Rusya’nın dış istihbarat ajansıyla bağlantılı olduğuna inanılan siber tehdit aktörleri, sahte bir ikinci el araba ilanıyla Ukrayna’daki büyükelçiliklerde görev yapan diplomatları hedef aldı.
Palo Alto Networks’ün Unit 42 araştırma bölümü tarafından yayınlanan rapora göre geniş kapsamlı casusluk faaliyeti, en az 22 diplomatı etkiledi.
Olay ilk olarak Polonya Dışişleri Bakanlığı’nda çalışan bir diplomatın Nisan 2023 ortalarında Kiev’de bulunan bir BMW 5 serisi aracını internet üzerinden satışa koymasıyla başladı.
“APT29 veya Cozy Bear” olarak bilinen grup ise internete koyulan bu satılık araç ilanın sahtesini, “aracın daha yüksek kalitede fotoğraflarını görmek isterseniz bu bağlantıya tıklayınız” notuyla hedef aldıkları yabancı diplomatların e-posta adresine gönderdi.
Sahte ilan içinde yer alan Polonyalı diplomatın BMW’si, tehdit aktörleri tarafından ilana daha düşük bir fiyat olan 7,500 euro olarak konuldu. Bu şekilde daha fazla kişinin kötü amaçlı yazılımı indirmesi teşvik edilmeye çalışıldı.
Unit 42’nin raporuna göre bu yazılım, kullanıcının cihazına uzaktan erişim sağlayacak şekilde gizlenmiş bir fotoğraf albümü olarak kılık değiştirmişti.
Zararlı yazılım içeren bağlantı, bağlantıya tıklandığı anda diplomatların bilgisayarlarına indi.
Unit42’nin yayımladığı raporda söz konusu olay için “Kapsam olarak APT operasyonlarında şaşırtıcı bir durumla karşı karşıyayız.” ifadeleri kullanıldı.
Nisan ayında Polonyalı karşı istihbarat ve siber güvenlik yetkilileri aynı grubun NATO üyesi ülkelere, Avrupa Birliği’ne ve Afrika’ya yönelik “yaygın bir istihbarat kampanyası” yürüttüğü uyarısında bulunmuştu.
RUS DIŞ İSTİHBARAT SERVİSİNE ÇALIŞIYORLAR
Rusya merkezli bir siber casusluk grubu olan APT29, bir dizi hedefe karşı gelişmiş kalıcı tehdit saldırıları gerçekleştirmekle birlikte özellikle 2016 ABD başkanlık seçimlerine müdahale etmekle suçlanmıştı.
Hedefleri arasında devlet kurumları, askeri kurumlar, savunma şirketleri ve enerji sektörü yer alan APT29, ilk olarak 2015 yılında FireEye adlı siber güvenlik şirketi tarafından keşfedilmişti.
APT29, Rusya’nın dış istihbarat servisi SVR’nin bir kolu olarak görülüyor.
Unit 42 araştırmacıları da sahte araba ilanını, daha önce kendileriyle ilişkilendirilmiş bazı araçları ve teknikleri yeniden kullanması dolayısıyla SVR’ye bağladı.
Raporda, “Diplomatik misyonlar her zaman yüksek değerli bir casusluk hedefi olacaktır. Rusya’nın Ukrayna işgali üzerinden 16 aydan fazla bir süre geçmesine rağmen, Ukrayna ve müttefik diplomatik çabalarla ilgili istihbaratlar muhtemelen Rus hükûmeti için öncelikli bir konudur.” ifadeleri yer aldı.
HANGİ BÜYÜKELÇİLİKLERİN ETKİLENDİĞİ BELİRSİZ
APT29 tarafından hedef alınan 22 büyükelçilikten 21’i yorum yapmadı. Hangi büyükelçiliklerin etkilendiği belirsizliğini sürdürmekle birlikte ABD Dışişleri Bakanlığı sözcüsü, “Bu faaliyetin farkındayız ve analizlerimize göre, bakanlık sistemlerini veya hesaplarını etkilemediği sonucuna vardık.” şeklinde açıklama yaptı.
Arabasının hâlâ satılık durumda olduğunu belirten Polonyalı diplomatsa, “Muhtemelen onu Polonya’da satmaya çalışacağım. Bu durumdan sonra daha fazla sorun yaşamak istemiyorum.” dedi.
