Bu işaretlere dikkat: CIA'in gizli sitesi de saldırıya uğradı! ‘Anahtar saldırganlarda, herkes tehdit altında’ | 7 SORU 7 YANIT

Microsoft’un yaygın olarak kullanılan sunucu yazılımındaki kritik bir güvenlik açığı, son günlerde hükümet kurumlarını ve özel sektörü hedef alan küresel bir siber saldırıya zemin hazırladı.

Devlet yetkilileri ve özel araştırmacılar, ‘SharePoint’ adlı belge paylaşım platformunda tespit edilen bu açığın, ABD’deki federal ve eyalet kurumlarının yanı sıra üniversiteler, enerji şirketleri ve bir Asya merkezli telekomünikasyon devini etkilediğini açıkladı.

SharePoint, Microsoft tarafından geliştirilen, kurumların belge ve bilgi yönetimi, işbirliği, içerik paylaşımı ve iç iletişim gibi ihtiyaçlarını karşılamak üzere kullanılan web tabanlı bir platform. Kullanıcıların belgeleri merkezi bir alanda depolamasına, ekiplerle paylaşmasına ve süreçleri dijitalleştirmesine olanak tanıyor. Hem bulut tabanlı (SharePoint Online) hem de kurum içinde barındırılan (SharePoint Server) sürümleri bulunan SharePoint, özellikle kurum içi iş akışlarını düzenlemek, güvenli dosya paylaşımı sağlamak ve iç portal oluşturmak amacıyla tercih ediliyor.

ON BİNLERCE SUNUCUYU TEHLİKEYE ATTI

ABD, Kanada ve Avustralya’daki yetkililer saldırıyı araştırırken, uzmanlar dünya genelinde on binlerce SharePoint sunucusunun risk altında olduğunu ve Microsoft’un henüz tüm sürümler için bir güvenlik yaması yayınlamadığını bildirdi.

Bu durum, pek çok kuruluşun harekete geçmeye çalışmasına neden oldu. Uzmanlara göre, söz konusu saldırı ‘sıfır gün’ olarak tanımlanıyor. Microsoft, geçtiğimiz yıl da ABD Ticaret Bakanı Gina Raimondo’nun e-postalarının Çin kaynaklı bir saldırıyla ele geçirilmesine olanak tanıyan açıklar nedeniyle eleştirilmişti.

HEDEFLER ARASINDA NÜKLEER GÜVENLİK KURUMU DA VAR

Bloomberg, saldırılardan ABD Ulusal Nükleer Güvenlik İdaresi’nin (NNSA) de etkilendiğini bildirdi. Bu kurum nükleer silahların geliştirilmesi, bakımı ve güvenliğiyle ilgileniyor.

Bloomberg'e konuşan bir kaynak, kurumun, son günlerde 50'den fazla kuruluşu etkileyen sıfırıncı gün açığına yakalandığını söyledi. Bloomberg’in haberine göre, kurumun bulut hizmetlerini yoğun şekilde kullanması sayesinde hassas ya da gizli bilgilerin sızdırılmadığı bildirildi. Enerji Bakanlığı sözcüsü, “Çok az sayıda sistem etkilendi. Etkilenen tüm sistemler geri yükleniyor” dedi.

Ulusal Keşif Ofisi (NRO), kimliği belirsiz bilgisayar korsanlarının CIA ve diğer kurumlar tarafından hassas sözleşmeler için kullanılan büyük bir istihbarat web sitesini ele geçirdiğini açıkladı.

Bu saldırı, CIA’in yenilikçi casusluk programları için kullanılan Acquisition Research Center sitesindeki tescilli fikri mülkiyet ve kişisel bilgileri hedef aldı.

Özellikle Digital Hammer adlı istihbarat, gözetleme ve karşı istihbarat için gelişmiş teknolojiler geliştiren çok gizli programın verilerinin tehlikeye atıldığı belirtiliyor. Bu program Çin’in istihbarat tehditlerine karşı tasarlanmış yenilikçi teknolojileri kapsıyor.
Microsoft ise benzer şekilde Çin destekli bilgisayar korsanlarının, Enerji Bakanlığı’na bağlı Ulusal Nükleer Güvenlik İdaresi’ni (ABD nükleer silahlarının bakım ve üretiminden sorumlu kurum) de hacklediğini duyurdu.

