Ukrayna savunması ile uyumlu ülkelerdeki sağlık kuruluşları, son birkaç gün içinde kötü şöhretli Killnet grubuyla bağlantılı bir dizi saldırının ardından Rus bilgisayar korsanlarının siber saldırısı riski altında olabilecekleri konusunda uyarıldı.
Killnet, kendilerini Putin’in saldırı savaşıyla aynı hizaya getiren, siyasi olarak motive olmuş aktörlerden oluşan bilgisayar korsanlığı yanlısı bir gruptur. Rusya’nın öfkesini çeken hedeflere karşı yaygın dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirir ve savaşın başlamasından bu yana kampanyalarıyla kötü bir üne kavuşmuştur.
Almanya ve ABD hükümetlerinin geçen hafta Ukrayna’ya tank tedarik etme kararının ardından saldırılarını yeniden artırdı ve Almanya’nın federal siber güvenlik kurumu BSI birden fazla hükümet kurumunda olayları bildirdi.
Bununla birlikte, son günlerde dikkatini sağlık sektörüne çevirmiş gibi görünüyor, bu kurumlar için geçici de olsa ağ kesintisi oldukça tehlikeli olabilir.
30 Ocak Pazartesi günü, ABD’de çok sayıda hastane “sistemini” vurdu, ancak bundan kısa bir süre önce, birden çok Birleşik Krallık kurumu da dahil olmak üzere sağlık sektöründeki potansiyel hedeflerin bir listesi çevrimiçi olarak ortaya çıktı.
Liste Twitter üzerinden paylaşıldı bağımsız bir tehdit araştırmacısı tarafından ve ardından Computer Weekly ile paylaşıldı. Birleşik Krallık’taki şehirlerdeki kurumları, ön cephe NHS bakımında yer alan bir hastaneden ziyade gaziler için bir emeklilik ve bakım evi olan Royal Hospital Chelsea de dahil olmak üzere adlandırır. Ayrıca Almanya, Hollanda, Norveç ve ABD’deki sağlık hizmeti sunucularını da belirtir.
Check Point Software’in saha CISO’su Deryck Mitchelson şunları söyledi: “NHS’ye yönelik bir saldırının ne kadar sakatlayıcı olabileceğini biliyoruz. Tedarik zinciri fidye yazılımı saldırısı sonucunda geçen yıl büyük BT kesintileri gördük ve bunların çoğu bugün de etkisini sürdürüyor.
“Çevrimiçi olarak daha fazla hizmet sunuldukça, DDoS saldırılarının kesintiye uğraması daha da zarar verici olabilir ve potansiyel olarak acil bakımı, planlanmış randevuları ve tele sağlık konsültasyonlarını etkileyebilir.
“Killnet’in bu son kampanyası, veri hırsızlığından ziyade maksimum ifşa için kesintiye neden olacak şekilde tasarlanmış olsa da, bu tehditleri hafife almamalıyız. Mitchelson, “Daha fazla başarılı ihlalleri önlemek için kritik hizmetlerde sağlam güvenlik önlemlerine öncelik vermemiz gerektiğini hatırlatmalıyız” dedi.
Siber tarihten bir uyarı
Grubun işleyiş tarzı olan bir DDoS saldırısı, hedeflerinin sunucularını, web sitesini veya ağ kaynaklarını önemsiz iletiler, bağlantı istekleri veya hatalı biçimlendirilmiş paketlerle doldurarak onların yavaşlamasına veya çökmesine neden olan nispeten basit bir siber saldırı biçimidir. Genellikle her şeyden çok geçici kesintiye neden olmayı amaçlarlar ve tam da bu nedenle, Anonymous gibi gruplar da dahil olmak üzere bilgisayar korsanları tarafından tarihsel olarak tercih edilmişlerdir – ve hala da öyledirler.
Gerçekten de, güvenlik derecelendirmesi ve risk yönetimi uzmanı SecurityScorecard’ın baş araştırma ve geliştirme sorumlusu Alexander Heid’e göre, Killnet’in metodolojisinin çoğunun Anonymous’tan ilham aldığı söylenebilir.
Heid’e göre Killnet’in iki ana saldırı vektörü var. Başlıca silahı, çok az araçtan oluşan ve konuşlandırılması için sınırlı beceri gerektiren CC-Attack araç takımı olarak bilinir. Üç farklı Katman 7 saldırı türü oluşturur – Taşma, Taşma ve Taşma sonrası – bunlar, hedef altyapının akın ettiği belirli isteklerle ilgili terimlerdir.
Ayrıca, Anonymous tarafından popüler hale getirilen ve Heid’in Killnet’in organize ettiği şifreli Telegram kanalında sık sık tartışıldığını söylediği saygıdeğer bir bilgisayar korsanlığı aracı olan Low Orbit Ion Cannon (LOIC) olarak bilinen bir araçtan yararlanıyor. Yine basit ve kullanımı kolay, giriş seviyesindeki tehdit aktörlerine hitap ediyor. Kolayca hafifletilip saldırılarını genellikle etkisiz hale getirirken, LOIC hala çok fazla gürültü üretebilir.
Tanınmış destekçiler
Radware’in tehdit istihbaratı başkanı Daniel Smith tarafından yayınlanan son istihbarata göre, büyük olasılıkla Kremlin’in açık emriyle faaliyet göstermesine rağmen, Killnet’in Rusya’da da bazı önde gelen destekçileri olduğu biliniyor.
Onun parçasında, Killnet’in sosyal çevrelerini keşfetmek, Smith, Killnet’in nasıl destek ve daha da önemlisi fon topladığını araştırıyor. Bulduğu destekçilerden bazıları arasında geçen yıl bir parça yayınlayan Rus rapçi Kazhe Oboyma da vardı. Killnet Akışı (Anonim diss).
Smith ayrıca, Killnet’ten ilham alan bir dizi yüzük üreten ve çete ürünleri satışından elde ettiği kârın yarısını operasyona bağışlayan Moskova merkezli bir mücevher şirketi olan HooliganZ adlı bir şirketten nasıl destek aldığını da araştırıyor. Bu ilk olarak Norveç gazetesi tarafından bildirildi. günlük gazete.
Bu arada, başka bir rapora göre Solaris dark web pazarının sakinleri, sözde Killnet için bir kırbaç turu yapmak için bir araya geldiler ve çeteye 40.000 dolardan fazla bitcoin bağışladılar.