Maliye ve Ticaret Bakanlıkları'nın aylar süren küresel çaplı siber casusluk kampanyalarına maruz kaldığının anlaşılması üzerine Amerikan hükümet dairelerine bilgisayar ağlarını taramadan geçirmeleri ve güvenlik ihlaline uğramış olması muhtemel sunucuları devre dışı bırakmaları talimatı verildi.
Pazar günü geç saatlerde verilen acil talimat, İç Güvenlik Bakanlığı'nın siber güvenlik dairesinin ABD hükümetine yönelik "kabul edilemez bir risk" altında olduğu uyarısını içeriyor. Amerikan hükümet dairelerini hedef alan geniş kapsamlı siber saldırıların yıl ortası ya da daha öncesinde düzenlenmiş olabileceği belirtildi.
Siber güvenlik uzmanı Dmitri Alperovitch, saldırının, "Kayıtlara geçmiş en etkili casusluk kampanyalarından biri haline gelebileceğini" kaydetti.
Kısa süre önce saldırıya uğradığını açıklayan siber güvenlik firması FireEye, şüphelinin kim olduğu konusunda açıklama yapmadı. Ancak çok sayıda uzman, saldırının dikkatle planlanmış olduğu gerçeği göz önünde bulundurulduğunda, bunun sorumlusunun Rusya olduğuna inanıyor. Uzmanlar, yabancı hükümetlerin ve büyük şirketlerin sistemlerinin de saldırıdan etkilenmiş olabileceğine dikkat çekiyor.
İlk kez Reuters haber ajansı tarafından açıklanan siber saldırı kampanyası haberi, FireEye firmasının, ulus-devlet siber korsanların ağlarına sızlığı ve firmanın kendi siber casusluk aygıtlarını çaldığını duyurmasının üzerinden bir hafta geçmeden geldi.
Maliye ve Ticaret Bakanlıkları ile FireEye firmasına yönelik siber saldırılarda kullanılan aygıtın, SolarWinds adlı çok popüler bir sunucu yazılımı olduğu anlaşıldı. Siber güvenlik uzmanı Alperovitch, SolarWinds'in, aralarında Fortune 500 firmalarının ve bazı Amerikan hükümet dairelerinin de bulunduğu, küresel çapta yüzbinlerce kurum tarafından kullanıldığını, bu kuruluşların şimdi ağlarındaki açıkları gidermek için yoğun çaba harcamaya başlayacağını söyledi.
İç Güvenlik Bakanlığı'nın 2015 yılından bu yana beşinci kez verdiği talimata göre Amerikan hükümet dairelerinin güvenlik bütünlüğü ihlal edilen SolarWinds yazılımını kullanan tüm bilgisayarlarını derhal devre dışı bırakmaları gerekiyor.
Herhangi bir hedef tanımlaması yapmayan FireEye, kendi ağına yönelik siber saldırıya ilişkin soruşturma sonucunda, hükümetleri ve özel sektörü hedef alan "küresel bir kampanyanın" ortaya çıkarıldığını, ilkbahar aylarından itibaren SolarWinds yazılımına kötü amaçlı yazılımlar sızdırıldığını açıkladı. Ancak FireEye ya da Amerikan hükümeti, devlet destekli Rus siber casusları saldırının sorumlusu olarak tanımlamadı.
Kötü amaçlı yazılım, siber casusların hedef aldıkları ağlara uzaktan erişim sağlamasına yardımcı oluyor. Siber güvenlik uzmanı Alperovitch, SolarWinds yazılımının bir ağa "Tanrı modu" olarak bilinen yaygın erişim sağladığını, böylelikle ağ içinde her şeyin görünür hale geldiğini söylüyor.
FireEye firması tehdit analiz direktörü John Hultquist, "Tüm veriler gün yüzüne çıktığında bu saldırının çok büyük olduğunun anlaşılmasını bekliyoruz. Saldırgan sinsice faaliyet gösteriyor, ancak faaliyet gösterdikleri hedefleri hala ortaya çıkarmaya devam ediyoruz" dedi.
SolarWinds yazılımı, kendi internet sitesinde, küresel çapta 300 bin müşterisi olduğunu, bunlar arasında Amerikan ordusunun beş kolunun, Amerikan Savunma, Dışişleri ve Adalet Bakanlıkları'nın, NASA'nın, Ulusal Güvenlik Dairesi'nin ve Beyaz Saray'ın bulunduğunu bildiriyor. Siteye göre Amerika'nın önde gelen on telekomünikasyon firması ile en büyük beş muhasebecilik firması da SolarWinds'in müşterileri arasında yer alıyor.
FireEye; siber saldırıların Kuzey Amerika, Avrupa, Uzakdoğu ve Ortadoğu'da aralarında sağlık, petrol ve doğalgaz sektörlerinin de bulunduğu alanlarda etkili olduğunu doğruladığını bildirdi. Firma, son birkaç gündür dünyanın dört bir yanındaki müşterilerini, saldırının hedefi olduklardan haberdar ediyor. FireEye'ın müşterileri arasında federal hükümet, eyalet yönetimleri, yerel idareler ve büyük küresel firmalar bulunuyor.
"Yazılım kendi kendine yayılmıyor"
FireEye, SolarWinds güncellemesindeki kötü amaçlı yazılımın, Rusya'nın sorumlu tutulduğu ve küresel çapta 10 milyar dolardan fazla zarara yol açan NotPetya yazılımının aksine, kendi kendine yayılma özelliği olmadığını bildirdi.
Bu durum, kötü amaçlı yazılıma maruz kalan kurumlardan sadece bazılarının siber korsanların casusluk faaliyetlerinin hedefi olduğu anlamına geliyor.
