Mayıs ve haziran aylarında, dünya çapında 2 önemli fidye virüsü saldırısı yaşandı. Her 2 saldırının da çok fazla yayılmamış olmalarına karşın “çok tehlikeli” şeklinde tanımlanmaları, pek çok kişinin “nasıl tehlikeli” şeklindeki merakına neden oldu.
Bu yazıda hem bu virüslerin nereden çıktığını, hem de neden tehlikeli olduklarına yakından bakacağız.
Her 2 saldırının önceki saldırılardan farklı yönü, NSA tarafından dünyadaki tüm kişisel ve kurumsal bilgisayarlara sızmak için sipariş edilmiş yazılımları-kodları kullanıyor olmaları. Yani bunlar modern çağın casuslarını kendi lehlerine kullanıyorlar. Diigital çağın James Bond’u artık sadece kraliçenin hizmetinde değil, şimdi adi suçluların hizmetine soyunmuş durumda.
Üstelik NSA’den çalınmış tüm “casusluk kodları” henüz yayınlanmış bile değil diyorlar. Daha çok olduğu kaydediliyor. Yani farklı farklı siber saldırılar yolda olabilir. NSA'in networklere virüs bulaştırdığı 2013'de bile konuşuluyordu [1].
NSA Pandora’nın Kutusu'nu mu açmış?
Geçen yıl şubat ayında ABD/San Bernardino’da gerçekleştirilen IŞID tabanlı saldırı sonrasında, hatırlayacaksınız FBI, Apple firmasını, saldırganın iPhone telefonunun şifresini çözmesi için zorlamaya çalışmıştı. Buna karşılık CEO Tim Cook, Çin gibi ülkelerin de isteyeceği dışında “bu arka kapı bir kez açılırsa, hackerların da eline geçer” gibi bir ifade kullanmıştı [2].
Konumuz bu şifre değil. Yani sonrasında neler olduğu ya da bunun bir tiyatro olup olmadığını tartışmayacağız [2]. Ama Cook’un ifadesinin çok doğru olduğu, NSA’in yazdırdığı kodların Shadow Brokers isimli hackerlar tarafından çalınmasıyla ortaya çıktı.
Gerçi Shadow Brokers NSA kodlarının 2013’den beri elinde olduğunu ve 300 MB kod çaldığını açıkladı [3]. Belki de bu kodların yazımı sırasında orada ya da burada yer almış birilerinden bahsediyoruz. Sızıntılardan anlaşılan; NSA'in temel hedeflerinin Çin, Japonya, Kore ve sistemlerin de Solaris, Unix, Linux ve FreeBSD olduğu şeklindeydi.
Shadow Brookers geçen yıl --ispatlama amaçlı olarak-- bir parça kod yayınladıktan sonra ellerinde çok kıymetli kodlar olduğunu ve bunların çeşitli üreticilere ait yazılım ya da donanımların zayıf noktalarını kullanarak bilgisayarlara sızmaya yaradığını söyledi. Grup kodların CIA'ye bağlı Equation Group dolayısıyla da NSA (Amerikan Ulusal Güvenlik Ajansı) tarafından yazdırıldığını iddia etti.
Daha da ötesi, Shadow Brokers, Equation Group'un teknoloji firmalarına --insanlar farketmediği sürece-- açıkları kapatmamaları için para verdiğini iddia ediyor. Geçen yıl başında, bağımsız güvenlik araştırmacılarınca, önemli network markalarının bir kaç tanesinde birden –Juniper, Fortynet vs—arka kapılar bulunmuş ve firmalar şaşkınlık göstererek, derhal soruşturma açacaklarını bildirmişlerdi. Bu soruşturmaların sonucuna dair bir şey duymadık. Anlaşılan SB çok da haksız değil.
Anlayacağınız NSA Pandora’nın kutusunu açmış. Bu kutudan çıkanlara sadece NSA mi sahip olacak? Hayır !! O kodlar - sızma araçları bir kere geliştirildi mi, şimdi tüm dünyanın suçlularının eline geçiyorlar..
Ama NSA'in sabıkası zaten kabarık. Edward Snowden de bunun başka bir boyutunu anlatmaya çalışıyordu[4].
Shadow Brokers kimdir, ne iş yapar?