BULUT TABANLI SİSTEMLER ETKİLENMEDİ

Microsoft, saldırının sadece kurum içi sunucuları etkilediğini, Microsoft 365 gibi bulut tabanlı sistemlerin etkilenmediğini belirtti. Şirket, önce kullanıcılara SharePoint bağlantılarını kesmelerini önerdi, ardından pazar günü yazılımın bir sürümü için yama yayımladı. Ancak diğer iki sürüm hâlâ savunmasız durumda…

‘HERKES TEHDİT ALTINDA’

CrowdStrike’tan kıdemli başkan yardımcısı Adam Meyers, “Barındırılan bir SharePoint sunucusuna sahip olan herkes bu güvenlik açığı nedeniyle tehdit altında” ifadelerini kullandı.

FBI ise yaptığı açıklamada, “Federal hükümet ve özel sektör ortaklarımızla yakın iş birliği içindeyiz” dedi.Siber güvenlik firması Palo Alto Networks’ten Pete Renals ise “Henüz yama yayımlanmadan dünya genelindeki binlerce SharePoint sunucusuna sızma girişimleri tespit ettik. Kamu ve özel sektörde çok sayıda kuruluşun tehlikeye atıldığını gözlemledik” açıklamasında bulundu.

Peki bireysel olarak bizler nasıl bir tehdit altındayız?

Bu krizi daha iyi anlamak adına Marmara Üniversitesi İletişim Fakültesi Görsel İletişim Tasarımı Anabilim Dalı Başkanı ve Bilişim Teknolojileri Uzmanı Prof. Dr. Ali Murat Kırık ile mercek altına aldık.

‘BELEDİYENİN KENDİ BİNASINDA BİR SUNUCUSU VARSA EN BÜYÜK HEDEF ONLAR’

1- Bu açığın ‘sıfır gün’ olması ne anlama geliyor? Microsoft 365 neden etkilenmedi?

Prof. Dr. Ali Murat Kırık: Sıfır gün demek, bu açığın henüz kimse tarafından bilinmediği, Microsoft’un da çözüm üretemediği bir an yakalanmış olması demek. Saldırganlar bu boşluktan faydalanıyor, çünkü henüz bir güvenlik yaması yok. Microsoft 365 etkilenmemesinin nedeni ise tamamen bulut tabanlı olması. Bulut sistemlerde Microsoft güvenlik duvarları ve güncellemeler anında devrede, ama kendi sunucusunda SharePoint barındıran kurumlar risk altında. Mesela belediyenin kendi binasında bir SharePoint sunucusu varsa ve internete açık şekilde çalışıyorsa, en büyük hedef onlar.

‘KAPIYI KİLİTLESENİZ BİLE, ONLARIN ELİNDE GİZLİ BİR ANAHTAR OLUYOR’

2- Bu açıkla saldırganlar neler yapabiliyor?

Prof. Dr. Ali Murat Kırık: Bu açıkla saldırgan sadece sisteme girmekle kalmıyor, yönetici gibi davranabiliyor. Yani belediyenin SharePoint’inde tüm ihale dosyalarını görebilir, enerji şirketinin proje çizimlerini kopyalayabilir. Daha kötüsü, kullanıcıların şifrelerini çalıp, e-posta veya Teams gibi bağlı sistemlere de sızabilirler. Bu açık, saldırganlara sadece sisteme girmek değil, içeride patron gibi davranma fırsatı veriyor. 

Düşünün, bir belediyenin belge arşivine sızdılar; ihale dosyalarını, ruhsat belgelerini indirip kopyalayabilirler. Bir üniversitenin sistemine girdilerse, akademik dosyaları veya öğrenci bilgilerini çekebilirler. Daha da önemlisi, yönetici seviyesinde yetki elde ettiklerinde sisteme kalıcı arka kapılar bırakabiliyorlar. Yani siz kapıyı kilitleseniz bile, onların elinde gizli bir anahtar oluyor ve istedikleri zaman geri dönebiliyorlar.

‘AYNI AĞDA SINAV SİSTEMLERİ VARSA, SALDIRGAN BURALARA DA ULAŞABİLİR’

3- Sunucunun internete açık olması dışında başka şart var mı?

Prof. Dr. Ali Murat Kırık: En temel risk, sunucunun internete açık olması... Ama tek risk bu değil. Eğer sistemde güncelleme yapılmamışsa, yedekleme zayıfsa veya başka kritik uygulamalarla bağlantılıysa, risk daha da büyüyor. Mesela bir üniversitenin SharePoint’i içeride öğrenci bilgileriyle dolu ve aynı ağda sınav sistemleri varsa, saldırgan buralara da ulaşabilir.

