WannaCry Siber Saldırısı

 

 

Yüzyılın En Ciddi Saldırılarından Biri

Mayıs 2017 WannaCry Siber Saldırısı, 160 ülke içerisinde birçok devlet kurumu ve özel şirketi etkileyen ve etkilemeye devam eden global bir saldırı oldu. Aşamalı bir şekilde gerçekleştirilen saldırılarda, 1 ve 2 gibi versiyonlara ayrıldı ancak 12 Mayıs’ta tam bir yayılma gerçekleşti. Siber saldırı, Asya, Avrupa ve Amerika bölgelerinde, adeta bir veba gibi hızlı ve etkili bir yayılma gerçekleşti. Özellikle özel şirketlerin ve kurumların hedefte olmasının nedeni, kurumsal olarak kullandıkları işletim sistemleri olarak gösterildi.

Windows’un eski sürümlerini kullanan ve vurulan bu kurumlar, daha önce ABD’den çalınan ve kamuoyuna dağıtılan araçlar ve teknikler ile vuruldu. Şirketler ve antivirüs yazılımcıları, dünyayı etkileyen WannaCry virüsüyle ilgili güvenilmeyen linklerin açılmaması ve işletim sistemiyle antivirüs programlarının güncellenmesi gerektiği uyarısını yaptı.

Ancak bu tür uyarıların şu an için saldırıya uğrayanlara karşı bir faydası yok çünkü yazılım sızdığı sisteme adeta yapışıyor. Bununla birlikte, yeni bir paket yayınlayan Windows WannaCry.2 ve türevleri için önem olarak yeni bir patch yazmış ve yakın zaman içinde şirketler bunu kullanmaya başlamıştır..

                     “Saldırı ile ilgili çıkan haberlerden bir tanesi”


Saldırıdan Etkilenen Bölgeler
(Malware Tech’in haritası)

Siber Saldırının boyutu ve yayılma hızına bakınca bile saldırı cephelerinin tek olamayacağı anlaşılıyor. Birçok farklı adresten hedeflere yapılan saldırı tespit edilmiş ve belirlenebilen bazı IP adresleri şu şekilde;

 

  • 188.138.33.220
  • 38.229.72.16
  • 146.0.32.144:9001
  • 212.47.232.237
  • 50.7.161.218:9001
  • 217.79.179.77
  • 128.31.0.39

 

“Virüs bulaşmış kişisel bilgisayardan bir görüntü” 

İşletim sistemine yapışarak, çaresiz bırakmayı amaçlayan bu rehinci virüs, bilgisayar monitörlerine 28 farklı dilde karşımıza çıkıyor.

Öncelikle virüsün özelliklerini bilmek gerekiyor. Yok etme veya dışa bilgi aktarma(çalma) için değil, kendini canlı bomba olarak kullanıp fidye ödetmek için yazılmış bir virüsle karşı karşıya kalındı. Bu sebeple büyük Fransa’da otomobil firmaları, İngiltere’de sağlık kurumları (NHS) ve farklı ülkelerin devlet kurumlar ve diğer özel şirketler veri çalınmasıyla değil fidye sistemiyle karşı karşıya kaldı. Devlet kurumlarını ya da herhangi bir savunma bakanlığını saldırı veya hırsızlık amacıyla hedef alan hacktivis grupların eylemleriyle benzerlik görülmemektedir. Dolayısıyla burada doğrudan siyasi bir saldırıdan söz etmek bir numaralı teori olmayacaktır. 

WannaCry, aynı ağ bağlı bilgisayarlar arasında kendi kendine geçiş yapabiliyor. Bir kurumda ya da şirkette, iç ağı tarayıp, bu açığa sahip güncellenmemiş bilgisayarlar varsa kendisini orada da aktif edebilme özelliğini kullanıyor. Kendini hızlı bir şekilde kopyalayıp en yakın kapıya yöneliyor. Dolayısıyla fark edilmediği taktirde tehlike kaçınılmaz bir hal alıyor. Cihaza giriş yolları farklılık gösterebilir, genelde yaygın teknik kullanılmış.

Örneğin kurumsal bilgisayarı hedef olarak aldıklarında, sadece tek bir bilgisayar kullanıcısının aldanmasıyla bir zombi salgını gerçekleşiyor ve solucan görevinin yapmaya hazır oluyor. Bu, kurumsal bir mail hesabına gelen yanıltıcı bir dosyayı açmak veya linkine tıklamak kadar basit gerçekleştirildi. Avrupa’da ki çoğu kurum bu yüzden salgının içinde yer aldılar. Ayrıca ağ içinde hızlı ve etkili ilerleme yeteneği var. Yani hedefin ek bir tıklama yapması ya da program çalıştırmasıda gerekmiyor. Son zamanlarda bahsedilen ve FBI direktörünün koltuğunu sarsan Rusya soruşturmasında yine aynı siber saldırı tekniğini görebilmek mümkündür.

 
NSA’in ABD seçimleri süreci ve sonrasında Rusya Soruşturması kapsamında hazırladığı teknik rapordan bir sayfa.

 

“…Son olarak saldırganlar, var olmayan ve görünüştü kayıp oylamalarla ilgili olan hesaplara iki tane deneme maili yolladılar, muhtemelen bu hesapların yaratılmasının nedeni hesapların meşru hizmetleri taklit etmelerinin sağlanmasıydı. U.S Company 1’e ve seçmen kayıt konulu ABD yerel devlet memurlarının kimlik avına karşı seferbeliği

Rus Siber Tehditi Aktörleri hedef almaları (S/REL TO USA…)

Siber tehdit aktörleri, noreplyautomaticservice@gmail.com adresinden, 24 Ağustos 2016 günü bir saldırı gerçekleştirdi, Nisan 2017’de oraya çıkan bilgilere göre.

