Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
Ulus-Devlet Hackerları 24 Milyon Vatandaşla İletişimi Kesmekle Suçlandı
Sayın Mihir (MihirBagwe) •
4 Ocak 2024
Ukrayna’nın güvenlik istihbaratı siber şefi, Rus bilgisayar korsanlarının, aylar önce şirketin ağını tehlikeye attıktan sonra Aralık ayında ülkenin en büyük telekom operatörü Kyivstar’ın internet erişimini ve mobil iletişimini kesmekten sorumlu olduğunu söyledi.
Ayrıca bakınız: İçeriden Gelen Tehditleri Durdurmak İçin Davranış Analitiğinde Yapay Zeka ve Makine Öğrenimi Nasıl Kullanılır?
Ukrayna Siber Güvenlik Departmanı Güvenlik Servisi başkanı Illia Vitiuk, ajansın soruşturmasının bulgularını Perşembe günü Telegram’da açıkladı ve Reuters’e bilgisayar korsanlarının Aralık ayında büyük bir siber saldırı başlatmadan önce tüm Kyivstar altyapısını analiz ettiğini ve “aylarca dikkatle hazırlandığını” söyledi. Bu “neredeyse her şeyi” sildi ve günlerce yaklaşık 24 milyon kullanıcıyı etkiledi.
“Felaket [cyberattack] …bir telekom operatörünün çekirdeğini tamamen yok etti” dedi Vitiuk. “Bu saldırı büyük bir mesajdır, büyük bir uyarıdır; sadece Ukrayna için değil, tüm Batı dünyası için kimsenin aslında dokunulmaz olmadığını anlaması için.”
Vitiuk, Reuters’e verdiği demeçte, “Şimdilik, en azından Mayıs 2023’ten bu yana sistemde olduklarını rahatlıkla söyleyebiliriz.” dedi. “Ne zamandan beri tam erişime sahip olduklarını şu anda söyleyemem: muhtemelen en azından Kasım ayından bu yana.”
Siber güvenlik araştırmacıları Aralık ayındaki kesintinin ötesinde daha fazla olumsuz etki bekliyor. Closed CEO’su William Wright, “Saldırganlar kuruluşun ağında altı aydan fazla süre kalsaydı, operatörün verilerinin çoğuna erişmiş olacaklardı; dolayısıyla bunun şirkete, müşterilerine ve Ukrayna’ya karşı nasıl kullanıldığını yalnızca zaman gösterecek.” Kapı Güvenliği, Bilgi Güvenliği Medya Grubu’na söyledi.
Wright, “Kritik ulusal altyapı olarak görülebilecek bir şeye yönelik bu saldırının, saldırganlar altyapıyı yok etmek için durdurma anahtarını çalıştırmadan önce mümkün olduğu kadar çok bilgi toplamak için kullanılacağı tartışılabilir” dedi. “Bilgi toplama ve ardından mümkün olduğunca fazla kaosa neden olma şeklindeki iki yönlü saldırı, 2017’de yaklaşık 10 milyar dolarlık hasara neden olan Maersk saldırısını anımsatıyor.”
Ekmek Kırıntılarına Saldırı Kum Solucanına Yol Açıyor
Kullanılan kötü amaçlı yazılımın muhtemelen bir veri sileceği olduğunu ancak Vitiuk, ajansın hala kötü amaçlı yazılım örneklerini tek tek araştırdığını söyledi.
Saldırının sorumluluğunu Rus silahlı kuvvetlerinin GRU birimiyle bağlantısı olan Solntsepek adlı hacker grubu daha önce üstlenmişti. Grup, saldırıda 10.000 bilgisayarın, 4.000’den fazla sunucunun ve Kyivstar’a ait tüm bulut depolama ve yedekleme sistemlerinin silindiğini iddia etti (bkz: (bkz: Kyivstar Kesintisi için Ukrayna Rus Askeri Hackerlarını Parmaklıyor).
