Paylaş
2020 yılının Haziran ayında ‘Snake’ adı verilen fidye yazılımın saldırısına uğrayan enerji devi Enel durumu kabullenerek iki gün kesintiye uğradıklarını açıkladı. Snake, aynı zamanlarda Türkiye’de de faaliyet gösteren dünya otomotiv devlerinden birinin de başına büyük işler açmıştı.
2020 yılının özellikle ikinci yarısında Türkiye’den de en az üç büyük firma benzer fidye yazılımı saldırılarına maruz kalarak kesintiye uğradı. Fakat kesintiye uğrama nedenlerini fidye yazılımı olarak açıklamadılar.
İtalya merkezli Enel, Avrupa’nın en büyük enerji oyuncularından birisi. 40 ülkede 60 milyondan fazla müşterisi olan Enel’in 2019 yılı geliri 80,3 milyar Euro olarak açıklandı. Enel, Snake nedeniyle kesintiye uğradıklarını fakat herhangi bir veri çalınmadan saldırıyı bertaraf ettiklerini açıkladı.
Saldırılarda başlangıç noktasının, internete açık bırakılan RDP olduğu artık biliniyor.
Remote Desktop Protocol (RDP) yani Uzak Masaüstü Protokolü, Microsoft tarafından geliştirilen ve ilk defa 1996 yılında Windows NT ile birlikte sunulan, bir bilgisayardan diğerine, ağ üzerinden ve grafik arayüz ile bağlanılmasını sağlayan bir protokol. Günümüzde hemen her Windows makinede bulunuyor ve hala aktif olarak kullanılıyor.
Ve bildiğimiz başka bir şey ise Enel ve otomotiv firmasının sistemlerindeki uç nokta antivirüs yazılımlarının Snake zararlısını yakaladıkları. Bilmediğimiz şey ise RDP ile sisteme erişen saldırganların Snake’i çalıştırmadan önce ne kadar süre ile sistemde kaldıkları (bu aylar veya yıllar bile olabilir) ve hangi verilere eriştikleri.
Bu iki firmaya yapılan saldırı da hedefli saldırıydı. Yani, örneğin Enel’de Snake zararlısı, çalıştırıldığı cihazın “enelint.global” alan adına dahil olup olmadığını kontrol ediyor ve eğer değil ise çalışmıyordu.
Enel, Kasım ayı içinde tekrar ve bu sefer Netwalker grubu tarafından hedef alındı. Bu kez saldırı başarılı olmuştu ki saldırganlar 14 milyon dolar fidye talep ederek, firmayı çaldıkları yaklaşık 5 TeraByte boyutundaki veriyi sızdırmakla tehdit ettiler.
Peki hedefli saldırı (Targeted Attack) nedir?
Günümüzün internete bağlı dünyasında hedefli saldırılar, bir firmanın özellikle de büyük kuruluşların başına gelebilecek en büyük saldırılardan biridir. Firmanın itibarını kaybetmesinin yanı sıra milyonlarca dolar zarara neden olabilir. Üstelik bununla da kalmaz rakipler ve hatta ülkeler arası siber espiyonaj amacı ile de gerçekleştirilebilirler.
Bir saldırının hedefli saldırı kategorisine girmesi için genellikle üç adım gereklidir:
Bu tür saldırılar genellikle ilk sızıntıdan aylar hatta bazen yıllar sonra fark edilirler ki bu süre içerisinde binlerce müşteri verisi çoktan çalınmış olur.
Aslında siber saldırılar genellikle mümkün olan en kısa zamanda ve en az kaynakla mümkün olan en fazla sayıda firmaya gerçekleştirilirler ve saldırganlar tutturabildiklerinden para veya veri sızdırmaya çalışırlar. Bu durumda zarar görece az olabilir.
Hedefli saldırılarda ise hedef belli bir kuruluştur. Saldırganlar bazen hedefledikleri kuruluştaki bir kişiyi tuzağa düşürebilmek için aylarca hazırlık yaparlar. Sosyal medya hesaplarını, paylaşımlarını, yayınladıkları fotoğrafları incelerler. Hatta bazen fiziksel olarak takibe alırlar. Aylarca süren bu çabalarının amacı tek bir kişinin sisteme giriş bilgilerini ele geçirebilmektir.
Sanıldığının aksine hedeflenen kişinin mutlaka IT yöneticisi olmasına gerek yoktur, ağ sistemlerindeki açıklar sağ olsun, bazen finans müdürü, CEO veya insan kaynaklarının erişim bilgileri bile tüm sisteme sızılabilmesi için yeterlidir.
Özellikle evden çalışmanın tüm dünyada yükselişte olduğu bu pandemi döneminde bu tür saldırılarda gözle görülür bir artış var. ESET’in raporuna göre 2020’nin ilk yarısında RDP saldırılarının bir önceki döneme göre yüzde %140 arttığı görülüyor.
Nasıl korunuruz?
Uç nokta koruması küçük veya büyük tüm işletmelerinin olmazsa olmazı. Bu durum yıllardır zaten böyle, internete bağlı herhangi bir cihazın üzerinde bir uç nokta korumasının çalışıyor olması şart. Ancak bundan sonra hedefli saldırılar, gelişmiş kalıcı tehditler veya siber espiyonaj gibi tehditlerden korunmaya yönelebiliriz.
Sonraki aşamalarda ise 2FA dediğimiz çift faktörlü koruma, alınması gereken önlemlerin başında geliyor. Kullanıcı erişim bilgilerinin ikinci bir doğrulamaya tabi tutulması bu yönden gelecek saldırıları bertaraf etmek için iyi bir bariyer olacaktır.
“Sıfır-gün” dediğimiz yeni ortaya çıkmış ve daha önce karşılaşılmamış tehditlere karşı mutlaka bir çeşit sandbox teknolojisi kullanılmalı. Bu teknolojiler bilinmeyen dosyaları yüksek kaynaklara sahip yalıtılmış sanal makinelerde çalıştırarak sistemde nerelere dokunduğunu tespit eder ve kuruluşun gerçek sistemine erişmeden veya yayılmadan engeller.
Cihazlar üzerindeki verilerin şifrelenerek saklanması fiziksel olarak gerçekleştirilebilecek saldırılar için iyi bir önlem. Kuruluşa ait bir cihazın çalınması ve içeriğine kolayca erişilebilmesi kuruluşun tüm ağını tehlikeye sokacaktır.
Son aşamada ise iyi bir EDR (Uç nokta, tespit ve yanıt) çözümü kullanarak ağda ve uç noktalarda ne gibi aktivitelerin gerçekleştiğini izlemek önemli. Hedefli saldırılar veya gelişmiş kalıcı saldırılar her zaman virüs, solucan, truva atı gibi zararlı yazılımlarla gerçekleştirilmiyorlar. Bazı durumlarda saldırganlar dikkat çekmemek için komut satırı, psexec gibi işletim sistemine dahil veya IT dünyası tarafından kullanılması normal araçlara yöneliyorlar. Kullanımı ve raporlaması kolay anlaşılır bir EDR çözümü, network güvenlik ekiplerinin ağdaki anormal aktiviteleri hızlıca tespit edebilmelerini ve saldırganların sistem içinde fark edilmeden aylarca dolaşabilmesinin önüne geçmelerini sağlayacaktır.
Paylaş