ABD devlet kurumlarını ve özel şirketleri hedef alan en büyük siber saldırılardan biri olan “SolarWinds”, küresel bir çaba olarak görülüyor. Nasıl gerçekleştirildi ve ne tür veriler ele geçirildi? ABD hükümet yetkilileri ve politikacıları neden Rusya’yı seçti?
Yakın zamanda Amerika Birleşik Devletleri’nde keşfedilen bir siber saldırı olan ‘SolarWinds hack’, ABD hükümetine, kurumlarına ve diğer bazı özel şirketlere karşı şimdiye kadar hedef alınan en büyük saldırılardan biri olarak ortaya çıktı. Öte yandan bunun küresel bir siber saldırı olması da muhtemel.
İlk olarak ABD siber güvenlik şirketi FireEye tarafından keşfedildi ve o zamandan beri her geçen gün daha fazla gelişme gün yüzüne çıkmaya devam ediyor. ABD Hazinesi, İç Güvenlik Bakanlığı, Ticaret Bakanlığı, Pentagon’un bazı bölümlerinin etkilendiğine inanılmasına rağmen, siber saldırının büyüklüğü halen daha bilinmemekte.
The New York Times için yazılan bir görüş yazısında, Başkan Donald Trump’ın İç Güvenlik Danışmanı Thomas P. Bossert saldırı için Rusya’nın adını verdi. “SolarWinds saldırısındaki kanıtlar, ticari aracı dünyanın en gelişmişleri arasında yer alan SVR olarak bilinen Rus istihbarat teşkilatına işaret ediyor.” Kremlin ise olaya müdahalesi olduğuna dair iddiayı reddetti.
Peki, ‘SolarWinds hack’ nedir?
Siber saldırı haberi teknik olarak ilk olarak 8 Aralık’ta FireEye’ın sistemlerine bir saldırı tespit eden bir blog yayınlamasıyla ortaya çıktı. Firma, birkaç büyük özel şirketin ve federal devlet kurumlarının güvenlik yönetimine yardımcı oluyor.
FireEye CEO’su Kevin Mandia bir blog yazısında, şirketin “son derece karmaşık bir tehdit aktörü tarafından saldırıya uğradığını” söyleyerek, Rusya’nın adını vermemesine rağmen, devlet destekli bir saldırı olarak nitelendirdiğini yazdı. Saldırının “üst düzey saldırı yeteneklerine sahip” bir ülke tarafından gerçekleştirildiğini ve “saldırganın öncelikle belirli devlet müşterileriyle ilgili bilgileri aradığını” söyledi. Saldırganların kullandığı yöntemlerin de yeni olduğunu söyledi.
Daha sonra 13 Aralık’ta FireEye, Campaign UNC2452 adını verdiği siber saldırının şirkete dahil olmadığını, ancak dünya çapında çeşitli “kamu ve özel kuruluşları” hedef aldığını söyledi. Yazıda, saldırının büyük olasılıkla “Mart 2020’de başladığı ve aylardır devam ettiği” belirtildi. Daha da kötüsü, saldırının ölçeği keşfedilmeye devam ettiğinden, çalınan veya tehlikeye atılan verilerin kapsamı hala bilinmemekte. Sistemler tehlikeye atıldıktan sonra, “yanal hareket ve veri hırsızlığı” gerçekleşti.
Bu kadar çok ABD devlet kurumu ve şirketi nasıl saldırıya uğradı?
Buna ‘Tedarik Zinciri’ saldırısı deniyor: Bilgisayar korsanları, federal hükümete veya özel bir kuruluşun ağına doğrudan saldırmak yerine, onlara yazılım sağlayan üçüncü taraf bir satıcıyı hedef alıyor. Bu durumda hedef, Teksas merkezli SolarWinds şirketi tarafından sağlanan Orion adlı bir BT yönetim yazılımıydı.
Orion, 33.000’den fazla şirketi içeren müşterileri ile SolarWinds’in en büyük yazılımlarından biri. SolarWinds, 18.000 müşterisinin etkilendiğini söylüyor. Bu arada, şirket müşteri listesini resmi web sitelerinden sildi.
Google’ın Web Arşivlerinden de temizlenen sayfaya göre listede, ABD’deki en iyi 10 telekom operatörü olan Fortune 500’deki 425 şirket yer alıyor. Bir New York Times haberi Pentagon, Hastalık Kontrol ve Önleme Merkezleri, Dışişleri Bakanlığı, Adalet Bakanlığı ve diğerlerinin tümünün etkilendiğini söyledi.
Microsoft , “üretim hizmetlerine veya müşteri verilerine erişim” veya “sistemlerinin başkalarına saldırmak için kullanıldığına” dair hiçbir kanıt bulunmadığını eklemesine rağmen, sistemlerinde kötü amaçlı yazılımın kanıtını bulduğunu doğruladı. Microsoft başkanı Brad Smith, şirketin “40’tan fazla müşteriye saldırganların daha hassas hedef aldığını ve tehlikeye girdiklerini bildirmeye başladığını” söyledi.