Vitiuk ayrıntı vermedi ancak “büyük ölçekli” saldırıda binlerce sanal sunucu ve bilgisayarın yok edildiğini doğruladı. Kendisi, Kyivstar’ın altyapısının silinmesi nedeniyle müfettişlerin saldırı vektörlerini analiz etmekte zorlandığını söyledi.
Ayrıca Telegram gönderisinde, Rus askeri istihbaratının tam zamanlı bir birimi olan ve daha önce Ukrayna’nın kritik altyapısına siber saldırılar gerçekleştiren hacker grubu Sandworm’un bu saldırının arkasında olduğunu doğruladı (bkz: Rus Kum Solucanı Hackerları Ekim 2022’de Elektrik Kesintisine Neden Oldu).
Grubun cephaneliğinde çok sayıda veri temizleyicisinin olduğu biliniyor ve Ocak 2023’te bir tane daha ekledi. Eset tarafından NikoWiper olarak adlandırılan bu yıkıcı kötü amaçlı yazılımın, Microsoft’un dosyaları güvenli bir şekilde silmek için kullanılan bir komut satırı yardımcı programı olan SDelete’e dayandığı o dönemde araştırmacılar tarafından söylenmişti (bkz: (bkz: Rus Sandworm APT Arsenaline Yeni Silecek Ekliyor)
Vitiuk, “SBU, Kyivstar’ın yalnızca birkaç gün içinde çalışmaya devam etmesine yardımcı olmakla kalmadı, aynı zamanda yeni siber saldırıları da püskürttü. Büyük ölçekli bir ihlalin ardından, operatöre daha fazla zarar verecek bir dizi girişimi önledik” dedi. “Düşman, insanları mümkün olduğu kadar uzun süre iletişimsiz bırakmak için arka arkaya birkaç kez saldırmayı planladı. Böyle bir durumda, diğer operatörler ağlarının uzun süreli aşırı yüklenmesine dayanamazlardı.”
Yalnızca Sivil Altyapı Etkileniyor
Vitiuk, siber saldırının sivil nüfus üzerinde “önemli bir etkisi” olduğunu ancak Ukrayna Savunma Kuvvetleri’nin farklı iletişim algoritmaları ve protokolleri kullanması nedeniyle askeri iletişimi ciddi şekilde etkilemediğini söyledi.
O dönemde kesinti, hava saldırısı sirenlerinin, perakende kredi ödemelerinin ve büyük bankalara ATM erişiminin kesintiye uğramasına yol açmıştı; insanlar saldırı nedeniyle diğer SIM kartlarını satın almak için çabalıyordu, bu da geniş kuyruklar ve kaos yaratıyordu (bkz:: Ukrayna’nın En İyi Mobil Operatörü Kyivstar Siber Saldırıya Uğradı).
Uzlaşma noktası hala belirsizliğini koruyor. Vitiuk yalnızca bilgisayar korsanlarının şifre karmalarını çalmak için kötü amaçlı yazılım kullandıklarını ortaya çıkardı. My1Login CEO’su Mike Newman ISMG’ye şöyle konuştu: “Saldırının başlangıçta nasıl gerçekleştirildiği belli değil, ancak failler bir çalışanın oturum açma kimlik bilgilerini ele geçirmeyi başardıysa, bu onların ağ geçidi olabilir.” “Bu, saldırganın meşru bir kullanıcı olarak algılanacağından, kötü niyetli etkinliğin tehdit tespit araçları tarafından neden tespit edilmediğini açıklayabilir.”
Newman, kimlik avı olayından haberi olmayan bir çalışanın, kötü amaçlı herhangi bir şeyi güvenliğe bildirmek için hiçbir nedeni olmayacağını, dolayısıyla saldırganların, güçlü bir saldırı başlatmak için ihtiyaç duydukları her şeye sahip olmadan önce radar altında hareket ederek ağ ayrıcalıklarını yükseltebileceklerini söyledi. .
Vitiuk, Telegram gönderisinde, geniş çaplı işgalin başlangıcından bu yana, Güvenlik Hizmetinin Ukrayna’nın devlet kaynaklarına ve kritik altyapısına yönelik neredeyse 9.000 siber saldırıyı kaydettiğini ve püskürttüğünü söyledi.