Shadow Brokers’ın (SB) kim ya da kimler olduğu bilinmiyor. Rus asıllı oldukları söylentileri var. Ama doğrulanmış değil. SB 1 ay önce yayınladıkları bir blog yazısında [5], neyi hedeflediklerini açıkladı; özetle para kazanmak istiyor.
Grup blog mesajında, geçen yıl arttırma yapmasına dair soran ya da eleştirenlere karşı, ödüller, kurumsal imparatorluklara katılmak ya da satmakla ilgilenmediğini belirtirken; "açık arttırmaya Equation Group, Five Eyes, Rusya, Çin, Iran, Kore, Japonya, Israil, Saudi Arabistan, Birleşmiş Milletler, NATO, herhangi bir hükümet, Cisco, Juniper, Intel, Microsoft, Symantec, Google, Apple, FireEye, ya da başka bir güvenlik firması katılmadı ve biz ihaleyi iptal ettik" sözleriyle süreci anlatıyor.
Başka deyişle, ellerinde bu firmaların yazılım/donanımlarının açıklarına uyan kodlar var. Ama sanırız, fidyecilere para kaptırmamak ve/veya açıklarını kabul eder gözükmemek için oralı olmamışlar.
İhalenin iptalinden sonra, SB kodları bir siteden satışa çıkarmış ama yine satın alan olmamış. Bunun üzerine ocak başında Equation Group’e doğrudan yazıp, bu kodları geri almak isteyip istemediklerini sormuş ve ellerindeki kodları ispat için ekran resimleri göndermiş.
Equation Group, cevap vermek yerine, anlaşılan açıkları Microsoft’a raporlamış ki, açıklar hemen yamalanmaya başlamış. Aynı şekilde Oracle’ın da aynı dönemde 120 açığı yamaladığı görülmüş.
Shadow Brokers, kyaşlı insanların emeklilik paralarını çalmakla ilgilenmediğini belirtiyor ve "Microsoft'un NSA'ya babalanmasına bakmayın, aralarında her yıl yüz milyon-milyar $'lık kontratlar var. Birbirinde çalışan elemanları var. Ayrıca Google Project Zero içinde de Equation Group elemanları var. [5]" diyor.
WannaCry ve Petya süreci
Microsoft WannaCry ve Petya’nın kullandığı “Eternal Blue” ismi verilen Windows açığını mart ayında yamaladı. Shadow Brokers kendi ifadesine göre 30 gün beklemiş ve sonra bu açığı kullanan aracın kodlarını yayınladı.
Kodları kimin aldığını hala bilmiyoruz ama bu kodu kullanarak nisan sonunda yapılan WannaCry saldırısı 200 bin kadar bilgisayarı etkiledi. Hasarın az olmasının bir nedeni, mart ayında yamasının yayınlanmış olmasıydı. Diğer bir nedeni de, Windows kullanımının azalması olabilir [6].
Ancak SB, mayıs sonundaki blog yazısında, kalan kodları kendi sitesinden abonelik usulü satacağını duyurdu [7].
Arkasından bu Petya saldırısı meydana geldi.
Petya: Yazılım tedarik zinciri ile yayılıyor
Petya, Altıngöz ya da ExPetr adlarıyla adlandırılan son saldırıda farklı bir yön var. Saldırı “Software Supply Chain” şeklinde yani yazılımın güncellenmesi sırasında bulaşmış. Bu bilgisayarlara sızma açısından korkutucu bir yöntem. Microsoft güncellemeyi yapan servis firmalarının sunucularına dikkat çekiyor. Sonuçta, yeni bir güncelleme ya da yama aldığınız sanırken, aslında virüs alıyor olabilirsiniz. Tehlikeli olan bir yön de bu “usül” oluyor. Daha önce belirtilen; “linke tıklama”, “pencere açma” gibi yöntemlerin bu saldırı tarzında bir anlamı kalmıyor. Korunmak ancak yazılımı güncelleyen firmanın dikkatine kalıyor.
Ya sonra?!
Bu işin sonrasında yeni saldırılar bekleniyor. Çünkü çalınan kodlar 300 MB civarında ve çok çeşitli cihaz ve yazılımlara ait olduğu belirtiliyor. SB’nin saydığı firmalara bakılırsa, saldırı cinslerinin farklı olabileceği de görülüyor. Bugün Windows, yarın Cisco.. kim bilir? Batı kaynakları SWIFT gibi finansal sistemlere yansıyacağını da öngörüyorlar.
