FireEye siber güvenlik şirketi’nin ofansif güvenlik için kullanılan Red Team araçlarına düzenlenen siber saldırı, geçtiğimiz hafta siber güvenlik camiasının gündeminden düşmeyen bir konuydu. Zira, bu saldırının nasıl gerçekleştirildiğini araştıran FireEye siber güvenlik şirketi, çok daha büyük bir saldırıyı ortaya çıkardı: Solarwinds Saldırısı
13 Aralık tarihinde FireEye siber güvenlik şirketi, SolarWinds saldırısı olarak anılacak olan ve kendisinin de kurbanları arasında yer aldığı geniş kapsamlı siber saldırının ilk detaylarını yayınladı. Bu yazımızda FireEye’ın ortaya çıkardığı SolarWinds saldırısına ve detaylarına değineceğiz.
1- SolarWinds Şirketi
SolarWinds yazılım şirketi, 1999 yılında Oklahoma’da, Donald ve Davind Yonce adında iki kardeş tarafından kurulan bir yazılım şirketi. Donald ve Davind Yonce kardeşler şirketi 2006 yılında yüklü bir yatırım alacakları Texas, Austin’e taşıdılar. 3 binden fazla çalışanı olan SolarWinds’in geçtiğimiz yıl açıkladığı geliri yaklaşık 1 milyar doları buluyor.
2. Şirket ile Saldırının Bağlantısı Nedir?
Saldırganlar, SolarWinds’in ürettiği ağ izleme ve yönetme platformu Orion’u hedef aldılar. Ürün için güncelleme yazılımı sağlayan servise zararlı yazılım yerleştiren saldırganlar, böylece ürünün yeni güncellenmesini yükleyen Orion kullanıcılarının ağlarına sızabildiler.
Saldırıda istismar edilen arka kapı açıklığına dair, teknoloji şirketleri ortak bir noktada buluşamadı ve saldırıya farklı isimler vermeyi tercih ettiler. FireEye’ın SUNBURST olarak adlandırdığı açıklığa, Microsoft Solorigate ismini vermeyi tercih etti. Medyada ise saldırı SolarWinds saldırısı olarak anılmaya devam ediyor.
3. Saldırıdan Kimler Etkilendi ?
SolarWinds’in toplam 300 binden fazla müşterisinin 33 bine yakını Orion müşterisi. Şirket yaptığı açıklamada zararlı yazılım yüklenmiş güncellemeyi 18 bin kullanıcının yüklediğini, dolayısıyla saldırıdan bu müşterilerin öncelikli olarak etkilenmiş olabileceğini belirtti. Saldırının hedefli bir saldırı olduğunu gösteren önemli noktalardan biri, sakat Orion güncellemesi yüklenen hedeflerden sadece bazılarında malware’in aktive edilmesi oldu.
Perşembe günü CISA’nın yaptığı açıklamada saldırganların operasyon için kullandıkları başka yollar da bulunduğunu bunların ortaya çıkartılması için çalışmaların devam ettiği belirtildi. Yani her geçen gün saldırıdan etkilenen kurumların sayısı artabilir. Bu zamana kadar başta FireEye ve Microsoft gibi özel kurumların dışında, ABD Hazine Bakanlığı, Ticaret Bakanlığı, Dışişleri Bakanlığı ve Ulusal Nükleer Güvenlik Ajansı, Enerji Bakanlığı, Anayurt Bakanlığı gibi kritik kamu kurumları da hedefler arasında. Microsoft ise 40 müşterisinin saldırıdan etkilendiğini belirtti.
4. Saldırıyı Kimler Yönetiyor ?
Saldırının boyutları ortaya çıkar çıkmaz, ABD hükümet kurumları harekete geçti. Kısa bir süre sonra Ulusal Güvenlik Konseyi bir araya geldi. FBI tarafından hacklenen devlet kurumlarında araştırma başlatıldı ve basına ‘soruşturmaya yakın kaynakların verdiği bilgiye dayanarak’ saldırının arkasında Rusya’nın olduğuna dair haberler sızdırıldı. Teknik olarak hangi delillere dayandırıldığı açıklanmayan bu suçlamalar yapılırken, konuyla ilgili rapor hazırlayan teknoloji firmaları da faillerin ‘devlet destekli’ olduğu üzerinde durdular. Basına yansıyan bilgilerde Rusya’nın dış istihbaratından sorumlu SVR operasyonun arkasındaki kurum olarak işaret edildi. SVR, Sovyet döneminden sonra kapatılan KGB’nin yerini alan kurum olarak biliniyor. ABD Dışişleri Bakanı da saldırıdan dolayı Rusya’yı suçladı.
