İsviçre hükümeti web siteleri DDoS saldırıları altında, ancak birkaç fidye yazılımı çetesi de son birkaç ayda gözlerini İsviçre hükümet kuruluşlarına, kanton hükümetlerine, şehirlere ve şirketlere çevirdi.
DDoS saldırıları altındaki devlet siteleri
İsviçre Ulusal Siber Güvenlik Merkezi (NCSC) Pazartesi günü yaptığı açıklamada, “Federal Yönetimin bazı web sitelerine, sistemlerine yapılan bir DDoS saldırısı nedeniyle 12 Haziran 2023 Pazartesi günü erişilemez/erişilemezdi” dedi. “İsviçre hükümetinin portalı www.admin.ch erişilebilir olmaya devam ediyor.”
Ancak saldırganlar burada durmadı.
Önce geçen hafta, ardından bu hafta yine İsviçre Parlamentosu’nun internet sitesi (parlament.ch) bir DDoS saldırısı ile vuruldu. Sorunun çözüldüğünü ve hiçbir dahili sistem veya verinin tehlikeye atılmadığını öne süren ilk raporlara rağmen, web sitesine şu anda ulaşılamıyor.
NCSC’ye göre, bu DDoS saldırılarının arkasındaki grup, Rus yanlısı bir hacker grubu olan Noname057(16)’dir.
Grup ayrıca, İsviçre Federal Demiryolları’nın sitesine ve uygulamasına (İsviçre haber kaynağı Tages-Anzeiger’e göre, belirli çevrimiçi hizmetlerin geçici olarak kesintiye uğramasına neden olan) son DDoS saldırısını ve siteye devam eden saldırıyı da üstlendi. Grenchen ve Cenevre havaalanları (havaalanı-grenchen.ch Ve gva.ch şu anda erişilemez).
Reuters’e göre NoName, İsviçre’nin Rusya’ya karşı yeni bir AB yaptırım paketini kabul etmesi nedeniyle geçen hafta parlamentonun web sitesine saldırdı. Bu haftaki saldırı, Ukrayna Devlet Başkanı Volodymyr Zelenskiy tarafından yakında yapılacak bir video konuşmasının hazırlıklarıyla aynı zamana denk geliyor.
İsviçreli Watson yayını Çarşamba günü, NoName’in Cenevre turizm web sitesini (amaçlanan ama gözden kaçan hedef, görünüşe göre Cenevre Kantonu’nun web sitesiydi) ve muhtemelen Basel-Stadt kanton yönetiminin web sitesini kapattığını bildirdi.
Fidye yazılımı grupları serbest
Fidye yazılımı grupları (görünüşe göre ayrım gözetmeksizin) dünya çapında her türden kuruluşu vursa da, son zamanlarda çok sayıda İsviçre şirketini ve devlet kuruluşunu başarıyla hedef alıyorlar.
Geçen ay BlackBasta, İsviçreli şirket TAG Aviation’ı ele geçirdi ve BT altyapısının şifrelenmiş kısımlarını ele geçirdi. Watson, tehdit aktörlerinin pasaportların ve diğer hassas verilerin ekran görüntülerini karanlık ağda yayınladığını bildirdi.
Şirket hala hangi verilerin çalındığını belirlemeye çalışıyor olsa da, birisi – muhtemelen BlackBasta, ama kim bilir? – TAG Aviation’dan çalındığı iddia edilen 1,5 TB’tan fazla şirket ve müşteri verisini Güvensiz sızıntı sitesinde/karanlık web pazarında satmaya çalışıyor.
Fidye yazılımı oyununda görece yeni olan Darkrace, İsviçre’nin Pully kentinde Vaud kantonunun tanıtımından sorumlu kar amacı gütmeyen bir kuruluş olan Vaud Promotion’ı vurdu. Dernek, bazı verilerin çalındığını ortaya çıkardı ve İsviçreli haber kuruluşu Inside IT’ye, saldırganların 161 gigabaytlık dosyaları çaldıklarını ve finansal belgelerin, çalışan kimlik kartlarının ve karanlık ağdaki verilerin ekran görüntülerini yayınladıklarını iddia ettiklerini söyledi.
Ancak Play fidye yazılımı çetesi, İsviçre hedeflerini ihlal etmede en verimli olanıdır. Federal, kanton ve polis departmanlarına yazılım sağlayan BT şirketi Xplain ile bilgisayar destek ve hizmet şirketi Unico Data’yı vurdular ve sonuç olarak müşterilerini de etkilediler.
Mayıs ayı sonlarında Xplain, Watson’a Play fidye yazılımı çetesi tarafından saldırıya uğradıklarını söyledi. Şirketin, müşteri sistemlerinden veri depolamadıkları yönündeki iddialarına rağmen, Swiss NCSC tarafından yapılan daha yakın tarihli bir güncellemede, “Federal Yönetimin operasyonel verilerinin, BT şirketi Xplain’e yönelik fidye yazılımı saldırısından da etkilenebileceği görülüyor. çalınan verilerin bir kısmının karanlık ağda yayınlanmasında.
“Xplain’in müşterileri aynı zamanda Federal İdarenin çeşitli idari birimlerini de içermektedir. İlgili belirli birimleri ve verileri belirlemek için şu anda açıklamalar yapılıyor. İlk bulguların ve son zamanlarda yapılan derinlemesine açıklamaların aksine, operasyonel verilerin de etkilenebileceği varsayılmalıdır. Şu anda mevcut olan bilgilere dayanarak, Federal Yönetim, Xplain sistemlerinin Konfederasyonun sistemlerine doğrudan erişimi olduğuna inanmıyor,” diye ekledi NCSC.
İsviçreli haber kaynağı Le Temps’e göre, Play tarafından sızdırılan bazı Xplain verileri, şirketin Federal Polis Ofisi (Fedpol) ve birkaç kantonla yürüttüğü BT projelerinden sözleşmeler, teknik özellikler, belirli hizmetlere erişim tanımlayıcıları vb. içeriyor. Polis kuvvetleri.
“Gümrüğe ilişkin belgeler, [aerospace engineering company] Ruag grubu, [Swiss Air Rescue] İnternete yüklenen dosyalar arasında ordunun yanı sıra Rega da yer alıyor.”
Fedpol, Le Temps’e projelerinin etkilenmediğini ve şirketin Fedpol canlı verilerine erişimi olmadığını (yalnızca test amacıyla anonimleştirilmiş simülasyon verileri) söyledi. Federal Gümrük ve Sınır Güvenliği Dairesi, Xplain ile arasındaki yazışmaların etkilendiğini söylüyor.
Unico Verilerine izinsiz giriş, şirket tarafından ilk olarak 27 Mayıs’ta fark edildi ve BT sistemlerini hızla çevrimdışı duruma getirdiler. Netzwoche’ye göre, aralarında Rüegsau belediyesi, sinema zinciri Pathé, endüstriyel grup Insys, araç üreticisi PB Swiss Tools, elektrik mühendisliği şirketi Boess ve Rugenbräu bira fabrikasının da bulunduğu yaklaşık 100 müşteri kesintiden etkilendi. Saldırganlar ayrıca müşteri verilerini de çaldı ve bir kısmını karanlık ağa sızdırmaya başladı.
Play çetesi daha önce İsviçre medya şirketleri CH Media ve NZZ’den veri çaldı ve Mayıs ayı başlarında sızdırdı.