Shadow Brokers nisan ayında yayınladığı bir mesajda.. Elitlerin zenginliğinin ve kontrolünün, elektronik verilere dayandığını belirterek : "Zengin elitlerin siber silahların tehlikesini farkettiklerinden emin olmak istiyoruz. Bu mesaj ve ihalemiz, onların zenginliğini ve kontrolünü hedefliyor" diyordu. Yani devam edecek bir süreçten bahsediyoruz.
Bu arada kötü bir gelişme de, fidye saldırılarının artık hizmet olarak yani RaaS (ransoware as a service) sunulmaya başlamış olması. Anlayacağınız, bu tür saldırıları daha fazla göreceğiz ve hatta tadacağız.
GPS sinyal kesintisinin nedeni siber saldırı mı?
Bugün cep telefonlarımıza kadar girmiş olan GPS yani coğrafi konumlandırma sisteminin önemi malum; bugün uçak ve gemiler, yarın otonom araçlar hep bu GPS sisteminden veri alıyorlar. Petya saldırıları sonrası konuşulmaya başlanan bir konu da bu; GPS sistemlerinin siber saldırılara karşı savunmasız olduğu ve bu nedenle acilen yedekleme üzerinde konuşulması gerektiğini söylüyorlar [8].
Hatırlarsanız, geçen hafta Türkiye'nin doğusunda da GPS sinyallerinin yokolduğu konuşulmuştu [9].
İş sürekliliği süreçleri, fidye virüslerini kapsamıyor mu?
Son olarak kaydedelim; Petya olarak adlandırılan siber saldırıdan bu yana 1 hafta geçti ama Dünyanın kontayner trafiğinin % 18’ini taşıdığı bildirilen Danimarkalı Maersk firmasının henüz önceki haline dönemediği raporlanıyor [10]. 76 ülkede terminali olan Maersk, bazı süreçlerini hala manuel yönetiyor.
Buradaki en önemli ders; 20 yıldır bilgisayar sistemlerindeki en sıcak alanlardan birisi olan “İş Sürekliliği” konusunda firmaların sınıfta kaldığı. Yayınlanan yamaların bile yüklenmediği görülüyor.
Anlaşılan, deprem, yangın, fırtına gibi afetlere karşı hazırlıklı olmak anlamına gelen “İş Sürekliliği” ya da “Felaket Planlaması” konusunda “fidye” ya da her türlü virüsler için önlemler eksik kalmış.
Kısaca kurumsal yapılarda virüs saldırılarına karşı neler yapılabilir bahsedelim; tabi ki, asıl sunuculardan ayrı bir yerde yedekleme yapılmış olması lazım. Yine tabi ki, güncellemelerin yapılmış olması ve bunların da güvenilir sunuculardan alınması lazım. Admin ve üst seviye yetkili hesaplarının parolalarının sürekli değiştirilmesi de önemli. Firewall’ların yanı sıra ihlal belirleme ve engelleme sistemleri de kullanılmalı.
[1] NSA, Dünya Genelinde 50.000 Bilgisayar Ağına Teknik Takip Amaçlı Kötücül Yazılım Bulaştırmış
[2] Apple - FBI Kavgasında Ne Nedir? Zuckerberg Yeniden Destek Açıkladı
[3] NSA Hacking Aracı Sızdı; İstenilen Her Makinaya Girilebiliyor
[4] NSA Sızıntılarının Ardındaki İsim Edward Snowden, Görevini Tamamladığını Açıkladı
[5] Yeni Siber Saldırı Riskleri Geliyor; Microsoft-Oracle-NSA İlişkisine Dikkat çeken Shadow Brookers Her Ay Yeni Bir Açık ve Kod Yayınlayacak
[6] Tarihi Dönemeç; Gitgide Düşen Windows Liderliği İlk Kez Kaybetti
[7] Shadows Brookers, Sıfırıncı Gün Açıklarına Yönelik Abonelik Hizmeti Duyurdu
[8] GPS Sistemlerindeki Aksamanın Nedeni Petya Saldırısı mı?
[9] Doğuda GPS Sinyallerinin Bloklandığı Uyarısı Yapıldı, Çin Sistemleri Bir Seçenek Olabilir mi?
[10] İş Sürekliliğinin Önemi; Petya Saldırısından 5 Gün Sonra Maersk Hala Önceki Haline Dönemedi
