Rusya'dan Ukrayna'ya bir hamle daha... Dünyaya yayılır mı?
Güncelleme Tarihi:
Rusya'nın Ukrayna'ya başlattığı saldırılar bugün de devam ederken, siber saldırılar da gündem oldu. Çarşamba günü erken saatlerde, haftalardır ülkeyi hedef alan yeni bir DDoS saldırısı dalgasında bir dizi Ukraynalı web sitesi çevrimdışı duruma getirilmişti. Rusya'nın siber saldırıları devam eder mi, dünyaya yayılır mı? Detayları derledik...
Ukrayna'ya her anlamda saldıran Rusya, Ukrayna Parlamentosu Rada dahil olmak üzere pek çok devlet kurumuna internet üzerinden siber saldırı düzenledi. Son bir haftadır farklı alanlarda siber saldırıya uğrayan Ukrayna,Rusya tarafından meydana gelen çok sayıda siber saldırıdan etkilenirken, bankalarının ve devlet dairelerinin de web sitelerine erişimde problemler yaşandı.
Öte yandan Rusya'nın Ukrayna için kullandığı siber saldırı yönteminin 'HermeticWiper' olduğu keşfedildi. Söz konusu saldırı bu yıl Rusya tarafından Ukrayna'ya gerçekleşen üçüncü saldırı dalgasını temsil ediyor.
Siber güvenliği ve İnternet'in yönetimini izleyen bir gözlemci kuruluş NetBlocks'ta kesintilerle ilgili açıklamada bulunmuş, 'Dışişleri Bakanlığı, Savunma Bakanlığı, İçişleri Bakanlığı, Ukrayna Güvenlik Servisi ve Bakanlar Kurulu web sitelerinin etkilendiğini' belirtmişti.
BİRÇOK WEB SİTESİ KAPANDI
Ukrayna Dijital Dönüşüm Bakanı Mykhailo Fedorov konuyla ilgili yaptığı açıklamada "Devletimize yönelik toplu bir DDoS saldırısı başladı" dedi.
NetBlocks verileri, Ukrayna'ya yönelik DDoS saldırı dalgasının çarşamba öğleden sonra başladığını ve gün boyunca şiddetini artırdığını gösteriyor. Ukrayna'da saldırılar sonrası çoğu web sitesi birkaç saat içinde geri yüklendi.
⚠️ Confirmed: #Ukraine's Ministry of Foreign Affairs, Ministry of Defense, Ministry of Internal Affairs, the Security Service of Ukraine and Cabinet of Ministers websites have just been impacted by network disruptions; the incident appears consistent with recent DDOS attacks 📉 pic.twitter.com/EVyy7mzZRr
— NetBlocks (@netblocks) February 23, 2022
Kiev’in Rusya’yı suçladığı siber saldırılar için Moskova’dan herhangi bir müdahale olduğuna dair yalanlama gelmişti.
İKİNCİ BİR SALDIRI KAYDEDİLDİ
ESET ve Symantec'teki siber güvenlik uzmanları, karmaşık bir "HermeticWiper" kötü amaçlı yazılım kullanarak bilgisayar sistemlerine ikinci bir saldırı biçimi kaydettiklerini söyledi.
ESET Araştırma Birimi, Ukrayna'daki bir dizi kuruluşun, HermeticWiper adlı veri silen yeni zararlı yazılımı içeren bir siber saldırıyla ağlarındaki yüzlerce bilgisayarın etkilendiğini tespit etti. Saldırı, bir dizi dağıtılmış hizmet reddi (DDoS) saldırısının ülkedeki birçok önemli web sitesini çevrimdışı duruma getirmesinden sadece birkaç saat sonra gerçekleşti.
Breaking. #ESETResearch discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n
— ESET research (@ESETresearch) February 23, 2022
SALDIRI ÜZERİNE BİR SÜREDİR ÇALIŞILIYOR
Win32/KillDisk.NCV olarak tespit edilen veri silici, ilk önce Çarşamba günü yerel saatle 17.00'dan (Türkiye saatiyle 18.00'den) hemen önce tespit edildi. Bu arada veri silicinin zaman damgası, 28 Aralık 2021'de derlendiğini gösteriyor ve bu da saldırının üzerinde bir süredir çalışılıyor olabileceğini gösteriyor.
HermeticWiper, popüler disk yönetim yazılımının meşru sürücülerini kötüye kullandı. Araştırmacılarına göre, 'Silici, verileri bozmak için yasal EaseUS Partition Master yazılımının sürücülerini istismar ediyor.'
