Kötü şöhretli NotPetya siber saldırısının siber güvenlik ortamına şok dalgaları göndermesinden bu yana altı yıl geçti. Başlangıçta fidye yazılımı kılığına giren NotPetya, gerçek yıkıcı doğasını hızla ortaya çıkardı, zararı dünyanın dört bir yanındaki işletmelere ve hükümetlere yayarak milyarlarca dolar kayba neden oldu. Altı yıl sonra, NotPetya saldırısının etkisi hâlâ hissediliyor ve bu olaydan çıkarılan dersler, siber güvenliğe yaklaşım şeklimizi şekillendirmeye devam ediyor. Armis’te araştırmadan sorumlu CTO’su Tom Gol, yaşananları ve alınan dersleri anlatıyor.
Arka plan
NotPetya ilk olarak Haziran 2017’de ortaya çıktı ve başta Ukrayna’daki kuruluşları hedef alarak çeşitli ülkelere hızla yayıldı. Ancak kısa sürede bu siber tehdidin belirli bir bölgeyle sınırlı olmadığı, hızla dünya çapındaki sistemlere bulaştığı anlaşıldı.
Yıkıcı kötü amaçlı yazılım, başlangıçta bir fidye yazılımı saldırısı olarak gizlendi ve kurbanlara, şifrelenmiş dosyalarının kilidini açmak için Bitcoin ile ödeme talep eden bir fidye notu sunuldu. Ancak kısa süre sonra NotPetya’nın gerçek amacının finansal kazanç değil, daha çok yaygın bir yıkım ve yıkım olduğu anlaşıldı.
Teknik Analiz
NotPetya, ortalığı kasıp kavurmak için gelişmiş tekniklerin bir kombinasyonunu kullandı ve bilinen güvenlik açıklarından yararlandı. Saldırı, özünde, Windows sistemlerinin SMB protokolündeki bir güvenlik açığından yararlanan EternalBlue istismarına (CVE-2017-0144) dayanıyordu. Başlangıçta Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen ve daha sonra Shadow Brokers adlı bir bilgisayar korsanlığı grubu tarafından sızdırılan bu istismar, kullanıcı etkileşimi olmadan uzaktan kod yürütülmesine izin verdi.
Bir sisteme bulaştıktan sonra, NotPetya çok aşamalı bir bulaşma sürecini kullanır. İlk erişimi elde etmek için EternalBlue güvenlik açığından yararlanacak ve ardından ayrıcalıkları artırmak ve ağ içinde yanal olarak hareket etmek için Mimikatz gibi araçları kullanarak kimlik bilgisi hırsızlığı teknikleri uygulayacaktı. Kötü amaçlı yazılım, birbirine bağlı sistemler arasında yayılmak için PsExec dahil meşru yönetim araçlarından da yararlanır.
NotPetya’nın birincil hedefi, mali kazanç sağlamaktan çok operasyonları kesintiye uğratmak ve verileri yok etmekti. Kötü amaçlı yazılım bir ağa girdikten sonra ana önyükleme kaydının (MBR) ve ana dosya tablosunun (MFT) üzerine yazarak etkilenen sistemleri çalışmaz hale getirir. Ardından, şifre çözme anahtarı için bir Bitcoin ödemesi talep eden bir fidye notu gösterdi. Ancak, saldırganların e-posta adresleri kapatıldı ve bu da kurbanların iletişim kurmasını ve verilerini kurtarmasını imkansız hale getirdi.
EternalBlue için güvenlik yamasının saldırı gerçekleşmeden birkaç ay önce yayınlandığını belirtmekte fayda var. Mevcut güvenlik güncellemelerini özenle uygulayan ve sistemlerine yama uygulayan kuruluşlar, bu özel saldırıya karşı güvenlik açıklarını önemli ölçüde azaltmış olacaktır.
Etkiyi Hesaplamak
NotPetya’nın etkisi dünya çapında hissedildi ve 60’tan fazla ülkedeki işletmeler ve hükümetler etkilendi. Küresel kuruluşlar, nakliye devi Maersk’in 300 milyon dolarlık şaşırtıcı bir zarar saymasıyla önemli mali kayıplarla karşı karşıya kaldı. Çernobil nükleer santralinin örneklediği kritik altyapı bile, bu siber saldırının geniş kapsamlı sonuçlarını vurgulayan aksaklıklar yaşadı.