Bir Reuters raporu, İç Güvenlik Bakanlığı yetkilileri tarafından gönderilen e-postaların bile “bilgisayar korsanları tarafından izlendiğini” söyledi.
Nasıl erişim sağladılar?
FireEye’a göre, bilgisayar korsanları “SolarWinds’in Orion BT izleme ve yönetim yazılımına yapılan truva atlı güncellemeler yoluyla kurbanlara erişim elde ettiler”. Temel olarak, bir yazılım güncellemesi ‘Sunburst’ kötü amaçlı yazılımını Orion’a yüklemek için istismar edildi ve daha sonra 17.000’den fazla müşteri tarafından kuruldu.
FireEye, saldırganların tespit edilmekten kaçınmak ve “faaliyetlerini gizlemek” için “birden fazla tekniğe” güvendiğini söylüyor. Kötü amaçlı yazılım, sistem dosyalarına erişebiliyordu. FireEye’a göre, kötü amaçlı yazılımın işine yarayan şey, “yasal SolarWinds etkinliğine uyum sağlaması” oldu.
Kötü amaçlı yazılım yüklendikten sonra, bilgisayar korsanlarına SolarWinds müşterilerinin sistemlerine ve ağlarına bir arka kapı girişi sağladı. Daha da önemlisi, kötü amaçlı yazılım, anti-virüs gibi onu algılayabilen araçları da engelleyebildi.
Rusya olayın neresinde?
Bossert, NYT görüş yazısında, böylesi bir ustalık ve ölçekte saldırıyı gerçekleştirme kabiliyetine sahip olarak Rusya’yı ve ajansı SVR’yi dile getirdi.
Microsoft blogunda “saldırının bu yönünün neredeyse küresel öneme sahip bir tedarik zinciri zafiyeti yarattığını ve Rusya dışındaki birçok büyük ulusal başkente ulaştığını” belirtiyor. Rusya’dan gelen karmaşık saldırıların yaygınlaştığını da eklemeye devam ediyor.
Ancak FireEye henüz Rusya’yı sorumlu olarak adlandırmadı ve bunun FBI, Microsoft ve adı verilmeyen diğer önemli ortaklarla devam eden bir soruşturma olduğunu söyledi.
SolarWinds ve ABD hükümeti saldırı hakkında ne söyledi?
Şu anda SolarWinds, tüm müşterilerine, bu kötü amaçlı yazılım için bir yama içeren mevcut Orion platformunu derhal güncellemelerini tavsiye ediyor. Şirket ayrıca “Bir ortamda saldırgan etkinliği keşfedilirse, kapsamlı bir araştırma yapılmasını ve etkilenen ortamın soruşturma bulguları ve ayrıntılarına dayalı bir iyileştirme stratejisi tasarlamanızı ve yürütmenizi öneririz” diyor.
Güncelleme yapamayanlara “SolarWinds sunucularını” izole etmeleri ve “SolarWinds sunucularından tüm İnternet çıkışlarının engellenmesi” söyleniyor. En azından ise, “SolarWinds sunucularına/altyapısına erişimi olan hesaplar için şifrelerin değiştirilmesi” önerisi yapılmakta.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) 21-01 Acil Durum Direktifi yayınladı ve tüm “federal sivil kurumlardan sızma göstergeleri için ağlarını gözden geçirmelerini” istedi. Kurumlardan “SolarWinds Orion ürünlerini derhal kesmelerini veya kapatmalarını” istedi.
FBI, CISA ve Ulusal İstihbarat Direktörünün ofisi ortak bir bildiri yayınladı ve krize karşı hükümetin tepkisini koordine etmek için ‘Siber Birleşik Koordinasyon Grubu (UCG)’ olarak adlandırılan oluşumu açıkladı. Açıklama, bunu “önemli ve devam eden bir siber güvenlik kampanyası” olarak adlandırıyor.
Beyaz Saray ve Başkan Donald Trump sessiz kaldı. Senatör Mitt Romney görüşlerini SiriusXM radyodan gazeteci Olivier Knox’a yaptığı yorumlarda özetledi ve bu saldırıyı, ABD’nin siber savaş zayıflığını açığa çıkaran, ülkenin her yerinde fark edilmeden uçan Rus bombardıman uçaklarıyla karşılaştırdı. Beyaz Saray’ın sessizliği ve eylemsizliğinin affedilemez olduğunu söyledi.
Demokrat Senatör Richard Blumenthal, tweet attı: “Rusya’nın siber saldırısı beni derinden endişelendirdi, aslında düpedüz korkuttu.”
Başkan seçilen Joe Biden yaptığı açıklamada şunları söyledi: “İyi bir savunma yeterli değildir; Düşmanlarımızı en başta önemli siber saldırılar gerçekleştirmekten alıkoymalı ve caydırmalıyız. ”
Kaynak: The Indian Express
