Apple’ın en büyük bilgisayar tedarikçilerinden Quanta Computer, REvil siber çetesi tarafından yapılam fidye yazılımı saldırısına uğradı.
Peş peşe gelen siber saldırı haberleriyle sarsıldığımız şu günlerde yeni bir siber saldırı vakası daha yaşandı. Apple’ın ve diğer teknoloji devlerinin bir numaralı bilgisayar tedarikçilerinden Quanta Computer, REvil fidye yazılımı çetesinin saldırısına uğradı.
Sodinokibi olarak da bilinen REvil fidye grubu tarafından yapılan underground bir blog yayınında Quanta Computer Inc. sistemlerine sızıldığı iddia edildi. Tayvan merkezli bilgisayar şirketi Apple için Macbook’lar ve HP, Facebook, Alphabet (Google) gibi dev firmalara ürünler üretiyordu.
Fidye grubunun sözcüsü “Unknown” lakaplı saldırgan Rusya’nın en büyük underground hacker forumlarından birinde şimdiye kadar yapmış oldukları en büyük saldırıyı duyurmak istediklerini açıkladı. Anonim kalmak amacıyla bu tarz yeraltı suç forumlarından yayınlar yapan grup üyesi, kendisinin geçmişi hakkında bilgiye sahip olan birisine göre REvil grubunun yeni üyeler almak için kurduğu kanalda saldırıyı Rusça ilan etti.
Bloomberg’e göre 20 Nisan’ın başlarında saldırganların hedeflediği kurbanların fidye ödemesi için alenen isimlerini açıkladığı “Happy Blog” isimli “.onion” web sitesinde en son Quanta Computer’i kurban olarak ilan etti. Bloomberg tarafından incelenen blog gönderisine göre tedarikçi firmanın ödeme yoluyla ilgilenmemesi nedeniyle Apple da stratejik üretim planlarının ifşa edilmesiyle tehdit ediliyor.
Quanta, yapmış olduğu açıklamada ne kadar verinin dışarıya sızdığına dair herhangi bir bilgi vermeden sistemlerinin saldırıya uğradığını kabul etti. Yapılan açıklamada “Quanta Computer bilgi güvenliği ekibi Quanta sunucularına yapılan saldırılara yanıt olarak dış kaynak bilişim uzmanlarıyla çalıştı.” denildi. Şirket açıklama metninde ayrıca “Gözlemlediğimiz son anormal hareketlerle ilgili kolluk kuvvetleri ve veri koruma yetkililerini bildirimlerde bulunduk ve onlarla sorunsuz bir iletişim kurduk. Şirketin iş operasyonları üzerinde olumsuz bir etki bulunmamaktadır.” dedi.
Saldırganlar Apple’ı Tehdit Ediyor
Apple’ın ürün lansmanı sona erdikten hemen sonra, REvil çetesi tarafından Mart 2021 kadar yakın bir zaman içerisinde tasarlanmış Macbook gibi gözüken birtakım projelere dair detaylı 15 adet resim ve şema yayınlandı. Bu şekilde REvil çetesinin Apple’ı da sarsmaya çalıştığını söyleyebiliriz. Bleeping Computer adlı ünlü bilişim sitesi tarafından söylenene göre çete Apple’dan 1 Mayıs’a kadar fidye ödemesini yapmasını istedi. Saldırganlar ayrıca ödemenin gerçekleşeceği zamana kadar gizli birtakım yeni dosyaları da paylaşacaklarını açıkladılar.
Apple sözcüsü ise REvil çetesi ile herhangi bir uzlaşma yapılıp yapılmayacağına dair sorulan soruları cevaplamayı reddetti. Quanta ise olay sonrası bilgi güvenliği ve savunma sistemlerinin hemen devreye girdiğini, olaydan etkilenen iç hizmetlerin sorunsuzca çalışmaya devam ettiğini belirtti. Ayrıca verilerin yeni saldırılara karşı korunması için şirketin siber güvenlik altyapısının yükseltilmesi kararı alındı.
Fidye Yazılımı ve REvil Siber Çetesi Nedir?
Fidye zararlıları adından da tahmin edebileceğiniz gibi etkilediği kullanıcıların bilgisayarlarındaki verileri şifreleyen ve bunun karşılığında bir miktar para isteyen zararlı programlara deniliyor. Ayrıca türüne bağlı olarak, bilgiler saldırgana da gönderilebiliyor. Genellikle fidye yazılımını yöneten “operatörler” bilgilerin şifresini fidyeden sonra çözeceklerini ve bu bilgileri fidye ödendiği takdirde satmayacaklarını söylerler. Ama gerçekte bunun ne kadar doğru olduğunu maalesef ki hiçbirimiz bilemiyoruz.
