Dün dünyayı Microsoft'un bir açığını kullanan, yeni bir siber saldırı dalgasının sardığı raporlandı. Türkiye'ye fazla etkisi olmadığı düşünülen saldırının [1] --Microsoft blog'una göre [2]-- ilk olarak Ukrayna'da görüldüğü, daha sonra ABD, Almanya ve Rusya dahil 64 ülkeye yayıldığı belirtiliyor. Etkilendiği raporlanan firmalar arasında, bankalar, liman şirketleri, enerji şirketleri gibi çok farklı sektörlerden firmalar var.
Ukrayna'daki Siber Polisin raporladığı ve sonra Microsoft tarafından onaylanan bilgiye göre, virüsün Ukrayna'lı bir firmanın M.E.Doc adını taşıyan vergi muhasebe paketinin yeni güncellemeleri ile yayıldığı belirtiliyor. Microsoft bunu "Software Supply Chain Attack" adıyla yeni bir saldırı cinsi olarak tanımlıyor [3]. Yani yazılım tedariki kullanılarak yapılan saldırı diyebiliriz.
Bu tür bir saldırı diğerlerinden daha tehlikeli; çünkü diğer saldırılarda "yabancı yerlerden gelen linkleri açmayın" bir çözüm olurken, bu saldırı cinsinde, şirketinizin kullandığı bir yazılıma yapılan güncelleme sırasında bulaşma meydana geliyor. Bunu önlemenin tek yolu, o güncellemeyi yapan firmanın farkına varması ve güncellemeyi göndermemesi. Aksi durumda, isteseniz, de istemeseniz de virüs networkünüze bulaşmış oluyor. Gerçi Microsoft bu güncellemelerin 3cü parti tarafından yapılması durumunda tehlike olabileceğini de belirtiyor.
Yeni saldırının 2006'dan bu yana ortamda bulunan [4] fidye aracı Petya'nın evrimleşmiş bir modeli olduğunu belirten güvenlik firmaları saldırının bulaştığı networklerde "yatay ve çok katmanlı" olarak yayıldığını ve oradan da başka noktalara atladığını raporluyor. Virüsün networkün tamamına bulaşması için tek bir makinaya bulaşması yeterli oluyor.
Bu saldırının WannaCry ile farkı şu; o internet üzerinden yayılırken, Petya güncelleme ile gittiği networkte içeride açık makina taraması yapıyor. Virüs, Microsoft'un mart ayında yayınladığı MS17-010 bülteninde yer alan yamayı yüklememiş olan makinalarda, dosya paylaşım özelliğini kullanıyor. Yayılmak için yazılım tedarik zincirini nasıl kullandığına dair bir şema aşağıda veriliyor.
Petya virüsü, dosyaları sifrelemek yerine, bilgisayardaki tüm dosyaların konum ve boyut bilgilerinin depolandığı MBR (Master Boot Record) kayıt dosyalarını şifreliyor. Yapılan bu şifreleme, dosyalara erişimi tamamen engelliyor. Saldırgan, sifrelenen dosyaların acılması icin saldırı altında olan kisi/kurumdan 300 $ eşdeğeri düzeyinde Bitcoin istiyor ve ödenmezse verileri imha edecegini veya ele geçirilen bilgilerin satılacagını/yayılacagını belirtiyor.
Not edelim; wannacry ortaya çıktıktan kısa bir süre sonra; bir araştırmacı çözümünü bulmuştu. Şu ana kadar Petya için bir çözüm gelmedi.
Shadow Brokers
Nisan ayındaki Wannacry saldırısı sonrasında Shadow Brokers adını daha fazla duymaya başladık. Bu kişi ya da grup, bazı açıklamalar yapıyor. Bunlardan sonuncusunda, haziran ayından itibaren çeşitli yazılım ve donanıma ait açıkları satışa çıkaracağını açıklamıştı.
Shadow Brokers, kendisini NSA'in dünyadaki hemen herkesi dinlemeye yönelik olarak kullandığı (bazılarını özel yadırttığı) kodları çalarak duyurdu [6]. Bu kodlar çeşitli yazılım ve cihazların açıklarını kullanarak içine sızmaya yarayan kodlar ve NSA'in 21ci yüzyılda casusluğu, bu kodları kullanarak yaptığı, dünya yüzeyinde hemen herkesin ve her firmanın bilgisayarına sızdığı kaydediliyordu.
Shadow Brokers bu kodları çaldıktan sonra, geçen yıl açık arttırmaya çıktı. Açık arttırmaya katılmasını beklediği firmalar çok ilginç. Kendi sözleri ile aktaralım; "açık arttırmaya Equation Group, Five Eyes, Rusya, Çin, Iran, Kore, Japonya, Israil, Saudi Arabistan, Birleşmiş Milletler, NATO, herhangi bir hükümet, Cisco, Juniper, Intel, Microsoft, Symantec, Google, Apple, FireEye, ya da başka bir güvenlik firması katılmadı ve biz ihaleyi iptal ettik" şeklinde süreci anlatıyor.
Shadow Brokers daha sonra, bunları satmaya çalışmaya devam ediyor. Daha sonra ocak ayında, NSA'in bu işlerle uğraşan firması Equation Group'a doğrudan açıkları göndermişler ama grup satın almak yerine bu açıkları Microsoft'a bildirmiş ve kapatılmasını sağlamış.
Bu noktada kızan Shadow Brokers da, nisan ayında kodları açık açık yayınladı. Yayınlanan kodları kullanan birileri geen ay meydana gelen WannaCry saldırısını gerçekleştirdi.
Ama asıl sorun şu; mayıs ayında Shadow Brokers özetle dedi ki; "madem siz almıyorsunuz, ben de kim istersen ona satacağım" [7]. Dolayısıyla başlığımızda bahsettiğimiz "müşteriler"den birisi bu saldırıyı gerçekleştirenler olabilir.
[1] Güvenlikçiler, Shodan arama motorundaki kayıtlar üzerinden, Türkiye'de bu saldırıya açık 15 bin kadar makina olduğunu belirtiyorlar. Dünya'daki sayı ise 1 milyon civarı.
[2] New ransomware, old techniques: Petya adds worm capabilities
[3] Windows Defender ATP thwarts Operation WilySupply software supply chain cyberattack
[4] Kaspersky'e Göre Fidye Yazılımlar Evrimleşiyor
[5] Bilgisayarları WannaCry Tarafından Kilitlenenler için.. Fransız Güvenlikçi, WannaCry Şifresini Çözdüğünü Bildiriyor
[6] NSA Hacking Aracı Sızdı; İstenilen Her Makinaya Girilebiliyor
[7] Yeni Siber Saldırı Riskleri Geliyor; Microsoft-Oracle-NSA İlişkisine Dikkat çeken Shadow Brookers Her Ay Yeni Bir Açık ve Kod Yayınlayacak