay içerisinde bu operasyonun detaylarının bir şekilde basına sızması beklenebilir.
ABD Başkanı Donald Trump, ülkedeki birçok üst düzey yetkilinin tersine resmi kurumlara düzenlenen siber saldırıların arkasında Çin olduğunu iddia etti.
Trump, Twitter hesabından bugün paylaştığı mesajda, siber saldırılar hakkında her şeyin kontrol altında olduğunu belirterek, “Rusya, Rusya, Rusya. Herhangi bir şey olduğunda öncelikli terane bu, çünkü ana akım medya, çoğunlukla mali nedenlerden ötürü, Çin’in de (saldırıların arkasında) olabileceği olasılığını tartışmaktan korkuyor (olabilir!).” ifadelerini paylaştı.
Trump, siber saldırıların gerçekte “yalan haber” (fake news) medyasında anlatıldığından çok daha büyük olduğunu vurguladı.
Son başkanlık seçimleri sırasında tuhaf oy kullanma makinelerinin de hedef alınmış olabileceğini aktaran Trump, “Bu durum (seçimlerin) ABD için daha da yozlaşmış bir utanç haline geldiğini ve açık bir şekilde benim kazandığımı gösterir.” değerlendirmesinde bulundu.
Trump’ın Twitter’daki paylaşımı siber saldırı konusunda hükümetteki üst düzey açıklamalardan çok farklı. ABD Dışişleri Bakanı Mike Pompeo, cuma akşamı bir radyo programında yaptığı açıklamada, ABD’ye yönelik siber saldırıların arkasında “oldukça net” bir şekilde Rusya’nın olduğunu söyleyebileceklerini öne sürmüştü.
ABD’de başta devlet kurumları olmak üzere birçok kurumu sarsan SolarWinds siber saldırısı, ülkenin nükleer silahlarını da hedef aldı. Rusya destekli olduğu öne sürülen siber saldırganların , nükleer silahların korunmasından sorumlu olan Ulusal Nükleer Güvenlik Ajansı’nın (NNSA) sistemlerine de sızdığı ortaya çıktı.
ABD Enerji Bakanlığından yapılan açıklamada, söz konusu saldırının NNSA’yi de etkilediğine ilişkin kanıtların var olduğu bildirildi.
Açıklamada, devlet ve siber güvenlik sektörüyle iş birliği halinde SolarWinds saldırısına karşılık verildiği vurgulandı. Saldırıya ilişkin soruşturmanın sürdürüldüğü bilgisine yer verilen duyuruda ayrıca zafiyetten etkilenen tüm yazılımların belirlenerek ivedilikle kaldırıldığı belirtildi.
Enerji Bakanlığında yürütülen soruşturma sonuçlarına göre, nükleer silahların güvenliğinden sorumlu olan NNSA’nın güvenli nakliye birimi ofisi, Enerji Düzenleme Komisyonu (FERC), New Mexico ve Washington’daki Sandi ve Los Alamos laboratuvarlarında şüpheli aktivitelere rastlandı.
ABD Siber Güvenlik ve Alt Yapı Güvenliği Ajansından (CISA) geçtiğimiz günlerde yayımlanan uyarıda Rusya destekli olduğu öne sürülen APT29 (aka Cozy Bear) kod adlı bir siber tehdit grubun SolarWinds saldırısından etkilenen kurumların ağlarında uzun süredir var olduğunun tespit edildiğini duyurmuştu.
SolarWinds şirketinin birçok kurumda geniş bir müşteri portföyünün olması, başka devlet kurumlarında da ciddi güvenlik endişelerine neden oldu. Firmanın müşterileri arasına dünyanın en büyük şirketlerinin yer aldığı Fortune 500 listesindeki şirketler ve ABD’de ilk 10’da yer alan telekomünikasyon firmaları bulunuyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Fireye’ın ardından ABD Hazine Bakanlığı da Rus hackerların hedefinde
ABD’de siber güvenlik şirketi Fireye’a yönelik saldırının ardından Rusya destekli olduğu öne sürülen ikinci bir siber saldırı Hazine Bakanlığı’na düzenlendi.
Washington Post gazetesinin iddiasına göre Rusya hükümetinin çalıştırdığı bilgisayar korsanları, Hazine Bakanlığı, ABD Ticaret Bakanlığına bağlı Ulusal Telekomünikasyon ve Enformasyon İdaresi (NTIA) ve Fireeye’a ait büyük çapta veriyi ele geçirdi.
Saldırganlar, NTIA’da bulunan Microsoft Office sistemlerine de sızarak büyük bir veri hırsızlığı gerçekleştirdi.
ABD Ulusal Güvenlik Konseyi, saldırıya ilişkin acil bir toplantı düzenlendiğini duyurdu. Konsey sözcüsü John Ullyot yaptığı açıklamada, “ABD hükümeti, durumun farkında ve duruma ilişkin ayrıntıları ortaya çıkarmak için gerekli tüm adımlar atılıyor.” ifadelerini kullandı.
FireEye’dan yapılan açıklamada ise saldırının ilk olarak yazılım sağlayıcısı şirket SolarWinds’in sistemlerine sızılmasıyla başladığı tespit edildiği değerlendirmesi yer aldı. Saldırının bir Supply Chain (tedarik zinciri) saldırısı olduğu ve saldırıdan Fireye firmasının da etkilendiği belirtildi. Firma duruma karşı tedbirlerin yer aldığı biryazıyı GitHub üzerinden kamuoyuyla paylaştı.
ÇOK SAYIDA KAMU KURUMU VE ÖZEL ŞİRKET RİSK ALTINDA
Sistemlere sızılmasının ardından siber saldırganlar zararlı yazılım yerleştirilen Orion yazılımının güncellemesini kullanıcılara yüklemesi için gönderdi. Böylelikle başta Hazine Bakanlığı olmak üzere birçok kamu ve özel sektör kurumuna ait sistemlere sızma gerçekleştirildi.
SolarWinds şirketinin birçok kurumda geniş bir müşteri portföyünün olması, başka devlet kurumlarında da ciddi güvenlik endişelerine neden oldu. Firmanın müşterileri arasına dünyanın en büyük şirketlerinin yer aldığı Fortune 500 listesindeki şirketler ve ABD’de ilk 10’da yer alan telekomünikasyon firmaları bulunuyor.
Rusya Dışişleri Bakanlığından ise konuya ilişkin yapılan açıklamada, olayın ABD medyası tarafından Rusya’yı suçlamak içidile getirilen temelsiz iddialardan ibaret olduğu belirtildi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
