Siber güvenlikte, en çok tartışılan konulardan birisi “içerideki çalışanın yaklaşımı”. Bunların bir kısmı anlaşılabilirse de, çoğu anlaşılamayabilir. Çünkü dışarıdan yapılan saldırılarda bile izler silinebilirken, içerideki personel çok daha rahatlıkla saldırının izlerinin üstünü örtebilir. Anlatacağımız hikayede bu tür bir iç saldırı var. Ancak BT personeli izlerini örtememiş. Bir örnek olması açısından yayınlıyoruz.
Oxford (İngitere) merkezli gen ve hücre tedavisi firması Oxford BioMedica 27 Şubat 2018’de, bir hackerdan şirketin sistemlerine girdiklerini açıklayan bir fidye talebi aldıktan sonra bir siber saldırıya uğradığını keşfetti.
Şirket olması gerektiği gibi polise haber verdi ve saldırıyı araştırmak, nasıl meydana geldiğini bulmak ve neden olunan zararı azaltmak için kendi BT güvenlik personelini görevlendirdi. Soruşturmaya atadığı dahili personel arasında BT güvenlik analisti Ashley Liles da vardı.
Oxford BioMedica, polis ve BT ekibinin diğer üyelerinin bilmediği şey, Liles’in siber saldırıyı kendi avantajına kullanmayı planladığıydı. Liles, ilk fidye talebini alan bir şirket yönetim kurulu üyesinin e-posta hesabına erişti ve e-postanın içeriğini, orijinal saldırgan yerine kendi kontrolündeki bir Bitcoin cüzdanına referans verecek şekilde şekilde değiştirdi. Kısacası, Oxford BioMedica 300.000 £ değerinde Bitcoin ödemeye karar verirse fidye, saldırıyı başlatan siber suçlu yerine Liles’ın cebine gidecekti.
Ayrıca Liles, orijinal saldırgan tarafından kullanılanla neredeyse aynı olan bir e-posta adresi oluşturdu ve işverenine saldırgan kılığında bir dizi e-posta gönderdi ve fidyeyi ödemesi için baskı yaptı. Ancak Oxford BioMedica’nın fidyeyi ödemeye niyeti yoktu ve personeli polise soruşturmasında yardım etti – içlerinden birinin de şirketi dolandırmaya çalıştığından habersizdi.
Güneydoğu Bölgesel Organize Suçlar Birimi’nin Siber Suçlar Birimi’nden uzman polis memurları, birinin yönetim kurulu üyesinin e-posta hesabına uzaktan eriştiğini keşfetti ve Liles’in ev adresine kadar izini sürdü. Liles’in evinde yapılan aramada bir bilgisayar, dizüstü bilgisayar, telefon ve bir USB bellek bulundu. Ancak, belki de zan altında kalacağını tahmin eden Liles, cihazlardaki tüm verileri günler öncesinden silmişti.
Ancak Liles, yönetim kurulu üyesinin e-posta hesabına uzaktan erişirken izlerini yeterince örtmeyi başaramadığı gibi, cihazlarını güvenli bir şekilde silmeyi de başaramadı – yani dijital adli tıp uzmanları, Liles’ı ikincil saldırıya bağlayan suçlayıcı verileri kurtarabildi.
Liles, yıllarca e-postalara izinsiz erişime karıştığını ve işverenini kendisine önemli miktarda para ödemesi için kandırma girişimini reddetti, ancak bu hafta Reading Crown Mahkemesinde, ilk olaydan beş yıl sonra nihayet suçunu kabul etmeye karar verdi. Liles’in 11 Temmuz’da Reading Crown Mahkemesi’nde suç kastıyla yetkisiz bilgisayar erişimi ve işverenine şantaj yapmaktan mahkum edilmesi planlanıyor.