ABD bugün Rusya’yı yakın ABD tarihindeki en kötü casusluk saldırılarından birini desteklemekle suçladılar ve cevaben yaptırım açıkladılar.
Ulusal Güvenlik Ajansı (NSA), FBI ve Siber Güvenlik ve Bilgi Güvenliği Ajansı ortak bir açıklamada[1], Rusya’nın SVR olarak kısaltılan Yabancı İstihbarat Servisi’nin Teksas merkezli Austin’den ağ yönetimi yazılımının müşterilerine Solarwinds tedarik zinciri saldırısı gerçekleştirdiğini söyledi.
SolarWinds saldırısı, ilginçtir güncelleme ile geldi. Güvenlik tavsiyesi veren herkes, “yazılımınızı güncel tutun” der ama hackerlar yazılım alanındaki tedarik zincirine sızmışlar ve arka kapı yerleştirmişler. Bunun sonucunda 18.000 firma etkilendi. Bunlar arasında ABD hükümetinin web siteleri çoğunlukta. 10 ABD federal ajansına ve yaklaşık 100 özel kuruluşu bu olaydan etkilendi. Amerikalılar saldırının casusluk amaçlı olduğunu iddia ediyor.
NSA, Rus devlet korsanlarının bir VMware açığını kullandığını söylüyor. Bugün yayınlanan ortak açıklamada, SVR destekli bilgisayar korsanlarının, hem WellMess hem de WellMail olarak bilinen kötü amaçlı yazılımlara bulaştırarak ve VMware yazılımındaki kritik bir güvenlik açığından yararlanarak, COVID-19 araştırma tesislerini hedefleyen diğer son kampanyaların arkasında olduğunu söyledi[1].
Bu arada ABD Hazine Bakanlığı, “Rusya Federasyonu Hükümeti’nin saldırgan ve zararlı faaliyetleri” olduğunu söylediği harekete karşı misilleme yapmak için yaptırımlar yayınladı. Önlemler, Rusya devlet borcuna yeni yasaklar ve Hazine Bakanlığı’nın “Rusya İstihbarat Servislerinin ABD’ye karşı kötü niyetli siber faaliyetler yürütme çabalarını desteklediğini” söylediği Rusya merkezli altı firmaya yaptırımları içeriyor. Bu firmalar ve Hazine Bakanlığı’nın bu firmalar için verdiği bilgiler şöyle :
- ERA Technopolis : Rus teknoloji sektörünün personelini ve uzmanlığını ülke ordusunun kullandığı teknolojilerin geliştirilmesine aktarmak için Rusya Savunma Bakanlığı tarafından işletilen bir araştırma merkezi. ERA Technopolis, saldırgan siber ve bilgi operasyonlarından sorumlu bir organ olan Rusya’nın Ana İstihbarat Müdürlüğü’nü (GRU) destekliyor.
- Pasit : SVR tarafından kötü niyetli siber operasyonları destekleyen araştırma ve geliştirme yapan Rusya merkezli bir bilgi teknolojisi şirketi.
- SVA : Rusya devlete ait bir araştırma enstitüsü olan SVA, o ülkede bulunan gelişmiş bilgi güvenliği sistemlerinde uzmanlaşmıştır. SVA, SVR’nin kötü niyetli siber operasyonlarını desteklemek için araştırma ve geliştirme yapar.
- Neobit : müşterileri arasında Rusya Savunma Bakanlığı, SVR ve Rusya Federal Güvenlik Servisi bulunan, Saint Petersburg, Rusya merkezli bir BT güvenlik firmasıdır. Neobit, FSB, GRU ve SVR tarafından yürütülen siber operasyonları desteklemek için araştırma ve geliştirme yaptı.
- AST : müşterileri arasında Rusya Savunma Bakanlığı, SVR ve FSB bulunan bir Rus BT güvenlik firmasıdır. AST, FSB, GRU ve SVR tarafından yürütülen siber operasyonlara teknik destek sağladı.
- Positive Technologies, FSB de dahil olmak üzere Rus Hükümeti müşterilerini destekleyen bir Rus BT güvenlik firması. Positive Technologies, Rus şirketlerine, yabancı hükümetlere ve uluslararası şirketlere bilgisayar ağı güvenlik çözümleri sağlar ve FSB ve GRU için işe alım etkinliklerine ev sahipliği yapar.
Yaptırımların ve Rusya’ya resmi atfedilmesinin gölgesinde kalsa da, bugünkü duyurulardan anlaşılan şu : SVR hala aynı açığı kullanıyor. saldırısı devam etmesi ve şu anda yukarıda belirtilen açıklardan yararlanıyor olmasıdır. Araştırmacılar 2019’da yamalanan Fortinet güvenlik açığını güncellememil sunucuları belirlemeyi amaçlayan İnternet taramasına rastladıklarını söylediler.
[1] NSA-CISA-FBI Joint Advisory on Russian SVR Targeting U.S. and Allied Networks
[2] Treasury Sanctions Russia with Sweeping New Sanctions Authority