Geçtiğimiz hafta siber güvenlik camiası FireEye’ın ofansif güvenlik için kullanılan Red Team gereçlerinin çalındığı saldırının etkilerine odaklanmışken, bu saldırının nasıl gerçekleştiğini araştıran FireEye, çok daha büyük bir saldırıyı ortaya çıkardı.
Pazar günü (13 Aralık) FireEye, SolarWinds saldırısı olarak anılacak olan ve kendisinin de kurbanları arasında olduğu siber saldırının ilk detaylarını yayınladı.
Tüm hafta boyunca konuşulan ve her gün en az iki ya da üç yeni gelişmenin yaşandığı siber saldırının ayrıntılarını ve bugüne kadar ortaya çıkan bilgileri sizler için derledik:
1- SolarWinds nedir?
SolarWinds, 1999’da Oklahoma’da iki kardeş tarafından kurulan ABD’de bulunan bir yazılım şirketi olan ,. Donald ve Davind Yonce kardeşler şirketi 2006’da bir sene sonra yüklü bir miktar yatırım alacakları Texas, Austin’e taşıdılar. 3 binden fazla çalışanı olan SolarWinds’in geçtiğimiz yıl açıkladığı geliri yaklaşık 1 milyar doları buluyor.
2. Şirket ile saldırının bağlantısı nedir?
Saldırganlar, SolarWinds’in ürettiği ağ izleme ve yönetme platformu Orion’u hedef aldılar. Ürün için güncelleme yazılımı sağlayan servise zararlı yazılım yerleştiren saldırganlar böylece ürünün yeni güncellenmesini yükleyen Orion kullanıcılarının ağlarına sızma gerçekşetirebildi.
Saldırıda istismar edilen arka kapı açıklığına teknoloji şirketleri -nedense- farklı isimler vermeyi tercih etti. FireEye’ın SUNBURST olarak adlandırdığı açıklığa, Microsoft Solorigate ismini vermeyi seçti. Fakat medyada saldırı SolarWinds saldırısı olarak anılmaya devam etti.
3. Saldırıdan kimler etkilendi?
SolarWinds’in toplam 300 binden fazla müşterisinin 33 bine yakını Orion müşterisi. Şirket yaptığı açıklamada zararlı yazılım yüklenmiş güncellemeyi 18 bin kullanıcının yüklediğini, dolayısıyla saldırıdan bu müşterilerin öncelikli olarak etkilenmiş olabileceğini belirtti. Saldırının hedefli bir saldırı olduğunu gösteren önemli noktalardan biri, sakat Orion güncellemesi yüklenen hedeflerden sadece bazılarında malware’in aktive edilmesi oldu.
Perşembe günü CISA’nın yaptığı açıklamada saldırganların operasyon için kullandıkları başka yollar da bulunduğunu bunların ortaya çıkartılması için çalışmaların devam ettiği belirtildi. Yani her geçen gün saldırıdan etkilenen kurumların sayısı artabilir. Bu zamana kadar başta FireEye ve Microsoft gibi özel kurumların dışında, ABD Hazine Bakanlığı, Ticaret Bakanlığı, Dışişleri Bakanlığı ve Ulusal Nükleer Güvenlik Ajansı, Enerji Bakanlığı, Anayurt Bakanlığı gibi kritik kamu kurumları da hedefler arasında. Microsoft 40 müşterisinin de saldırıdan etkilendiğini belirtti.
4. Saldırının arkasında kim var?
Saldırının boyutları ortaya çıkar çıkmaz, ABD hükümet seviyesinde harekete geçti. Kısa bir süre sonra Ulusal Güvenlik Konseyi bir araya geldi. FBI tarafından hacklenen devlet kurumlarında araştırma başlatıldı ve basına ‘soruşturmaya yakın kaynakların verdiği bilgiye dayanarak’ saldırının arkasında Rusya’nın olduğuna dair haberler sızdırıldı. Teknik olarak hangi delillere dayandırıldığı açıklanmayan bu suçlamalar yapılırken, konuyla ilgili rapor hazırlayan teknoloji firmaları da faillerin ‘devlet destekli’ olduğu üzerinde durdular. Basına yansıyan bilgilerde Rusya’nın dış istihbaratından sorumlu SVR operasyonun arkasındaki kurum olarak işaret edildi. SVR, Sovyet döneminden sonra kapatılan KGB’nin yerini alan kurum olarak biliniyor. ABD Dışişleri Bakanı da saldırıdan dolayı Rusya’yı suçladı.
