Danimarka Kayıtlara Geçen En Büyük Siber Saldırıyla Karşı Karşıyaydı

Danimarka’daki kritik sektörlere yönelik kar amacı gütmeyen bir siber güvenlik merkezi olan SektorCERT, saldırganların Mayıs ayında Danimarka enerji altyapısının çeşitli bileşenlerini denetleyen 22 şirketin sistemlerine erişim sağladığını bildirdi. Pazar günü yayınlanan raporda, bilgisayar korsanlarının, birçok Danimarkalı kritik altyapı operatörünün ağlarını korumak için kullandığı Zyxel güvenlik duvarlarındaki sıfır gün güvenlik açıklarından yararlandığı belirtiliyor.

SektorCERT, saldırıların çoğunun şirketlerin güvenlik duvarlarını güncellememesi nedeniyle mümkün olduğunu söyledi. Kurulum için bir ücret olması nedeniyle birçok şirketin yazılım güncellemesinden vazgeçtiği belirtildi. Bazı şirketler yanlışlıkla nispeten yeni Zyxel güvenlik duvarlarının en son güncellemeleri içerdiğini varsaydı ve diğerleri de güncellemelerin uygulanmasından satıcının sorumlu olduğuna yanlış bir şekilde inanıyordu.

İlk olarak Nisan ayında bildirilen ve CVE-2023-28771 olarak takip edilen güvenlik duvarı açıkları, saldırganların endüstriyel kontrol sistemlerine kimlik doğrulaması olmadan uzaktan erişmesine olanak tanıyor. SektorCERT, siber saldırıyı titiz planlama ve koordinasyon açısından “dikkate değer” olarak nitelendirdi ve tehdit aktörlerinin, savunmasız cihazlara sahip şirketleri tespit etme ve hedeflenen firmalara karşı eş zamanlı bir kampanya düzenleme becerisi sergilediğini söyledi.

Raporda, “Saldırganların gerekli bilgiye nasıl sahip oldukları konusunda bugüne kadar net bir açıklama yapılmadı ancak 300 üye arasında tek bir atışı bile kaçırmadıklarını söyleyebiliriz” denildi.

Rapora göre 11 şirket “hemen” ele geçirildi ve saldırganların güvenlik duvarının kontrolünü ele geçirmesine ve arkasındaki kritik altyapıya erişmesine olanak tanındı. SektorCERT, eş zamanlı saldırının, “herkese aynı anda saldırıldığı için” enerji şirketlerinin başkalarını önceden uyarmasını engellediğini söyledi.

Raporda, siber saldırının amacının istihbarat toplamak olduğu belirtildi ve saldırganların güvenlik duvarında kullanıcı adlarını ve yapılandırma ayrıntılarını geri göndermesine neden olan bir kod çalıştırdığı belirtildi. SektorCERT, “saldırganların bu komutu, ilgili güvenlik duvarlarının nasıl yapılandırıldığını görmek ve ardından sonraki saldırının nasıl ilerleyeceğine karar vermek için keşif amacıyla kullandıklarının tahmin edildiğini” söyledi.

Saldırılar 11 Mayıs’ta başladı ve ardından 10 gün boyunca eylemsizlik yaşandı. 22 Mayıs’ta SektorCERT’in üyelerinden birinin güvenli olmayan bir bağlantı üzerinden yeni güvenlik duvarı yazılımı indirdiğine dair bir uyarı almasıyla ikinci bir saldırı dalgası başladı. Saldırıların arkasında hangi ulus devlet aktörlerinin veya belirli siber suç örgütlerinin olduğu ve Danimarka’nın kritik altyapısını hedef alan bir dizi siber olaya birden fazla grubun katılıp katılmadığı belirsizliğini koruyor.

SektorCERT’in analizi, ihlal edilen ağlardaki trafiğin, Sandworm olarak bilinen Rus askeri hackerlardan oluşan bir birime bağlı sunuculardan geldiğini gösterdi. Seashell Blizzard ve Voodoo Bear olarak da bilinen Sandworm, Rusya fetih savaşını sürdürürken Ukrayna’daki kritik altyapı operasyonlarına kötü şöhretli bir şekilde saldırdı. Bu ayın başlarında yayınlanan bir rapor, bilgisayar korsanlığının Ukrayna’daki bir elektrik trafo merkezine hedefli bir saldırı gerçekleştirmek için yeni teknikler kullandığını söyledi (bkz. Rus Askeri Bilgisayar Korsanları Ekim 2022’de Elektrik Kesintisine Neden Oldu).

İhlal edilen şirketlerin birçoğu, yerel veya ulusal elektrik ağlarıyla bağlantıyı keserek ve sistemlerini izole eden ve saldırının daha geniş Danimarka enerji sistemine potansiyel olarak yayılmasını önleyen ada modu operasyonuna girerek Danimarka enerji sistemi üzerinde önemli bir etkiye neden olmaktan kaçındı.

SektorCERT, şirket çapındaki ihlalleri önlemek ve operasyonel teknoloji sistemlerine yönelik tüm ağ girişlerinin haritalandığından emin olmak için şirketleri bölümlere ayrılmış ağlar kurmaya çağırdı.