Rusya’dan yalanlama
Kremlin Sözcüsü Dmitry Peskov, Pazartesi gün yaptığı açıklamada, Rusya'nın siber saldırıyla "hiçbir ilgisi olmadığını" söyledi.
"Bu suçlamaları bir kez daha reddedebilirim" diyen Peskov, "Amerikalılar aylardır bu konuda bir şey yapamadıysa o zaman her şeyin suçunu temelsizce Rusya'ya atmamaları gerekir" şeklinde konuştu.
Amerika Maliye Bakanlığı, konuya ilişkin açıklamada bulunması taleplerini Ulusal Güvenlik Konseyi'ne yönlendirdi. Sözcü John Ullyot, Pazartesi günü yaptığı açıklamada, Ulusal Güvenlik Konseyi'nin Siber Güvenlik ve Altyapı Güvenliği Dairesi, Amerikan istihbarat daireleri, FBI ve saldırıdan etkilenen bakanlıklarla "son güvenlik ihlaline" bir yanıt oluşturmak için eşgüdümlü çalışma yürüttüklerini söyledi.
Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), "olası güvenlik ihlallerini tanımlamak ve bunları gidermek" için diğer kurumlarla işbirliği yapıldığını kaydetti. FBI ise oluşturulacak yanıta katkıda bulunduğunu belirtti, ancak ayrıntı vermedi.
Başkan Donald Trump, geçtiğimiz ay, 3 Kasım başkanlık seçimlerinin güvenli olduğunu söyleyen ve Trump'ın geniş çaplı seçim hileleri yapıldığı iddialarıyla ters düşen Siber Güvenlik ve Altyapı Güvenliği Dairesi Başkanı Chris Krebs'i görevden almıştı.
Chris Krebs, Pazar günü paylaştığı Twitter mesajında, "Bu tür saldırılar olağanüstü beceri ve zaman gerektirir" dedi ve saldırının etkilerinin yeni yeni anlaşılmaya başlandığını yazdı.
Federal hükümet daireleri, uzun zamandır, Amerikan hükümetinin personel yapısı ve politika oluşumuna erişim sağlamayı amaçlayan yabancı siber korsanlar için cazip birer hedef.
2014 ve 2015 saldırıları
Rusya bağlantılı siber saldırganlar, 2014 yılında Amerika Dışişleri Bakanlığı'nın elektronik posta sistemine sızmıştı. Yayılan hasarın çapının çok geniş olması nedeniyle uzmanların sorunu gidermek için yaptığı çalışmalar sırasında elektronik posta sisteminin internet bağı kesilmişti. 2015 yılındaysa Amerikan hükümetinin personel dairesine yönelik saldırı, 22 milyon eski, mevcut ve olası federal çalışanın kişisel verilerini erişime açmıştı. Sorumlusu Çin olarak belirlenen saldırı, özgeçmiş tarama ve soruşturması gibi yüksek hassasiyet içeren verilerin gizliliğini ihlal etmişti.
Pazar günü açıklanan yeni saldırının hedefleri arasında Ticaret Bakanlığı'na bağlı internet ve telekomünikasyon politikaları dairesi de yer alıyor. "Bürolarımızın biri güvenlik ihlaline uğradı" açıklaması yapan bir sözcü, CISA ve FBI'dan soruşturma yapmalarını talep ettiklerini bildirdi.
Merkezi Teksas eyaletinin Austin kentinde bulunan SolarWinds firması, Pazar günü, bilgisayar ağlarındaki sorunları gözlemleyen Orion adlı yazılım ürünleri için Mart ve Haziran ayları arasında piyasaya sürülen güncellemeyle ilgili "olası güvenlik açığını" doğruladı.
SolarWinds CEO'su Kevin Thompson, yaptığı açıklamada, "Bu güvenlik açığının, bir ulus-devlet tarafından tedarik ağına yönelik düzenlenen çok gelişmiş, hedefli ve manüel saldırının sonucu olduğuna inanıyoruz" dedi ve firmasının FBI, FireEye ve istihbarat kurumlarıyla işbirliği yürüttüğünü söyledi.
FireEye, 8 Aralık'ta yaptığı açıklamada siber saldırıya uğradığını,
"birinci sınıf becerilere" sahip yabancı devlet destekli saldırganların ağlarına girdiğini ve binlerce müşterisinin siber savunma mekanizmalarını gözlemlemede kullandığı aygıtların çalındığını açıklamıştı. FireEye CEO'su Kevin Mandia, yaptığı açıklamada, siber saldırganların "öncelikli olarak hükümetteki müşterilere ilişkin verileri aradığını" söylemişti.
Ulusal Güvenlik Dairesi (NSA) eski siber korsanlarından, siber güvenlik firması Rendition Infosec Başkanı Jake Williams, FireEye'ın FBI'a ve federal hükümetteki diğer ortaklarına nasıl saldırıya uğradığını anlattığından emin olduğunu, böylelikle Maliye Bakanlığı'nın benzer güvenlik ihlaline uğradığı sonucuna vardıklarını söyledi.
Williams, "Sanırım bu hafta içinde saldırıdan etkilenen başka federal dairelerin olduğunu da öğreneceğiz" dedi.
Sony ve Equifax'in uğradığı siber saldırılara yanıt veren FireEye, Suudi Arabistan'ın petrol sanayiine yönelik siber saldırının bertaraf edilmesine de katkıda bulunmuş, Rusya'nın küresel dijital çatışmaların başrol oyuncusu olduğunun belirlenmesinde kilit katkılar sunmuştu.
FireEye CEO'su Kevin Mandia, saldırganların, firmanın danışmanlık ya da güvenlik ihlali yanıtı hizmeti alan müşterinin verilerine ulaştığına ya da topladığı tehdit istihbaratı verilerinin çalındığına ilişkin herhangi bir işaret olmadığını kaydetti.