5. Saldırı ne kadar zamandan beri devam ediyor?
İlk açıklamalar zararlı Orion güncellemelerinin mart ayından bu yana müşterilere gönderildiğini gösteriyordu. Fakat bu haber yazılırken ortaya çıkan bir bilgi, operasyonun çok önceden tasarlandığını ve ‘deneme sürüşlerinin’ yapılmaya başlandığını gösteriyor. Tecrübeli gazeteci Kim Zetter’ın haberine göre, saldırganların SolarWinds sistemine sızmaları 2019 ekimine kadar gidiyor. Bu tarihte sisteme sızan tehdit unsurları, Orion müşterilerine zararlı dosyalar gönderiyor fakat bunların içerisinde arka kapı açıklığı bulunmuyor. Saldırganların zaman baskısı olmadan operasyonu geliştirdiğini gösteren bu gelişme aynı zamanda tehdit unsurlarının şansa yer bırakmadan asıl operasyon öncesinde bir deneme yaptığını da gözler önüne seriyor. İlk denemeden 5 ay sonra arka kapı açıklığı olan zararlı yazılım yüklü diğer dosya da Orion kullanıcılarına gönderiliyor.
6. Tedarik Zinciri Saldırısı ne demek?
ABD’de birçok kurumu etkileyen saldırı bir tedarik zinciri olarak nitelendiriliyor. Peki nedir tedarik zinciri saldırısı? Saldırganların farklı kurumların kullandığı aynı üreticiden çıkmış ürünlere sızarak, kurumları direkt olarak hedeflemeden 3. taraf üzerinden sistemlerine sızabildikleri saldırılara tedarik zinciri saldırısı deniyor.
Diğer bir deyişle sistemlerine entegre ettikleri yazılım ve/veya donanım ile kurumlar saldırılara açık hale geliyorlar. Bunun en önemli örneklerinden bir tanesi İran’ın Natanz’daki nükleer tesisine dışarıdan aldığı bir parçaya yerleştirilen arka kapı açıklığıyla düzenlenen Stuxnet saldırısı oldu.
7. Saldırının şirkete etkisi ne oldu?
Konuyla ilgilenen medya kuruluşları, saldırının etkilerine odaklanırken aslında saldırının ilk mağduruna yeterli ilgiyi göstermedi. SolarWinds şirketinin sattığı ürünlerden birinin (bilindiği kadarıyla) hacklenmesiyle başlayan saldırıda en büyük mağdurlardan biri tabi ki SolarWinds şirketi oldu. Şirketin borsada işlem gören hisseleri yüzde 50’ye yakın bir kayıp yaşadı.
Gözden kaçırılmaması gereken bir noktada, şirketin bu fırtınaya kaptan değişimi sırasında yakalanması. 14 yıldır şirkette çalışan ve 11 yıldır da şirketin CEO’luğunu yapan Kevin Thompson 7 Aralık’ta, yani saldırının ortaya çıkmasında bir hafta önce, emekliliğe ayrıldı. Yerine geçecek olan Sudhakar Ramakrishna ise görevi 4 Ocak’ta teslim alacak. Saldırının tam bu tarihte ortaya çıkması ‘zamanlama manidar’ yorumlarına neden oldu.
8. Stratejik açıdan bu saldırı ne ifade ediyor?
ABD’nin bütün enerjisini ve odağını başkanlık seçimlerine verdiği bir dönemde operasyonun hazırlığının tamamlandığı anlaşılıyor. 2016 yılındaki seçimlerin öncesinde ve sırasında hack-leak operasyonları ve fake news ile gerçekleşen seçime müdahalenin tekrarlanmasını bekleyen ABD güvenlik eliti seçim güvenliği ile yatıp kalkarken, Rus istihbaratı adeta boş arazilerde rahatça at oynatmışa benziyor. Online dezenformasyon ve seçime hazırlanan adayların ekiplerinin siber güvenliği önceliklendirilirken bu kadar sıra dışı ve sofistike bir saldırıda ABD açıkta kalmış oldu. Tüm bunlara rağmen ABD’nin siber güvenliği sınıfta kaldı değerlendirmesi doğru bir sonuç ortaya koymayacaktır. Seçime yönelik siber operasyonlarla müdahale girişimleri olmuş olsa da, kamuoyu bunları ancak başarılı olduğu zaman öğrenebiliyor. Şayet böyle bir müdahale girişimi olduysa ve NSA ile Siber Komutanlık bunu başarıyla savuşturduysa bir kaç ay içerisinde bu operasyonun detaylarının bir şekilde basına sızması beklenebilir.
