Ülkemiz neredeyse 2-3 yıldan beri fidyeci virüslerle uğraşıyor. Aniden bilgisayarlarının kilitlendiğini, verilere erişemez hale geldiğini gören pek çok sayıda KOBİ firma olduğu görülüyor. Bu tarzda, bilgisayara mail, sosyal medya vs üzerinden “açılması çok mümkün” düzeyde cazip bir link gönderilerek virüs ithal ediliyor ve ondan sonra bilgisayar kilitlenip, açılması için para (genellikle Bitcoin) talep ediliyor.
Ama geçen gün, farklı bir fidye olayı gördük. Bursa’dan DGN Teknoloji A.Ş. CEO’su Dağhan Uzgur, yeni versiyon bu fidye olayını haber verdi. Burada virüse de gerek kalmıyor. Karşı taraf 500 GBps düzeyinde bir saldırı şantajı yapıyor [1]. Uzgur, bu konuda bilincin artması için konuyu detaylandırdığını söyledi. Biz de kendisine bu detayları sorduk.
turk-internet.com : Size gecen hafta gelen bir mesajda, yeni tür bir fidye olayı yer alıyordu. bu olayı anlatır mısınız?
Dağhan Uzgur : New World Hacking grubu imzası ile bir müşterimize ulaşan e-postada; 5 saat içinde kendilerinden fidye talep edilmişti. Bu müşteri talebi bize ileterek bu konuda ne yapılabileceğini sordu. E-Posta içeriğinde maddeler halinde fidye talebi yer almaktaydı. Buna göre;
- 500Gbps boyutunda bir saldırı sunuculara yönlendirilecekti.
- Saldırı sırasında bir çok yöntem ve trafik olarak yüksek saldırılara sebep olan araçlar kullanılacaktı.
- Bu noktadan sonrasında DDOS saldırı koruyan servislere geçiş işi çözmeyecekti çünkü saldırganlar bi koruma kalkanı arkasına geçilse de sunucuya ait gerçek IP adreslerini bildiklerini iddia ediyorlardı.
- Başka bir hosting firmasına taşınmak için yeterli zaman yoktu.
- Saldırıyı bertaraf etmek için 1.5 bitcoin ödeme yapılması gerekmekteydi.
- Saldırıdan önce istenen fidye ödenmezse bedel 10 katına çıkartılacaktı.
- Saldırı fidye ödenene kadar sürecekti ve ticari olarak zarara uğrayana kadar bu saldırı devam edecekti.
Özellikle DDOS saldırıları ve engelleme yöntemlerini tanıdığımız için olabilecek bu tip bir saldırıda gerekli imkanlara sahip olduğumuzu yönünde bilgiyi müşterimiz ile paylaştıktan sonra ismi belirtilen ve geçmişte de benzer saldırıları yapan grup ile iletişime geçerek bu talebin kendilerinden gelip gelmediğini sormak gerekti.
turk-internet.com : New World Hackers ne cevap verdi?
Dağhan Uzgur : New World Hacking Ocak 2016’da BBC ve Donald Trump’a ait web sitesine yaptığı 602Gbps’lik dünyanın en büyük siber saldırısı ile tanınıyordu. Soruyu twitter üzerinden yönelttikten sonra grup yine twitter üzerinden bu e-postaların kendileri tarafından gönderilmediği bilgisini paylaştı. Kendileri de bu durumdan muzdaripti.
Gelen cevap sonrası aynı e-postayı alanların bu e-postalara inanarak bir ödeme yapmaması amacı ile kendi bloğumda bir yazı paylaştım ve grup bu yazıyı da referans göstererek kendi hesaplarından yayınladı ve devamında Anonymous haber kaynakları da blog yazısına referans verdiler.
turk-internet.com : Bu arada yeni bir gelişme olduğunu duyduk. Fidye mesajı yollayanlar bulundu galiba. Bize bunu anlatır mısınız? Bunlar kim ve nasıl bulundu?
Dağhan Uzgur : Bir gün sonra Twitter DM üzerinden devam eden görüşmelerimizde kendileri e-postaları gönderenleri tespit ettiklerini bildirdiler. Sahte e-postaları gönderen kişinin nasıl tespit edildiğini ise şu şekilde açıkladılar; Birisi twitter üzerinden gruba bu e-postaları gönderen kişinin posta hesap adını bildirdi. Sunucu üzerinde 5 saat süren izleme sonunda sahte postaları gönderen kişi VPN veya proxy kullanmadan hesabını kontrol etti ve IP adresi tespit edildi. IP adresi koordinatlarının tespitinden sonra kişinin tespiti çok zor olmadı. (İnternet aleminde DOX olarak tabir edilen bu yöntemde kişinin bilgileri kullandığı sosyal medya hesapları veya farklı açık bilgiler ile eşleştirilebilmekte) Daniel Hemington olarak tespit edilen kişinin farklı gruplarında isimlerini kullanarak 150 kadar firmaya bu tip mailler gönderdiği bilinmekteymiş. İlgili kişinin fotoğraflarına kadar tespit ederek bu bilgileri paylaştılar.
When imposters @ [email protected] login to an email server with no VPN. Someone give Daniel Hemington a visit. |71.199.59.242| #offline
— New World Hackers (@NewWorldHacking) September 16, 2016
Daniel Hemington’un 150 ülkedeki çeşitli adreslere bu şantaj maillerinden gönderdiği bildiriliyor.
Fidye konusuna nasıl baktıkları yönündeki soruma ise; “Fidyecilik kesinlikle para kazanmak için yanlış bir yoldur, insanlar daha doğru işler yaparak kazanç sağlamalıdır.” Şeklinde bir yanıt aldım. Ek olarak sorduğum “Türk Hackerlar ile aranız nasıl?” sorusuna ise “onlar bizim müttefikimiz” yanıtını verdiler.
turk-internet.com : Bu konuyu nasıl değerlendiriyorsunuz. bu tür DDOS fidye mesajı alanlar nasıl davranmalı?
Daghan Uzgur : İnternet üzerinden gerek dosya şifreleme gerek bilgisayarların kilitlenmesi sonrası fidye istenmesi son senelerin yükselen problemlerinden. Özellikle bitcoin ile ödeme alma imkanı ile birlikte eylemi gerçekleştirenin bulunmasındaki zorluk nedeniyle bu yöntemler fazlası ile kullanılmaya başlandı.
DDoS saldırı tehditi ile fidye talebi e-postalarının şu an geçerli olmadığı anlaşılıyor ancak bu durumun sonsuza kadar böyle sürmeyeceği aşikar. Şimdilik bir deneme gibi görülen bu yöntem kısa süre içinde gerçekten bu saldırıyı yapabilecekler tarafından bir yol olarak kullanılabilir. Bu açıdan gerek dosya şifreleme yöntemlerine gerek DDoS saldırı konusunda mağdur taraf olmamak için siber güvenlik ile ilgili yatırım ve önlemlerin ihmal edilmemesi ve bu konuda yatırım yapılması gerekmektedir.