Cuma günü başlayan WannaCry saldırısı çok endişe topladı ama sadece 300 bin bilgisayarı etkiledi [1] ve salı gününe gelindiğinde hemen hemen bitmişti. Telaşın temel nedeni 150'nin üzerindeki ülkeye çok hızlı bir şekilde yayılması ve fidye bağlantısı olmasıydı. Bilinen bir açığı kullanıyordu ve bütün dünyada hızlıca tedbir alındı. Dolayısıyla saldırı hızla savuşturuldu.

Ancak şimdi yeni bir tehlike belirdi; WannaCry'ı sızdıran Shadow Brookers hacker grubu, şimdi her ay başka açıklar ve kodlar yayınlayacağı tehdidinde bulundu. 

Shadow Brookers, kimdir bilinmiyor. Rus asıllı oldukları inancı var [2]. Bu saldırıyı yapan grup olarak da düşünülmüyor. Onların fonksiyonu saldırının yapıldığı açığı ve kodu yayınlamak oldu. Şimdi yeni açıklardan ve kodlardan bahsediyorlar. Anlaşılan birilerine fena halde kızgınlar. 

Cuma gününden beri konuşulduğu üzere, siber saldırının aracı, bizzat Amerikan Ulusal Güvenlik Ajansı (NSA) tarafından yaratılmış bir kod [3]. Shadow Brookers ismini taşıyan hacker grubu bu kodu nisan sonunda online kanallardan halka açık bir şekilde yayınlamıştı. Saldırı da bu yayınlanan kod kullanılarak --kimliği belirsiz kişiler tarafından-- yapıldı. Şimdi Shadow Brookers mayıs ayını pas geçtiklerini ama bundan sonra her ay yeni kodlar yayınlayacaklarını bildirdi. 

Shadow Brookers bir blog mesajında bütün hikayeyi ve bir anlamda bu saldırının arka planını anlattı. Grubun yayınladığı mesajda, haziran başından itibaren, dünyanın en büyük ticari sırlarından bazılarına erişmek için para ödemeye istekli olanlar için, her ay çeşitli araçları yayınlayacaklarını belirtiyorlar.

Yayınlanacak bilgilerin, web browser, router, akıllı cihaz açıkları, Windows 10 gibi son dönem işletim sistemine ait açıklar, Swift sağlayıcılarının ya da merkez bankalarının networklerinden bazı veriler (muhtemelen açıklar), Rus, Çin, İran ya da Kuzey Kore nükleer programları ya da füze programları konusunda network verileri olabileceği belirtiliyor. Ancak daha fazla detayın haziran ayında verileceği kaydediliyor. 

 

Microsoft'un sorumluluğu

Grup blog yazısında, neden satış yapacaklarını açıklıyor. Satış ile fidye arasındaki farkı “satışta zorlama olmadığı” kaydıyla belirtiyor. Shadow Brookers açıklamalarında Windows açıklarına da özellikle değiniyor ve "Shadow Brookers"un olayın bu tarafından bakmakta olduğuna dair bir savunma yapıyor.

Bu arada kaydedelim, Lisans ücretleri ödenerek satın alındığında, Microsoft'un iddiası "güvenli yazılım da satın alınmış olduğu" şeklinde. Dolayısıyla Microsoft'un bu olayda sorumluluğunun büyük olduğu kendi sözleriyle açıktır [3]. 

Diğer yandan saldırının 300 bin gibi bir sayıda sınırlı kalmasının bir nedeni de, son yıllarda Windows kullanımının neredeyse yarı yarıya azalmış olmasıdır [4]. Aksi takdirde bugün bir kaç milyon makina görmüş olmalıydık. Yıllar içinde siber saldırılar güçlerini arttırdığı halde, bulaşma sayısı 2009 yıllarındaki milyon rakamlarının 3'de birine ancak ulaşmış durumdadır. Saldırının Türkiye'de yayılımının sınırlı kalmasının bir nedeni de budur.

