Peş peşe gelen siber akın haberleriyle sarsıldığımız şu günlerde yeni bir siber akın olayı daha yaşandı. Apple’ın ve öbür teknoloji devlerinin bir numaralı bilgisayar tedarikçilerinden Quanta Computer, REvil fidye yazılımı çetesinin saldırısına uğradı.
Sodinokibi olarak da bilinen REvil fidye kümesi tarafından yapılan underground bir blog yayınında Quanta Computer Inc. sistemlerine sızıldığı argüman edildi. Tayvan merkezli bilgisayar şirketi Apple için Macbook’lar ve HP, Facebook, Alphabet (Google) üzere dev firmalara eserler üretiyordu.
Fidye kümesinin sözcüsü “Unknown” lakaplı saldırgan Rusya’nın en büyük underground hacker forumlarından birinde şimdiye kadar yapmış oldukları en büyük saldırıyı duyurmak istediklerini açıkladı. Anonim kalmak emeliyle bu biçim yeraltı hata forumlarından yayınlar yapan küme üyesi, kendisinin geçmişi hakkında bilgiye sahip olan birisine nazaran REvil kümesinin yeni üyeler almak için kurduğu kanalda saldırıyı Rusça ilan etti.
Bloomberg’e nazaran 20 Nisan’ın başlarında saldırganların hedeflediği kurbanların fidye ödemesi için alenen isimlerini açıkladığı “Happy Blog” isimli “.onion” web sitesinde en son Quanta Computer’i kurban olarak ilan etti. Bloomberg tarafından incelenen blog gönderisine nazaran tedarikçi firmanın ödeme yoluyla ilgilenmemesi nedeniyle Apple da stratejik üretim planlarının ifşa edilmesiyle tehdit ediliyor.
Quanta, yapmış olduğu açıklamada ne kadar bilginin dışarıya sızdığına dair rastgele bir bilgi vermeden sistemlerinin taarruza uğradığını kabul etti. Yapılan açıklamada “Quanta Computer bilgi güvenliği takımı Quanta sunucularına yapılan akınlara karşılık olarak dış kaynak bilişim uzmanlarıyla çalıştı.” denildi. Şirket açıklama metninde ayrıyeten “Gözlemlediğimiz son olağandışı hareketlerle ilgili kolluk kuvvetleri ve bilgi muhafaza yetkililerini bildirimlerde bulunduk ve onlarla sıkıntısız bir bağlantı kurduk. Şirketin iş operasyonları üzerinde olumsuz bir tesir bulunmamaktadır.” dedi.
Saldırganlar Apple’ı Tehdit Ediyor
Apple’ın eser lansmanı sona erdikten çabucak sonra, REvil çetesi tarafından Mart 2021 kadar yakın bir vakit içerisinde tasarlanmış Macbook üzere gözüken birtakım projelere dair ayrıntılı 15 adet fotoğraf ve şema yayınlandı. Bu halde REvil çetesinin Apple’ı da sarsmaya çalıştığını söyleyebiliriz. Bleeping Computer isimli ünlü bilişim sitesi tarafından söylenene nazaran çete Apple’dan 1 Mayıs’a kadar fidye ödemesini yapmasını istedi. Saldırganlar ayrıyeten ödemenin gerçekleşeceği vakte kadar bâtın birtakım yeni evrakları da paylaşacaklarını açıkladılar.
Apple sözcüsü ise REvil çetesi ile rastgele bir uzlaşma yapılıp yapılmayacağına dair sorulan soruları cevaplamayı reddetti. Quanta ise olay sonrası bilgi güvenliği ve savunma sistemlerinin çabucak devreye girdiğini, olaydan etkilenen iç hizmetlerin sıkıntısızca çalışmaya devam ettiğini belirtti. Ayrıyeten dataların yeni ataklara karşı korunması için şirketin siber güvenlik altyapısının yükseltilmesi kararı alındı.
Fidye Yazılımı ve REvil Siber Çetesi Nedir?
Fidye zararlıları isminden da iddia edebileceğiniz üzere etkilediği kullanıcıların bilgisayarlarındaki dataları şifreleyen ve bunun karşılığında bir ölçü para isteyen ziyanlı programlara deniliyor. Ayrıyeten tipine bağlı olarak, bilgiler saldırgana da gönderilebiliyor. Çoklukla fidye yazılımını yöneten “operatörler” bilgilerin şifresini fidyeden sonra çözeceklerini ve bu bilgileri fidye ödendiği takdirde satmayacaklarını söylerler. Fakat gerçekte bunun ne kadar yanlışsız olduğunu maalesef ki hiçbirimiz bilemiyoruz.
Fidye yazılımları son yılların en çok kullanılan siber hücum tekniklerinden. Bulaşma teknikleri ise genel itibariyle saldırganın tekniklerine bağlı olarak değişebilmekle birlikte ekseriyetle uydurma mail ekleri, inançsız korsan yazılımlar, güvenlik açıkları, toplumsal mühendislik bazlı hücumlar kullanılmakta.
