ABD'nin nükleer caydırıcılığına kritik destek sağlayan Minuteman III füzeleri için mühendislik desteği ve teknik bakım / onarım sağlayan bir firmaya ait gizli belgelerin hackerlar tarafından fidye saldırısı ile çalındığı bildiriliyor. Saldırganlar Westech International isimli firmanın bilgisayar ağına eriştikten bir süre sonra, şirketin makinelerini şifreledi ve şirkete haraç ödemeleri konusunda baskı yapmak için çaldıkları belgeleri internete sızdırmaya başladılar.
Westech International'ın ABD ordusunun birden fazla kolu için programlar yürüttüğü kaydediliyor. Şirketin müşteri listesine bakıldığında, saldırı giderek daha ciddi yankı bulabilir diye düşünülüyor. Bu listede ABD askeri şubeleri, Amerikan hükümeti altyapı ajansları ve Ordu, Hava Kuvvetleri, Deniz Kuvvetleri, Ortak Hizmet Ajansları, Ticaret Departmanı, Enerji Departmanı, Genel Hizmetler İdaresi, Booz Allen Hamilton, General Dynamics Bilgi Teknolojisi, Lockheed Martin Bilgi Teknolojisi ve daha fazlası bulunuyor[1].
Saldırının zaman dilimi, fidye talepleri ve Westech'in hangi hassas verilerinin çalındığı ve/veya yayımlandığı henüz tam bilinmiyor. Firmanın alt taşeron olarak hizmet verdiği, Amerikan uzay ve savunma teknolojileri şirketi Northrup Grumman ve Amerikan Savunma Bakanlığı'nın (DoD) henüz açıklama yapmadığı kaydediliyor.
ABD, "Nükleer Triad" olarak bilinen bir sistemle korunuyor: Karadan fırlatılan nükleer füzeler, denizaltılardaki nükleer füzeler ve nükleer bomba ve füzelerle donatılmış uçaklardan oluşan üç yönlü bir saldırı gücü.
İşte bu üçlüden biri -karadaki LGM-30 Minuteman kıtalararası balistik füzeler (ICBM)- bir Northrup Grumman yüklenicisinin bilgisayar ağına Maze (labirent) fidye yazılımı bulaştıran bilgisayar korsanları tarafından hacklendi.
ABD, 1970'lerden beri var olan ve Montana, Kuzey Dakota ve Wyoming'deki ABD Hava Kuvvetleri tesislerinde depolanan yaklaşık 440 ICBM'ye sahip. ABD Stratejik ve Uluslararası Araştırmalar Merkezi'nin verdiği bilgiye göre, bunlar ABD'nin uzun menzilli karadan havaya nükleer silahlarının tamamını oluşturuyor ve her biri birkaç termonükleer savaş başlığı taşıyarak 11.000 km yol kat edebiliyor.
Westech sözcüsü Sky News'e şirketin saldırıya uğradığını ve bilgisayarlarının Maze fidye saldırısı ile şifrelendiğini doğruladı. İlaveten suçluların hangi verileri çalmayı başardığını belirlemeye yönelik araştırmaların devam ettiğini söyledi[2].
Westech'in müşteri listesine bakıldığında, saldırı giderek daha ciddi yankı bulabilir diye düşünülüyor. Bu listede ABD askeri şubeleri, Amerikan hükümeti altyapı ajansları ve Ordu, Hava Kuvvetleri, Deniz Kuvvetleri, Ortak Hizmet Ajansları, Ticaret Departmanı, Enerji Departmanı, Genel Hizmetler İdaresi, Booz Allen Hamilton, General Dynamics Bilgi Teknolojisi, Lockheed Martin Bilgi Teknolojisi ve daha fazlası bulunuyor.
Maze fidye yazılımının diğer fidye yazılımlarından farkının, dosyaları şifrelemesinin yanı sıra, etkilenen tüm dosyaları otomatik olarak saldırganların sunucularına kopyalaması olduğu kaydediliyor. Yani sızılan sunuculardaki tüm bilgiler çalınmış olabilir.
Dosyaların kopyalanması, bu saldırının bu yıl yükselen "çifte haraç (double extortion)" saldırılarından birisi olması anlamına geliyor. Saldırganlar bir yandan bilgisayarda şifreledikleri dosyalar için haraç (fidye) talep ederken, sunucudan çaldıkları gizli/hassas bilgileri online yayınlamama karşılığı da para istiyorlar.
Fidye saldırılarının, çifte haraç tarafına evrilmesinin bir nedeni de, fidye saldırılarına karşı artan bilinç sonucu veri yedeklemelerinin daha ciddiye alınması ve fidye ödemek yerine, yedekleri yükleyerek devam etme eğilimlerinin artması olabilir.
Maze saldırı yazılımı daha önce ChaCha diye biliniyordu. 2019 mayısında ismini "Maze"ye çevirdi. SophosLab geçen ay, bu tür iki yönlü saldırının bir yıldır mevcut olduğunu ve giderek de yükseldiğini ve bu saldırıyı yapanların "çifte haraç" saldırılarının da öncüsü olduğunu raporladı[3].