 

Kod, NSA taşeronu Equation Group’a ait 
 

Shadow Brookers mesajında Equation Group'tan söz ediyor. Hatırlayacaksınız, bu grup 14 yıldır NSA için kod geliştiren bir şirket. Kodları 2016 yılında Shadow Brookers tarafından yayınlanmıştı. 

Shadow Brookers geçen ağustos ayında,NSA'in taşaronu olan Equation Grup kodlarının, açık bilgilerinin ve hacking araçlarının 2013'den bu yana ellerinde olduğunu ve bunu açık arttırma usülü ile satacaklarını duyurmuştu.

Grup blog mesajında, geçen yıl arttırma yapmalarına dair soran ya da eleştirenlere karşı da, ödüller, kurumsal imparatorluklara katılmak ya da satmakla ilgilenmediklerini belirtirken; "açık arttırmaya Equation Group, Five Eyes, Rusya, Çin, Iran, Kore, Japonya, Israil, Saudi Arabistan, Birleşmiş Milletler, NATO, herhangi bir hükümet, Cisco, Juniper, Intel, Microsoft, Symantec, Google, Apple, FireEye, ya da başka bir güvenlik firması katılmadı ve biz ihaleyi iptal ettik" şeklinde süreci anlatıyor.

Arkasından bu araç ve açıkları sitelerinden satışa çıkarmışlar. Yine satın alan olmayınca çok üzülmüşler. Ocak başında Equation Group'a ekran görüntüleri göndermişler. Bunun karşılığında Equation Group'un eskiden kullandığı ve bu ekran görüntülerinde sızdığı anlaşılan açıkları Microsoft'a raporladığı ve kapattırdığı görülmüş.

Microsoft şubat ayında "Eternal Blue" açığını kapatmayı atlamış, mart ayında yamalamış. Aynı dönemde Oracle'ın da Equation Group ilişkili olarak 120 kadar açığını yamadığı da başka bir bilgi.

Shadow Brookers, yamaların yayınlanmasından sonra 30 gün beklemiş. Sonrasını birkaç gündür okuyorsunuz; İşte saldırı da böyle meydana gelmiş oldu. 

Kendilerinin yaşlı insanların emeklilik paralarını çalmakla ilgilenmediklerini anlatan Shadow Brookers diyor ki; "Microsoft'un NSA'ya babalanmasına bakmayın, aralarında her yıl yüz milyon-milyar $'lık kontratlar var. Birbirinde çalışan elemanları var. Ayrıca Google Project Zero içinde de Equation Group elemanları var. "

Daha ilginci, Shadow Brookers, Equation Group'un teknoloji firmalarına --insanlar farketmediği sürece-- açıkları kapatmamaları için para verdiğini iddia ediyor. 

Bütün bunları da “kızgın” bir ifadeyle anlatıyor ve yer yer ciddiye alınmadığından şikayet ediyor.

Anlayacağınız sıcak bir yaz bekliyor bizi. Öyle ya da böyle.. Bakalım bu Shadow Brookers kimdir, kimlerdir ortaya çıkacak mı? Ya da tehdit ettikleri gibi kodları yayınlayıp, ortamı siber saldırılarla gerecekler mi?

[1] 2008'de çıkan Conflicker'ın 1 milyon makinayı etkilediği tahmin ediliyor. 2013'deki Cryptolocker'ın 600 bin makinayı etkilediği belirtiliyor. 2009'daki Zeus'un yine 1 milyon makinaya bulaştığı düşünülüyordu.

[2] The Shadow Brokers hack is starting to look like Russia vs. NSA

[3] NSA Hacking Aracı Sızdı; İstenilen Her Makinaya Girilebiliyor

[4] “Görülmemiş” Siber Saldırı; Siber Güvenlikte Hükümetler, Düzenleyici Otoriteler ve Microsoft’un Konumu

[5] Tarihi Dönemeç; Gitgide Düşen Windows Liderliği İlk Kez Kaybetti