Cuma günü Ukrayna ve kısmen Polonya kamu sitelerine yapılan saldırıyı yazmıştık[1]. Dün Microsoft’tan siber güvenlik ekipleri açıklama yaptılar ve Ukrayna hükümetinin fidye yazılımı gibi görünen ancak bir kurtarma mekanizmasından yoksun, sistemleri yıkma amaçlı kötücül yazılım saldırısına uğradığını söylediler[2].
Microsoft’un müşteri güvenliğinden sorumlu başkan yardımcısı Tom Burt blog yazısında şöyle yazdı [2] :
“Ukrayna hükümetiyle yakın çalışan birkaç Ukrayna devlet kurumu ve kuruluşuna ait sistemlerde, kötü amaçlı yazılımlar gözlemledik. Kötü amaçlı yazılım fidye yazılımı olarak gizleniyor, ancak saldırgan tarafından etkinleştirilirse, virüslü bilgisayar sistemini çalışamaz hale getirebilir.”
Tom Burt, Ukrayna’ya yönelik bu siber saldırının arkasındaki grubun özellikleri ile, Microsoft’un geleneksel olarak izlediği gruplar arasında kayda değer bir örtüşme tespit edilemediğini yazdı. Microsoft, saldırının ilk olarak perşembe günü ortaya çıktığını ve saldırganın kötü amaçlı yazılımının gerçekten bir fidye elde etmek yerine yıkıcı olması ve hedeflenen cihazları çalışamaz hale getirmesinin amaçlandığının görüldüğünü söyledi.
Burt, kötü amaçlı yazılımın çeşitli Ukrayna devlet kurumlarının yanı sıra Ukrayna hükümetiyle yakın çalışan kuruluşlara ait sistemlerde de tespit edildiğini ve hepsini ve ayrıca ABD ve gerekli diğer yetkilileri de bilgilendirdiklerini söyledi.
Microsoft, Ukrayna hükümeti, kar amacı gütmeyen kuruluş ve BT sektörlerindeki 70 kadar sistemde kötü amaçlı yazılımı tespit etti ve Microsoft’un soruşturması devam ettikçe etkilenen kuruluşların sayısının artacağı sanılıyor. Gözlenen etkinlik, kökenleri bilinmeyen, ortaya çıkan veya gelişmekte olan bir tehdit etkinliği kümesine verilen geçici bir ad olan DEV-0586 (WhisperGate) takma adı altında izleniyor.
Microsoft Tehdit İstihbarat Merkezi (MSTIC) de bir başka açıklama yayınladı ve şöyle dedi [3] :
“Bu eylemler, Ukrayna’da bulunan veya sistemleri olan herhangi bir devlet kurumu, kar amacı gütmeyen kuruluş veya kuruluş için yüksek bir risk teşkil ediyor. Tüm kuruluşları derhal kapsamlı bir soruşturma yürütmeye ve savunmaları uygulamaya şiddetle teşvik ediyoruz.”
MSTIC, Ukrayna kampanyasında kullanılan iki aşamalı kötü amaçlı yazılımın nasıl çalıştığını tespit etti. Fidye notu, MSTIC’e göre, ikisi de daha önce Microsoft tarafından gözlemlenmemiş olan Tox şifreli mesajlaşma protokolünde kullanılan bir Bitcoin cüzdanı ve bir hesap tanımlayıcısı içeriyor. Ancak gerçekte, MSTIC, fidye yazılımı notunun bir hile olduğunu ve kötü amaçlı yazılımın, sabit diskin etkilenen kısmını ve hedeflediği dosyaların içeriğini yok ettiğini söyledi. Aynı Bitcoin cüzdan adresi, tüm Ukrayna izinsiz girişlerinde kullanıldı, ancak gözlemlenen tek aktivite Cuma günü küçük bir transfer oldu.
MSTIC’e göre kötü amaçlı yazılımın kendisi, kurbanın sistemindeki belirli dizinlerdeki dosyaları bulan kötü amaçlı bir dosya bozucusu. Dosya içeriğinin üzerine yazdıktan sonra, yıkıcı, Microsoft’a göre her dosyayı görünüşte rastgele dört baytlık bir uzantıyla yeniden adlandırıyor.
Microsoft, ürünün bulut ortamlarında mı yoksa şirket içinde mi dağıtıldığına bakılmaksızın, Microsoft Defender Antivirus ve Microsoft Defender for Endpoint ürünlerinde bu kötü amaçlı yazılım ailesini algılamak için korumalar uyguladığını söyledi. Potansiyel mağdurların, tek faktörlü kimlik doğrulama ile yapılandırılmış hesaplara özellikle odaklanarak, uzaktan erişim altyapısı için kimlik doğrulama etkinliğini gözden geçirmeleri isteniyor.
Siber Saldırı, Askeri Saldırının Başlangıcı mı?
Ukrayna’ya yönelik siber saldırı, Rusya ile Batı arasındaki artan gerilim ve Rus birliklerinin Ukrayna sınırına yığıldığına dair raporların ortasında geliyor. Rusya, siber saldırı hakkında özel bir yorum yapmadı, ancak Rusya’nın ABD büyükelçisi Anatoly Antonov, Kuzey Atlantik Antlaşması Örgütü’nün (NATO) doğuya doğru devam eden ilerlemesinin Rusya’nın ulusal güvenliği için büyük bir tehdit olduğunu Newsweek’e verdiği söyleşide belirtti :
“NATO’nun eski Sovyet cumhuriyetlerinin askeri gelişimine yönelik çabaları bizim için kabul edilemez. Bu, ülkemizi doğrudan tehdit eden füze sistemlerinin ve diğer istikrarsızlaştırıcı silahların konuşlandırılmasıyla dolu. Sonuç olarak, bölgede ve ötesinde tırmanma ve doğrudan askeri çatışma riskleri kat be kat artacak.”
Ukrayna Pazar günü yaptığı açıklamada, geçtiğimiz hafta önemli hükümet web sitelerini çökerten büyük bir siber saldırının arkasında Rusya’nın olduğuna dair kanıtlar olduğunu söyledi. Ukrayna dijital dönüşüm bakanlığından yapılan açıklamada şöyle denildi :
“Bütün kanıtlar siber saldırının arkasında Rusya’nın olduğunu gösteriyor. Moskova melez bir savaş yürütmeye devam ediyor.”
Açıklamada, saldırının amacının yalnızca toplumu sindirmek değil, aynı zamanda Ukrayna’daki durumu istikrarsızlaştırmak, kamu sektörünün çalışmalarını durdurmak ve Ukraynalıların yetkililere olan güvenini kırmak olduğu belirtildi.
Başkan Vladimir Putin’in sözcüsü Dmitry Peskov ise CNN’e verdiği demeçte şöyle dedi :
“Bununla hiçbir ilgimiz yok. Rusya’nın bu siber saldırılarla hiçbir ilgisi yok. Ukraynalılar, ülkelerindeki kötü hava koşulları da dahil olmak üzere her şeyi Rusya’yı suçluyorlar”
Kiev’in olası bir işgalden önce sınırına asker yığmakla suçladığı Ukrayna ile Rusya arasındaki gerilim tüm zamanların en yüksek seviyesinde. Bazı analistler, siber saldırının askeri bir saldırının başlangıcı olabileceğinden korkuyor. Washington da Rusya’yı, Ukrayna’ya işgal etme bahanesi olabilecek bir olay sahnelemek için patlayıcı konusunda eğitilmiş sabotajcılar göndermekle suçladı.
[1]Ukrayna ve Polonya Devlet Siteleri Saldırıya Uğradı