Artık her şeyimiz dijitalleştiği için elektronik ortamları hedefleyen hata örgütlerini de görmeye başladık. Fidye yazılımlarının eskiye göre daha tanınan olmasıyla birlikte bu işi yapmaya yönelik kimi siber cürüm örgütlerinin de oluşmaya başladığına şahit oluyoruz. Haberimizin konusu olan REvil ise bu oluşumlardan yalnızca biri.
Saldırgan Kümenin Çalışma Hali ve Hedeflediği Coğrafya
Kaspersky tarafından 2019 yılında tespit edilen başka ismiyle Sodin olan siber çete çoklukla yaygın olan güvenlik açıklarını istismar ediyor. Kaspersky’nin tehdit aktörleri hakkında yaptığı araştırmaları yayınladığı blog olan Securelist’in yazısına nazaran saldırganlar çoklukla Asya-Pasifik bölgesinde etkinlik gösteriyor. Hedefledikleri kurbanlar daha çok Tayvan, Hong Kong ve Güney Kore coğrafyasındaki kurum ve kuruluşlar.
REvil kümesini başka siber çete ve fidye yazılımı operatörlerinden ayıran temel fark ise, birçok fidye yazılımı saldırısı maksatlı yapılmazken REvil’in epey kilit kuruluşlara gayeli yüksek profilli ataklar düzenlemesi. Örneğin 2020 yılında bir vakitler Donald Trump’ın televizyon şirketlerinin hukukî süreçleriyle ilgilenen ofise yapılan siber akın, 2019 yılında ise seçim gününden çabucak evvel Louisiana seçmenlerine yapılan atak da birebir kümenin işi.
REvil Ransomware coğrafik yayılım haritası. Nisan – Haziran 2019 periyodu. / Kaynak: Kaspersky
Pazarlık Savları ve Sızıntılar
Bloomberg’in haber kolu tarafından incelenen bir metne nazaran, REvil çetesi geçen haftalarda Quanta Computer’i darkweb sayfalarında yer alan sohbet odalarında fidye pazarlığına çağırdı. Fidye yazılımı operatörü “bütün lokal verileri” çaldığını ve şifrelediğini tez ederek konuşmayı başlattı ve belgelerle sistemlerin kilidini açmak için 50 milyon dolar ödeme yapılmasını istedi. Bundan iki gün sonra kimliği bilinmeyen birisi “şirkette sorumlu, çalışan biri” olmadığını ancak pazarlık şartlarının daha fazla açıklığa kavuşturulmasını istediğini belirtti.
Operatörler ile bilinmeyen kullanıcı ortasında yaşanan etkileşim ve ileti trafiği hayli baş karıştırıcı gözüküyor. Fidye yazılımı operatörleri de bundan şad kalmamış olacak ki Apple ile ilgili bilgileri internette yayınlamakla tehdit yolunu seçtiler. Saldırganlar ile gerçekleşen görüşmenin daha sonra e-posta üzerinden devam ettiği düşünülüyor.
REvil ise Apple’ın yeni çıkarmayı planladığı aygıtlar için hazırladığı tescilli özel planları yayınlamaya başladı. Yayınlanan imajlar bir Apple dizüstü bilgisayarının modüllerinin detaylarını ve birçok bileşenlerin seri numarası, kapasiteler, boyutlar üzere kıymetli bilgileri içeriyor. Yayınlanan fotoğraflardan birinin Apple tasarımcılarından John Andreadis tarafından 9 Mart 2021 tarihinde imzaladığı anlaşılıyor. Bundan yola çıkarak yayınlanan imgelerin sahiden Apple’a ilişkin olduğunu söyleyebiliriz.
Sonuç
Bu olaydan çıkarılacak ders ise şirketlerin güvenlik önlemi almalarının ne kadar değerli olduğu. Çünkü haberden de anlayabileceğiniz üzere bir şirketin ele geçirilmesi yalnızca onu değil, birebir vakitte iş ortaklarının da sıkıntı duruma girmesine neden oluyor. Bu durumların ise bir daha yaşanmaması için şirketlerin daha mağdur olmadan evvel “saldırı öncesi” ve etkilenmeyi azaltmak ismine “saldırı sonrası” güvenlik sistemlerine değer vermesi gerekiyor.
Unutmamak lazım ki her sistem ele geçirilebilir, hacklenebilir. Siber dünyada hiçbir vakit tam manasıyla inançta olduğumuzu asla söyleyemeyeceğiz lakin olasılıkları azaltmak ve atak sonrası yaşananlardan en az ziyanla çıkmak da alacağımız önlemlere nazaran bizlerin elinde olan bir şey. Bakalım daha neler neler olacak, vakit gösterecek.