Fidye yazılımları son yılların en çok kullanılan siber saldırı tekniklerinden. Bulaşma yöntemleri ise genel itibariyle saldırganın tekniklerine bağlı olarak değişebilmekle beraber genellikle sahte mail ekleri, güvensiz korsan yazılımlar, güvenlik açıkları, sosyal mühendislik bazlı saldırılar kullanılmakta.
Artık her şeyimiz dijitalleştiği için elektronik ortamları hedefleyen suç örgütlerini de görmeye başladık. Fidye yazılımlarının eskiye nazaran daha popüler olmasıyla beraber bu işi yapmaya yönelik bazı siber suç örgütlerinin de oluşmaya başladığına şahit oluyoruz. Haberimizin konusu olan REvil ise bu oluşumlardan sadece biri.
Saldırgan Grubun Çalışma Şekli ve Hedeflediği Coğrafya
Kaspersky tarafından 2019 yılında tespit edilen diğer adıyla Sodin olan siber çete genellikle yaygın olan güvenlik açıklarını istismar ediyor. Kaspersky’nin tehdit aktörleri hakkında yaptığı araştırmaları yayınladığı blog olan Securelist’in yazısına göre saldırganlar genellikle Asya-Pasifik bölgesinde aktiflik gösteriyor. Hedefledikleri kurbanlar daha çok Tayvan, Hong Kong ve Güney Kore coğrafyasındaki kurum ve kuruluşlar.
REvil grubunu diğer siber çete ve fidye yazılımı operatörlerinden ayıran temel fark ise, birçok fidye yazılımı saldırısı hedefli yapılmazken REvil’in oldukça kilit kuruluşlara hedefli yüksek profilli saldırılar düzenlemesi. Örneğin 2020 yılında bir zamanlar Donald Trump’ın televizyon şirketlerinin hukuksal işlemleriyle ilgilenen büroya yapılan siber saldırı, 2019 yılında ise seçim gününden hemen önce Louisiana seçmenlerine yapılan saldırı da aynı grubun işi.
Pazarlık İddiaları ve Sızıntılar
Bloomberg’in haber kolu tarafından incelenen bir metne göre, REvil çetesi geçen haftalarda Quanta Computer’i darkweb sayfalarında yer alan sohbet odalarında fidye pazarlığına çağırdı. Fidye yazılımı operatörü “bütün lokal verileri” çaldığını ve şifrelediğini iddia ederek konuşmayı başlattı ve dosyalarla sistemlerin kilidini açmak için 50 milyon dolar ödeme yapılmasını istedi. Bundan iki gün sonra kimliği bilinmeyen birisi “şirkette sorumlu, çalışan biri” olmadığını fakat pazarlık koşullarının daha fazla açıklığa kavuşturulmasını istediğini belirtti.
Operatörler ile bilinmeyen kullanıcı arasında yaşanan etkileşim ve mesaj trafiği oldukça kafa karıştırıcı gözüküyor. Fidye yazılımı operatörleri de bundan memnun kalmamış olacak ki Apple ile ilgili verileri internette yayınlamakla tehdit yolunu seçtiler. Saldırganlar ile gerçekleşen görüşmenin daha sonra e-posta üzerinden devam ettiği düşünülüyor.
REvil ise Apple’ın yeni çıkarmayı planladığı cihazlar için hazırladığı tescilli özel planları yayınlamaya başladı. Yayınlanan görüntüler bir Apple dizüstü bilgisayarının parçalarının ayrıntılarını ve birçok bileşenlerin seri numarası, kapasiteler, boyutlar gibi önemli bilgileri içeriyor. Yayınlanan resimlerden birinin Apple tasarımcılarından John Andreadis tarafından 9 Mart 2021 tarihinde imzaladığı anlaşılıyor. Bundan yola çıkarak yayınlanan görüntülerin gerçekten Apple’a ait olduğunu söyleyebiliriz.
Sonuç
Bu olaydan çıkarılacak ders ise şirketlerin güvenlik tedbiri almalarının ne kadar önemli olduğu. Zira haberden de anlayabileceğiniz gibi bir şirketin ele geçirilmesi sadece onu değil, aynı zamanda iş ortaklarının da zor duruma girmesine neden oluyor. Bu durumların ise bir daha yaşanmaması için şirketlerin daha mağdur olmadan önce “saldırı öncesi” ve etkilenmeyi azaltmak adına “saldırı sonrası” güvenlik sistemlerine önem vermesi gerekiyor.
Unutmamak lazım ki her sistem ele geçirilebilir, hacklenebilir. Siber dünyada hiçbir zaman tam anlamıyla güvende olduğumuzu asla söyleyemeyeceğiz fakat olasılıkları azaltmak ve saldırı sonrası yaşananlardan en az zararla çıkmak da alacağımız tedbirlere göre bizlerin elinde olan bir şey. Bakalım daha neler neler olacak, zaman gösterecek.