5. Saldırı ne kadar zamandan beri devam ediyor ?
İlk açıklamalar zararlı Orion güncellemelerinin mart ayından bu yana müşterilere gönderildiğini gösteriyordu. Fakat bu haber yazılırken ortaya çıkan bir bilgi, operasyonun çok önceden tasarlandığını ve ‘deneme sürüşlerinin’ yapılmaya başlandığını gösteriyor. Tecrübeli gazeteci Kim Zetter’ın haberine göre, saldırganların SolarWinds sistemine sızmaları 2019 ekimine kadar gidiyor. Bu tarihte sisteme sızan tehdit unsurları, Orion müşterilerine zararlı dosyalar gönderiyor fakat bunların içerisinde arka kapı açıklığı bulunmuyor. Saldırganların zaman baskısı olmadan operasyonu geliştirdiğini gösteren bu gelişme aynı zamanda tehdit unsurlarının şansa yer bırakmadan asıl operasyon öncesinde bir deneme yaptığını da gözler önüne seriyor. İlk denemeden 5 ay sonra arka kapı açıklığı olan zararlı yazılım yüklü diğer dosya da Orion kullanıcılarına gönderiliyor.
6. Tedarik Zinciri Saldırısı Nedir ?
ABD’de birçok kurumu etkileyen bu saldırı bir tedarik zinciri saldırısı olarak nitelendiriliyor. Saldırganların farklı kurumların kullandığı aynı üreticiden çıkmış ürünlere sızarak, kurumları direkt olarak hedeflemeden 3. taraf üzerinden sistemlerine sızabildikleri saldırılara tedarik zinciri saldırısı deniyor.
Diğer bir deyişle sistemlerine entegre ettikleri yazılım ve/veya donanım ile kurumlar saldırılara açık hale geliyorlar. Bunun en önemli örneklerinden bir tanesi İran’ın Natanz’daki nükleer tesisine dışarıdan aldığı bir parçaya yerleştirilen arka kapı açıklığıyla düzenlenen Stuxnet saldırısı olmuştu.
7. Saldırı SolarWinds’i Nasıl Etkiledi ?
Konuyla ilgilenen medya kuruluşları, saldırının etkilerine odaklanırken aslında saldırının ilk mağduruna yeterli ilgiyi göstermedi. SolarWinds şirketinin sattığı ürünlerden birinin hacklenmesiyle başlayan saldırıda, en büyük mağdurlardan biri tabi ki SolarWinds şirketi oldu. Şirketin borsada işlem gören hisseleri yüzde 50’ye yakın bir kayıp yaşadı.
Gözden kaçırılmaması gereken bir noktada, şirketin bu fırtınaya kaptan değişimi sırasında yakalanması. 14 yıldır şirkette çalışan ve 11 yıldır da şirketin CEO’luğunu yapan Kevin Thompson 7 Aralık’ta, yani saldırının ortaya çıkmasında bir hafta önce, emekliliğe ayrıldı. Yerine geçecek olan Sudhakar Ramakrishna ise görevi 4 Ocak’ta teslim alacak. Saldırının tam bu tarihte ortaya çıkması ‘zamanlama manidar’ yorumlarına neden oldu.
8. Stratejik açıdan SolarWinds Saldırısı Neyi Amaçlıyor ?
ABD’nin bütün enerjisini ve odağını başkanlık seçimlerine verdiği bir dönemde operasyonun hazırlığının tamamlandığı anlaşılıyor. 2016 yılındaki seçimlerin öncesinde ve sırasında hack-leak operasyonları ve fake news ile gerçekleşen seçime müdahalenin tekrarlanmasını bekleyen ABD güvenlik güçleri,tüm enerjilerini seçim zamanına ayırmışken, istihbarat alanındaki açıklara odaklanmamış gözüküyorlar. 2019 ekim ayından itibaren, SolarWinds saldırısının planlandığı ortaya çıktığına göre, ABD Başkanlık seçimlerinde de mevcut saldırıyla ilgili bir girişim gerçekleştirilip gerçekleştirilmediği şu an için bilinmiyor. Şu an için oldukça uzun bir süre zarfında planlanan ve eyleme dökülen bu saldırıya dair çok fazla soru işareti olması ve birçok detayın henüz ortaya çıkarılamamış olması.
İlk yorum yapan olun