NotPetya saldırısının öne çıkardığı zorluklardan biri, siber saldırıları savaş eylemleri olarak ayırt etmenin zorluğudur. İlgili bir davada, Zurich Insurance Group, fidye yazılımının bir Savaş Yasası olduğunu ve bu nedenle poliçe kapsamında olmadığını ileri sürerek NotPetya saldırısının neden olduğu zararlar için 100 milyon dolarlık tazminat ödemeyi reddetti. Ancak bir yargıç, Zurich’i düşmanca veya savaş benzeri eylemlerin neden olduğu kayıpları ödemekten koruyan maddenin NotPetya siber saldırısı için geçerli olmadığını belirterek bu iddiayı reddetti.
Altı Yıl Sonra – Hala Ebedi
Armis Collective Asset Intelligence kullanılarak yapılan bir analiz, bugün hala EternalBlue’ya karşı savunmasız bilgisayar sayısının son derece düşük olduğunu gösteriyor. Bunun bir Windows güvenlik açığı olduğu ve NotPetya’nın herkese açık doğası göz önüne alındığında bu şaşırtıcı değil. Bununla birlikte, bugün kuruluşların yaklaşık %74’ünün ağlarında hala en az bir savunmasız cihaz bulunmaktadır. İstismar denemeleri devam ederken (Armis her gün birkaç yüz ila birkaç bin EternalBlue istismar teşebbüsü tespit eder) bu güvenlik açığını yamalamak konuyla ilgili olmaya devam ediyor.
Siber Savaşta Dönüştürücü Etki
NotPetya, yıkıcı siber saldırı anlayışını yeniden şekillendirerek siber savaş alanında önemli bir dönüm noktası oluşturdu. Birincil hedefi finansal kazanç değil, kritik altyapıyı bozmak ve veri imhası olduğundan, geleneksel fidye yazılımı ile devlet destekli siber operasyonlar arasındaki çizgileri bulanıklaştırdı. Bu saldırı, son derece yıkıcı kötü amaçlı yazılımların yaygın ekonomik ve operasyonel kesintilere neden olma, ulusal güvenlik ve küresel istikrar için önemli riskler oluşturma potansiyelini gösterdi.
Dersler öğrenildi
NotPetya’nın mirası, bugün bizde yankı uyandıran çok önemli dersler sunuyor. Bunların başında etkili zafiyet yönetiminin önemi gelir. NotPetya, güvenlik yamalarını derhal uygulamanın ve düzenli güvenlik açığı değerlendirmeleri yapmanın önemini vurgulayarak bilinen bir güvenlik açığından yararlandı.
Bilinen güvenlik açıklarının proaktif olarak azaltılması, benzer yıkıcı saldırıların kurbanı olma riskini önemli ölçüde azaltabilir.
Diğer bir kritik ders, varlık görünürlüğünün gücüdür. Ağa bağlı sistemlerin güncel bir envanterinin tutulması, kuruluşların potansiyel zayıf noktaları belirlemesine ve savunmalarını güçlendirmek için proaktif önlemler almasına olanak tanır. Kuruluşlar, dijital ekosistemlerini net bir şekilde anlayarak, ortaya çıkan tehditlere hızlı ve etkili bir şekilde yanıt verebilir.
Son olarak, ağ bölümleme, siber saldırıların etkisini kontrol altına almada hayati bir rol oynar. Kuruluşlar, ağları yalıtılmış bölümlere ayırarak, kötü amaçlı yazılımların yanal hareketini sınırlayabilir ve NotPetya gibi saldırılarla ilişkili yaygın hasarı önleyebilir.
NotPetya siber saldırısı, dijital çağda karşı karşıya kalınan gelişen tehditlerin kesin bir hatırlatıcısı olmaya devam ediyor. Altı yıl sonra, bu yıkıcı saldırının etkisi ve alınan dersler yankılanmaya devam ediyor. Kuruluşlar, varlık görünürlüğü, güvenlik açığı yönetimi ve ağ segmentasyonu dahil olmak üzere sağlam siber güvenlik uygulamalarına yatırım yapmalıdır. Kuruluşlar, siber güvenliğe proaktif ve kapsamlı bir yaklaşım benimseyerek savunmalarını güçlendirebilir ve giderek daha karmaşık hale gelen siber düşmanların ortaya çıkardığı riskleri azaltabilir.
Bu parça ilk olarak Armis blogunda yayınlandı