Siber güvenlik firması Symantec'ten Vikram Thakur da olayı araştırdığını belirtmiş yazılımın Ukrayna dışına yayıldığını söylemişti.
Thakur, "Ukrayna ve Letonya'da hareketlilik görüyoruz" demiş Litvanya'yı da eklemişti.
OCAK AYINDA BİR SALDIRI DAHA YAPILMIŞTI
Geçen hafta, benzer bir saldırı ülkedeki daha az sayıda web sitesini çevrimdışına aldı. Birleşik Krallık ve ABD'deki siber yetkililer, Kremlin'in doğrudan emirleri altında Rus bilgisayar korsanlarını bu saldırı için suçladı.
Ocak ayında, Ukrayna hükümeti Rusya'yı daha küçük başka bir DDoS saldırısı yüzünden suçlamıştı. Sitelerin çoğuna erişim saatler içinde geri yüklenmişti.
GÜRCİSTAN VE KIRIM'A DA DÜZENLEMİŞTİ
AB, Ukrayna'dan gelen yardım çağrısının ardından Avrupa genelinde bir siber ekibini görevlendirildiğini duyurmuştu. Altı gönüllü ülkeden uzman ekibin bu son saldırıya karşı savunmaya yardımcı olup olmadığı bilinmiyor.
DDoS saldırıları, siber saldırıları geleneksel askeri faaliyetlerle birleştiren Rusya'nın taktiklerinin bir parçası olarak biliniyor. 2008 ve 2014'te de siber saldırılar Gürcistan ve Kırım'ı vurmuştu.
GELMİŞ GEÇMİŞ EN BÜYÜK SALDIRIYLA DÜNYAYI KABUSA ÇEVİRMİŞTİ
ABD, İngiltere ve AB, Ukrayna'da başlayan ancak küresel olarak yayılan ve Avrupa, Asya ve Amerika'daki bilgisayar sistemlerinde milyarlarca dolarlık hasara neden olan son derece yıkıcı NotPetya saldırısından da onu sorumlu tutmuştu.
Haziran 2017'de WannaCry benzeri bir kripto-fidye virüsü olduğu sanılan ancak esas amacı bulaştığı verileri direk yok etmek olduğu ortaya çıkan NotPetya'nın Rus askeri siber timleri tarafından dizayn edildiği ileri sürülmüştü.
Rusya'nın bu saldırı ile Ukrayna'yı hedef aldığı ancak virüsün yayılması sonucu Avrupa, Asya ve Amerika kıtaları genelinde toplamda milyarlarca dolar zarara yol açtığı kaydedilmişti. Farklı sanal güvenlik firmaları da saldırı kaynağını Rusya olarak belirlemişti.
YAYILMA RİSKİ YOK
Marmara Üniversitesi İletişim Fakültesi Görsel İletişim Tasarımı Anabilim Dalı Başkanı ve Dijital İletişim Araştırmacısı Doç. Dr. Ali Murat Kırık konuyla ilgili yaptığı açıklamada, "Sıcak savaşın yanında Rusya ve Ukrayna arasında büyük bir siber savaş da yaşanıyor. İletişim kopması, bankaların hizmet verememesi, ayrıca kamu kurum ve kuruluşlarının sanal ortamda işlev göremez hale gelmesi hedefleniyor. Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi; büyük DDoS saldırıları ile uğraştığını belirtiyor. Hizmet reddi saldırısı (DoS), bir hizmeti kullanılamaz hale getirmeyi, bir hizmetin meşru kullanıcılarının hizmeti kullanmasını engellemeyi amaçlayan bir siber saldırı olup, Ukrayna sitelerine erişiminin engellenmesini amaçlamaktadır. ESET'teki araştırmacılar ise Ukrayna'ya yönelik kullanılan veri silecek kötü amaçlı bir yazılımın varlığına işaret ettiler. ESET, "HermeticWiper" adını verdiği veri silme hedefli kötü amaçlı yazılımının Ukrayna’daki yüzlerce makineye yüklendiğini ve saldırganların neredeyse iki aydır hazırlandıklarına dair işaretler olduğunu belirtti. HermeticWiper olarak adlandırılan kötü amaçlı yazılım, Symantec araştırmacıları tarafından da tespit edildi. Bu yazılım bulaştığı sistemdeki tüm verileri silebilmekte ve veriler bir kez silindikten sonra kurtarılamamaktadır. Bu veri silme amaçlı yazılım, herhangi bir saldırı izi bırakmadan sistem kurtarma araçlarına bile saldırabilmektedir. Kötü amaçlı yazılımdan kaynaklanan enfeksiyonların geniş çapta yayıldığına inanlar mevcut olsa da RAND Europe isimli araştırma enstitüsünde çalışan analist Alexi Drew, HermeticWiper casus yazılımının yayılma riskinin olmadığını belirtmiştir" dedi.