Zaten Maze çetesinin iki ay önce bir yeraltı sitesi açtığı ve orada fidye ödemeyi kabul etmeyen kurbanların ve çalınmış bilgilerinin listelenmeye başladığı kaydediliyor. Şimdiye kadar, hukuk firmaları, tıbbi hizmet sağlayıcıları ve sigorta şirketleri de dahil olmak üzere, taleplerine cevap vermeyen düzinelerce şirketin ayrıntılarını yayımlamışlar. Bu ekibin çok yüksek profilli kurbanlar aradığı kaydediliyor.
Hackerların Westech International ile ilgili olarak internete sızdırdığı bilgilerin, şimdilik bordro bilgileri ve kişisel ayrıntılar gibi hassas çalışan verileri ve şirkete ait askeri bilgi içeren ve içermeyen e-postalar olduğu görülmüş.
Saldırganların gizli askeri belgelere ulaşıp, ulaşmadığı belirsiz ancak yayımladıkları belgeler, son derece hassas verilere erişebildiklerini göstermiş. Dolayısıyla saldırının arkasındaki hackerların, ABD'ye düşman bir devlete nükleer caydırıcılık hakkında bilgi satarak para kazanmaya çalışabileceği endişeleri var. ABD'deki mahkeme belgeleri, finansal güdüye sahip Rus siber suçluların gizli hükümet belgelerini çalmak için istihbarat servisleri ile işbirliği yaptığını iddia ediyor.
Geçtiğimiz 3 yıldan bu yana sadece muhasebe uygulamalarında kullansalar bile çok sayıda Türk KOBİ'sinin fidye saldırılarına maruz kaldığı görüldü. Şimdi değişen ve evrilen fidye saldırılarının da Türkiye'yi vurabileceğini unutmamak lazım. Hep söylüyoruz, siber güvenlik bugünkü dünyanın en önemli konularından birisi.
2019'da ABD'de çok sayıda belediyenin fidye saldırısına uğradığını ve bir kısmının fidyeyi ödediğini de not edelim[4].
Uzmanlar fidye saldırıları öncesinde, hedef organizasyonların ve çalışanlarının, Linkedin, Facebook, Twitter ve çevrimiçi haber aramaları yoluyla araştırıldığını, saldırının ondan sonra planlandığı ve yürütüldüğünü kaydediyorlar. Bazen bu saldırıların fidye saldırılarından haftalar ya da aylar önce başlatılabildiği de not ediliyor. Hatırlayın, "zincir, zayıf halkası kadar güçlüdür"[5].
Sisteminizi sağlam tutmak, yedeklerinizi düzenli almak ve şirket çalışanlarının sosyal medyada nasıl davranacaklarını kurala bağlamak (bilmediği kişiden gelen dosyayı indirmemek, linke tıklamamak vs gibi) dışında, eğer başınıza fidye saldırı gelmişse, uzmanlar "ödeme yapmayın" uyarısında bulunuyorlar. Tabii bunu söylemek kolay diyeceksiniz, özellikle de yedekleriniz yoksa ya da güncel değilse.
Ama ödeme yapsanız bile verilerinizi geri alma konusunda bir belirsizlik olabilir. Ödeme yapmak ise, fidye saldırganlarının devam etmesi için bir neden oluşturuyor.
Bu dönem uzaktan çalışıyorsanız[6], Uzaktan Masaüstü protokolünü (RDP - Remote Desktop Protocol) eğer gereksiz ise kapatın ya da kullanıcı limitlemesi yapın. Ama mutlaka iki seviyeli kimlik tanımlama (2FA) kullanın. Tabii şifrelerinizin güçlü olması gerektiğini söylemiyoruz bile. Bilmeniz gereken ilk şey bu çünkü[7].
Son mesajımız şu; bu haberi "önemli olduğu" için yayımladık. Ancak bir başka yönü ise, farkındalık. Bu saldırıları farkına varın. Siber saldırılar karşılanması son derece zor ve nereden boşluk bulunacağı bilinmeyen saldırılar. Bu bazen güncellemediğiniz bir yazılım, bazen güncelleseniz bile açığı yeni ortaya çıkmış (hatta çıkmamış) yazılım, bazen de bir elemanınız olabilir. Engelleyemeyebiliyor olabilirsiniz. Siz yine de elinizden geleni yapın. Uzmanların dediklerine kulak verin.
[1] Westech International Inc - Air & Space Operations
[2] Hackers Steal Secrets From US Neclear Missile Contractor
[3] Maze ransomware: extorting victims for 1 year and counting
[4] Teksas’da 23 Yerel Belediye Fidye Saldırısına Uğradı
[5] İş Yerinde İnternetten Arkadaş Arayanlar Şirket Sırlarını Açığa Çıkarıyor
[6] Evden Çalışma Sürecinde Siber Tehditlere Ne Kadar Hazırsınız
[7] Uygun Bütçeli Siber Güvenlik İçin Kobi’lerin Dikkat Etmesi Gereken 5 Faktör