Seattle Limanı, Ağustos ayı sonlarında Seattle-Tacoma Uluslararası Havaalanı’ndaki (SEA) operasyonlarını aksatan siber saldırının bir fidye yazılımı saldırısı olduğunu resmen doğruladı. Liman başlangıçta olayı önemsiz gösterse de, son açıklamalarında saldırının ciddiyetini ve devam eden kurtarma çabalarını kabul etti.
15 Eylül 2024’te Seattle Limanı, 24 Ağustos saldırısının failleri olarak kötü şöhretli “Rhysida” fidye yazılımı grubunu suçlayan resmi bir açıklama yayınladı. Rhysida grubu, dikkat çekici 2023 British Library siber saldırısını ve Insomniac Games veri ihlalini düzenledi. Ayrıca, ABD sağlık sektöründeki bazıları ve Şili ordusu da dahil olmak üzere birçok kuruluşu hedef aldı.
Kurtarma çalışmaları devam ederken, Liman, yaptığı incelemede tehdit aktörü tarafından bazı verilerin sızdırıldığını tespit ettikten sonra olası bir veri ihlali konusunda uyarıda bulundu.
Seattle Limanı Fidye Yazılımı Saldırısı Ayrıntılı Olarak
Seattle Limanı açıklamasında, “24 Ağustos 2024’te Seattle Limanı, bir siber saldırıyla tutarlı sistem kesintileri tespit etti. Hızla ilerleyen bir durumdu ve Liman personeli kritik sistemleri hızla izole etmek için çalıştı. O zamandan beri Liman personeli, ağ geçitlerimizi kullanan ortaklarımızın ve yolcularımızın varış noktalarına güvenli ve emniyetli bir şekilde ulaşmalarını ve tesislerimizi kullanmalarını sağlamak için gece gündüz çalışıyor.” ifadelerini kullandı.
Seattle Limanı, Rhysida’yı saldırıdan sorumlu tutarak, “Bu olay, Rhysida olarak bilinen suç örgütü tarafından yapılan bir “fidye yazılımı” saldırısıydı. Ekibimizin 24 Ağustos’ta saldırıyı durdurmak için gösterdiği çabalar başarılı görünüyor.” dedi.
Liman, saldırıdan bu yana sistemlerinde yeni bir yetkisiz faaliyet olmadığını iddia etti ancak “yüksek alarm” durumunda kaldığını ve hala tamamen geri yüklenmeyen sistemlerini sürekli olarak izlediğini belirtti.
Açıklamada, “Liman, ilk günden itibaren tesislerimizde güvenli, emniyetli ve verimli operasyonlara öncelik verdi. Sistemlerimizi geri yükleme konusunda ilerleme kaydetmeye devam ediyoruz” ifadeleri yer aldı.
Veri İhlali Endişeleri
Liman başlangıçta saldırının etkisini küçümsemiş olsa da, daha sonra veri sızdırma olasılığını kabul etti. Liman Rhysida grubuna fidye ödemeyi reddederken, verilerinin bir kısmının çevrimiçi olarak yayınlanma riski altında olabileceğini söyledi.
Açıklamada, “Soruşturmamız, yetkisiz saldırganın bilgisayar sistemlerimizin belirli bölümlerine erişebildiğini ve bazı verilere erişimi şifreleyebildiğini belirledi” denildi.
“Sistemlerimizi internetten ayırmak da dahil olmak üzere daha fazla faaliyeti engellemek için adımlar attık, ancak ne yazık ki şifreleme ve yanıt eylemlerimiz bagaj, check-in kioskları, bilet, Wi-Fi, yolcu gösterge panoları, Seattle Limanı web sitesi, flySEA uygulaması ve ayrılmış park yeri gibi bazı liman hizmetlerini engelledi.”
Liman, tehlikeye atılmış olabilecek belirli veri türü hakkında yorum yapmadı; bu durum yolcular ve havalimanı personeli için endişelere yol açtı.
Açıklamada, “Elde edilen verilerin değerlendirilmesi karmaşıktır ve zaman alır, ancak bu çabalara bağlıyız ve uygun şekilde potansiyel olarak etkilenen paydaşları bilgilendiriyoruz” denildi.
“Özellikle, failin çalışan veya yolcuların kişisel bilgilerini elde ettiğini tespit edersek, onları bilgilendirme sorumluluğumuzu yerine getireceğiz.”
Liman, adli tıp uzmanlarını dahil ettiğini ve “saldırganın soruşturulması için kolluk kuvvetlerine aktif olarak destek verdiğini” sözlerine ekledi.
Havaalanı Operasyonlarına Etkisi
Fidye yazılımı saldırısı SEA’da önemli kesintilere neden oldu ve çok çeşitli havalimanı operasyonlarını etkiledi. Yolcular, kritik sistemler çevrimdışı kaldığı için gecikmeler ve hayal kırıklıklarıyla karşılaştı.
Habere göre, “Saldırı ve Limanın kritik sistemleri izole etme yönündeki müdahalesi, havalimanındaki WiFi’ın kapanmasına, bagaj hizmetlerinde gecikmelere ve terminalin içindeki uçuş bilgilerini gösteren birçok ekranın bozulmasına neden olan bir kesintiye yol açtı.”
Havaalanı çalışanları, uçuş numaralarını ve dönen bantların yerlerini büyük kağıtlara yazmak, biniş kartlarını ve bagaj etiketlerini elle yazmak gibi operasyonları yönetmek için manuel süreçlere başvurdu.
Ancak, havaalanı ve limanın web siteleri hala kapalı. Havaalanının kayıp eşya ve ziyaretçi geçiş programı gibi diğer hizmetlere hala erişilemiyor.
Rhysida Group’un Şerefsiz Geçmişi
Rhysida grubunun kurbanların sistemlerindeki verileri şifrelediği ve fidye ödenmediği takdirde bunları herkese açık hale getirmekle tehdit ettiği bilinmektedir. Grup, isimsiz fidye yazılımı hizmeti tekniklerini kullanır, bireylere rastgele saldırılar yapmak yerine büyük kuruluşları hedef alır ve verileri geri yüklemek için büyük miktarda para talep eder.
Seattle Limanı bu saldırıdan kurtulurken, uzun vadeli sonuçları henüz görülmedi. Siber saldırı, kritik altyapıyı hedef alan fidye yazılımı saldırılarının artan tehdidini vurguluyor. Bu olay, siber suçla mücadele için sağlam siber güvenlik önlemlerine ve uluslararası iş birliğine olan ihtiyacın altını çiziyor.
Seattle Limanı’nın deneyimi, siber hazırlığın ve olaylara müdahale stratejilerinin önemini vurgulayarak diğer kuruluşlar için değerli bir vaka çalışması işlevi görüyor.