2 FARKLI GÖRÜŞ
Kırık, Rusya’nın Ukrayna’da siber saldırı noktasında ne kadar ileri gidebileceğini açıklarken, “İsviçre Üniversitesi ETH Zürih'teki Güvenlik Araştırmaları Merkezi'nden Dr. Lennart Maschmeyer, Rusya'nın siber saldırı stratejisinin planlı olmadığını belirtmiştir. Ancak Symantec firmasına göre, Ukrayna'yı hedefleyen veri silme saldırısı belli bir süre önce planlanmıştır. Hatta Ukraynalı kuruluşların geçtiğimiz yılın Aralık ayından itibaren hedefte olduğu belirtilmiştir” dedi.
‘Bir diğer dikkat çeken nokta Ukrayna hükümeti web sitelerinin klonlanmış kopyaları aracılığıyla kimlik avı hırsızlığı gerçekleştirilmesidir’ diyen Kırık, “Siber tehdit araştırmacısı Snorre Fagerland, Bellingcat ve The Insider, Rus devletinin çıkarlarıyla bağlantılı geçmişteki siber saldırılarda rol oynayan bir web hizmetini ortaya çıkarmış Ukrayna hükümeti adına açılmış web sitelerinin klonlanmış kopyalarını barındırdığını tespit etmiştir. Ukrayna Cumhurbaşkanının sitesinin klonlanmış sahte versiyonu, tıklanabilir bir 'Başkanı Destekle' kampanyasını içerecek şekilde değiştirilmiş ve linke bir kez tıklandığında kullanıcının bilgisayarına bir kötü amaçlı yazılım paketi indirilmiştir. Kötü amaçlı yazılımlar cihaz bilgilerini toplamakta, bunları bir komut ve kontrol sunucusuna göndermekte ve dosyaları indirerek yürütebilmektedir. Bu siber saldırıların kesin suçluları henüz bilinmemekle beraber, siber tehditlerle ilgili çalışan araştırmacıların çoğu Rusya'nın askeri ve istihbarat servislerinden şüphelenmektedir” ifadesinde bulundu.
“BİZLERİ BİRÇOK SİBER TEHDİDİN BEKLEDİĞİNİ İFADE EDEBİLMEK MÜMKÜNDÜR”
Rusya’nın dünyanın en iyi hackerlarına sahip ülkelerden olduğunu dile getiren Kırık, “Rus hükümetinin siber dünyada Ukrayna'ya ne yapacağını şu an kimse bilmiyor. 2017'deki NotPetya kötü amaçlı yazılım saldırısı hatırlanacak olursa bu zararlı yazılım küresel olarak yayılmış ve milyarlarca dolar değerinde hasara neden olmuştur. Araştırmacılar bu saldırıyı da Rusya’ya atfetmiştir. Maliyet nedeniyle Rus yazılım veya hizmetlerini kullanan ABD şirketleri mevcuttur. Onların bu süreçten nasıl etkileneceği de soru işaretidir” dedi.
Kötü amaçlı yazılımların dünyaya yayılma ihtimalini ise Kırık şöyle değerlendirdi: “Unutmamak gerekir ki; çok sayıda kötü amaçlı yazılımdan koruma önlemine rağmen, siber suçlular ve bilgisayar korsanları savaş ortamlarından istedikleri gibi faydalanabilmektedirler. Siber dünyada zararlı yazılımların istemsiz bir şekilde indirilmesi ve yayılması ise oldukça kolaydır. Kötü amaçlı yazılımlar her ne kadar belirli bir bölgeyi tehdit ediyor gibi görünse de nasıl ki savaşın tüm dünyaya olumsuz bir etkisi söz konusuysa kötü amaçlı yazılımlar da tüm dünyayı hedef alabilmektedir. Geçmişte de bunun örnekleri görülmüştür. Bu dönem internette yavaşlamaların ve bazı sitelere erişim sorunu yaşanması olasıdır. Zira bazı web sitelerinin sunucuları Ukrayna ve Rusya’dadır. Rusya’nın çok ciddi bir siber ordusu bulunmaktadır. Bu gerçeklik de unutulmamalıdır. Rus hükümetinin ülkelerin nabzına göre hareket edeceği düşünülürse gelecek günlerde bizleri de birçok siber tehdidin beklediğini ifade edebilmek mümkündür.”