Dev ölçekli dijital saldırı büyük şirketleri sarstı

  • HABER
  • 4 dk

2020 biterken, tarihin en büyük dijital saldırılarından biri gerçekleşti. Dünyanın en büyük şirketlerinin yanı sıra, Amerikan hükümetine bağlı birimlerin de yazılımlarını kullandığı Teksas merkezli SolarWinds şirketine yönelik ortaya çıkan saldırı şok etkisi yarattı. Saldırı, ‘önemli ve devam eden bir siber güvenlik kampanyası’ olarak niteleniyor.


SolarWinds, işletmeler için ağ, sistem ve bilgi teknolojileri altyapısı yönetimi konusunda çözümler üreten bir şirket. Dünyanın dört bir yanında büyük ölçekli müşterileri var ve ABD hükümetiyle de yakın çalışıyor. SolarWinds’in büyüklüğünü anlamanız için 2019 yılındaki gelirini söylemek yeterli: Yaklaşık 1 milyar dolar! İşte böylesine dev bir şirket tüm dünyanın konuştuğu, devamlılığı eden dijital bir saldırının ortasında.
Saldırı şu şekilde ortaya çıktı: 13 Aralık 2020’de siber güvenlik sektöründeki önemli şirketlerden biri olan FireEye, SolarWinds’in Orion yazılımında, yazılımın yüklendiği sisteme ve ağa sızılmasına olanak sağlayan bir arka kapı keşfettiğini duyurdu. Açıklamada şöyle deniyordu:
“Bu kampanya 2020 ilkbaharında başlamış olabilir ve şu anda devam etmektedir. Bu saldırı, sistem erişimi sonrası yanal (çevredeki diğer bilgisayarlara sızma girişimi) hareket ve veri hırsızlığını da içeriyor. Kampanya, çok yetenekli bir aktörün eseridir ve operasyon önemli bir operasyonel güvenlikle yürütülmüştür.”
Saldırının büyüklüğü tam olarak bilinmemekle birlikte, ABD Hazinesi, İç Güvenlik Bakanlığı, Ticaret Bakanlığı ve Pentagon’un bazı birimlerinin etkilendiğine inanılıyor. Saldırının keşfinden birkaç gün sonra, 16 Aralık’ta, ABD İç Güvenlik Bakanlığı Uzmanı Thomas P. Bossert, The New York Times’ta yayımlanan makalesinde, bu saldırının Rusya tarafından gerçekleştirildiğini öne sürdü ancak Rusya suçlamaları reddetti.


Tedarik zinciri saldırısı
Saldırı bir ‘tedarik zinciri’ saldırısı. Bilgisayar korsanları, devlet veya özel bir kuruluşun ağına doğrudan saldırmak yerine, onlara yazılım sağlayan üçüncü taraf bir satıcıyı hedef alıyor. Önce hedef satıcının sistemlerine sızılıyor ve kuruluşlara sunulan yazılıma bir arka kapı ekleniyor. Bu yazılım, devlet veya işletmelerin sistemlerine yüklendiğinde, arka kapı da yüklenmiş oluyor ve saldırganlar bu sistemlere de erişim elde ediyor.
Bilgisayar korsanlarının bir tedarik zinciri saldırısını gerçekleştirmesi büyük bir olay çünkü bu saldırı tipinde kötü amaçlı yazılım, güvenilir bir yazılım içinde geliyor. Saldırganlar, oltalama gibi yöntemlerle yazılımlarının indirilmesi için hedefleri kandırmaya çalışmak yerine, hedeflerin güvendiği bir şirketi kullanarak çok daha efektif bir şekilde bu sistemlere sızabiliyor.


33 binden fazla şirketin kullandığı Orion yazılımı hedef alındı
Saldırı çok önemli çünkü dünyanın dört bir yanında binlerce şirket ve devlet kurumu şirketin yazılımlarını kullanıyor. Saldırganların sızmayı ve arka kapı bırakmayı başardıkları yazılım, BT altyapısı yönetimi sağlayan Orion uygulaması. Orion, 33 binden fazla şirket kullanıcısıyla SolarWinds'in en büyük yazılımı. SolarWinds’in sitesindeki müşteriler listesine (daha sonra siteden kaldırıldı) göre Fortune 500 listesinde bulunan 425 şirket, ABD’deki en büyük 10 telekomünikasyon operatörü, Pentagon, Hastalık Kontrol ve Önleme Merkezleri, Dışişleri Bakanlığı, Adalet Bakanlığı ve birçok ABD federal kurumu saldırıdan etkilendi.
Microsoft, paylaştığı bir blog yazısında ‘saldırının neredeyse küresel öneme sahip bir tedarik zinciri zafiyeti yarattığını ve Rusya dışındaki birçok büyük başkente ulaştığını’ belirtti. Ancak FireEye henüz Rusya'yı sorumlu ilan etmedi; FBI, Microsoft ve adı verilmeyen diğer önemli ortaklarla soruşturmanın devam ettiğini söyledi.


ABD’de ‘Acil Durum Direktifi’ yayınlandı
Şu anda SolarWinds, tüm müşterilerine mevcut Orion platformunu derhal arka kapıdan arındırılmış versiyona güncellemelerini tavsiye ediyor. Güncelleme yapamayanlar için ise SolarWinds sunucularını izole etmeleri veya bu sunucuların tüm internet erişimlerinin engellenmesi öneriliyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) 21-01 kodlu Acil Durum Direktifi yayınladı ve tüm federal sivil kurumlardan ağlarını gözden geçirmelerini, SolarWinds Orion ürünlerini derhal kapatmalarını istedi.
FBI, CISA ve Ulusal İstihbarat Direktörü’nün ofisi ise ortak bir bildiri yayınladı ve hükümet tarafından uygulanacak tepkileri koordine etmek için ‘Siber Birleşik Koordinasyon Grubu (UCG)’ olarak adlandırılan komiteyi duyurdu. Açıklama, yaşanan saldırıyı ‘önemli ve devam eden bir siber güvenlik kampanyası’ olarak niteleniyor.