‘ELE GEÇİRİLEN VERİLER KARABORSADA SATILABİLİR’

4- Bu işin arkasında devlet destekli hackerlar olabilir mi? 

Prof. Dr. Ali Murat Kırık: Evet, olabilir. Özellikle bu kadar geniş çaplı bir saldırı, genelde organize ve güçlü grupların işi olur. Amaç sadece para değil. Bazen kritik belgeleri ele geçirerek ülkelerin stratejik planlarını öğrenmek, bazen de siyasi baskı için yapılır. Örneğin, daha önce Çin destekli gruplar Microsoft açıklarını kullanarak, ABD’li yetkililerin e-postalarını çalmıştı. Burada da benzer bir tablo olabilir. Ama finansal motivasyon da var: Ele geçirilen veriler karaborsada satılabilir.

‘BELGELERİNİZ ÇALINIRSA, KİMLİK BİLGİLERİNİZ DOLANDIRICILIKTA KULLANILABİLİR’

5- Vatandaşlar bu saldırılardan etkilenir mi?

Prof. Dr. Ali Murat Kırık: Direkt olarak hacklenen sunucuda sizin bilgileriniz yoksa anında etkilenmezsiniz. Ama dolaylı etkiler büyük olabilir. Örneğin, e-devlet’te kullandığınız bir hizmette arka planda SharePoint varsa ve saldırıya uğrarsa, belgelerinize erişemeyebilirsiniz. Üniversiteye kayıt belgeleri, belediyede imar izinleri, hatta sağlık projeleri bile bu platformlarda tutulabiliyor. Kötü senaryo şu: Belgeleriniz çalınırsa, kimlik bilgileriniz dolandırıcılıkta kullanılabilir.

‘EVRAKLARIN YENİDEN YÜKLENMESİ GÜNLER SÜREBİLİR’

6- Kamu belgelerine erişim nasıl etkilenir? Belgeler tamamen kaybolabilir mi?

Prof. Dr. Ali Murat Kırık: Evet, etkilenebilir. Böyle bir saldırı olduğunda genellikle ilk belirti, erişim kesintisi. Yani bir kamu portalında belge ararken “sistem arızası” uyarısı görebilirsiniz. Bazı durumlarda belgeler yedeklerden geri yüklenebilir, ama yedekleme zayıfsa işler zorlaşıyor. Hatta çok kritik bir risk var: Belgeler tamamen kaybolabilir.

Örneğin, bir inşaat için ruhsat almışsınız; ama belediyenin sisteminde kayıtlar saldırı sonrası yok olmuşsa, belgelerin tekrar oluşturulması hem zaman hem de ciddi maliyet demek. Bu, e-devlet’teki bir hizmetin aniden çalışmaması gibi bir durum. Yedek varsa sorun çözülür, ama yedek yoksa belgeler kalıcı olarak kaybolabilir. Yani belediyede inşaat ruhsatı almışsınız ama sistem hacklenmiş; evrakların yeniden yüklenmesi günler sürebilir.

BU ÖNLEMLERİ MUTLAKA ALIN!

7- Şirketler ve bireyler ne yapmalı?

Prof. Dr. Ali Murat Kırık: Şirketler için en önemli adım, sistemlerini sürekli güncel tutmak. Güvenlik yamalarını bekletmeden yüklemek çok kritik... “Zero Trust” denilen, kimseye tam güvenmeme yaklaşımı uygulanmalı; yani her erişim isteği tekrar tekrar doğrulanmalı. Ayrıca iki aşamalı kimlik doğrulama (örneğin şifre + telefon onayı) artık zorunlu hale getirilmeli.

Bireyler için ise yapılacaklar basit: Güçlü şifreler kullanın ve her platformda aynı şifreyi tercih etmeyin. Mümkünse siz de iki aşamalı doğrulamayı aktif edin. Bir de çok önemli bir nokta: Bilgilerinizi yalnızca resmi sitelerde saklayın ve size gelen linklere tıklamadan önce iki kez düşünün. Bu saldırı, sadece devlet kurumu ve şirketlerin ilgisini çeken bir konu değil. Hayatımızın tam ortasında...

Fotoğraflar: iStock, Alamy