Bu saldırı görülen, son kullanıcıya gönderilen mailin içine gömülmüş olan yalancı bir Google Alert’in aktive olup kullanıcıya kötü niyetli bir siteye yönlendirerek, kurbanın kişisel bilgilerinin çalınması üzerine kurulmuş gibi gözüküyordu. Olası kurbanlar aşağıdadır:

(Mail adreslerinin sıralandığı kısım)”

 

Görüldüğü gibi NSA analistlerinin tespitleri sonucunda yapılan bu açıklama, bu saldırıdaki gördüğümüz yöntem ile örtüşmekte. Farklı alanlarlar ve durumlarda da bu tekniklerin kullanıldığını söyleyebiliriz. Bu saldırının kaynağını ve düzenleyeni kesin olarak tespit edemez fakat, yinede bu saldırının hükümetlere ve devlet kurumlarına da yapıldığını, sadece bağımsız şirket ve bireysel hedeflere yapılmadığını bilmek açısından önemli bir veri.


İşte o hileli maillerden bir tanesi,  Mariana adında bir kullanıcıdan gelmiş gibi gözüküyor. Bu herkes olabilir, belki de hedef bilgisayarın kullanıcısının yakın bir arkadaşı idi. Bu dosyayı açtığı zaman bunu öğrenmesinin sonuçları olacaktı.

Çalışma Prensibi Sayesinde Küresel Çapta Maddi Tehdit Oluşturması

 

Son derece tehlikeli olan bu virüs, kendisini bulaştırmasıyla ve çoğaltmasıyla zararı arttırıyor. Kurt ya da diğer yırtıcı hayvan belgesellerinde, yırtıcılar sürüleri bir süre gözlemler ve zayıf olanları bulmaya çalışırlar. Örneğin doğuştan ya da bir kaza ile küçük bir kemik probleminden dolayı diğerlerine göre daha yavaş hareket eden bir hayvanı, bu yırtıcılar tespit edip ona saldırıyorlar. Bu solucan, kuruluşun sistemine girdiği an, zayıf makineleri tespit ediyor. Ardından kendi başına onlara da bulaşıyor. Ayrıca Athena gibi diğer Windows avcılarından bir diğer farkı ise, görevi gereği kendini göstermesi, tehdit mesajı ile kullanıcıyla iletişime geçmeyi hedeflemesi.


Bir güvenlik şirketinin hazırladığı grafikte de gösterilen aşamalar daha iyi anlaşılmasını sağlayacaktır.

1.Aşama hedefin kandırılması veya kötü niyetli kullanıcı yoluyla ilk cihaza sızan solucan.

2.Aşama ise fark edilmemesiylede solucanın işini kolaylaştıran bir aşama. Tek bir cihaz bağlı olduğu network’ü zehirleyip diğer cihazlarıda şifreliyor. Bir çok bilgiyasar bunun temsili.

3.Aşama ise yazılımı yazan ekibin şifrelenmiş dosyalar için ücret talep etmesi ve final.


Casus yazılım, sistemdeki dosyaları şifreleyerek, şifreyi açmak için ortalama 500 dolar ya da 600 değerinde bitcoin (sanal para) talep ediyor. Fakat özel olarak belirli şirketlere ya da kişilere gönderildiğine dair, yeraltı forumlarda bilgiler var. Eğer bilgiler 500 dolardan değerli ise paranın gözden çıkarılması normal. Bu “zararlı”, dosyaları şifreleyip rehin tuttuğu için, aslında bir intihar bombacısı. Çünkü şuanda bir çok madur şirketin yaptığı gibi sunucu yenilediğinizde şifrelenmiş dosyalarda virüsle birlikte gömülüyor.

 Önlemlerin alınması 2.Dalga için önemli olabilir ancak, masraflardan kaçınıp gerekli önlemleri önceden almaya, eski sürüm kullanan bir çok kurum 1.Dalganın kurbanı oldu. Şuan için alınması tavsiye edilen önlemler veya çözümler virüs eğer sisteminizde ise bir işe yaramıyor. Bu bir hırsızı kendinizle birlikte eve kilitlemeye benziyor. Windows açıklarını kullanan bu solucan, kullanıcıyı bu sebeple Windows’un son yama güncellemesini hemen yüklemeye zorluyor. Bu sayede bu açıktan kurtulmuş oluyorsunuz. Ayrıca kullandığınız antivirüsün son güncellemesini program sizden isteyecektir. Çünkü anında reaksiyon gösteren antivirüs şirketleri size “WannaCry Çözümü geldi” diye bildirimde bulunmaktadır. WannaCry Saldırısı sonrasında hızlı bir şekilde etkili çözümler üretilmeye çalışılmıştır.

 

 Dünya Çapında Onlarca Makine Etkilendi

Dünya’nın bir çok bölgesinde bu görüntüleri bulmak mümkün oldu. Bir çok istasyonu, gar, havaalanı gibi bir çok makinanın tek bir ağ bağlı olduğu yerler.  Bu görüntü Almanya’da bir istasyondan

 

 

Bangkok, Tayland

 

Seoul, Güney Kore
Enfekte olmuş bir makine.

 

 

 

Saldırganların Fidye Paralarını Çeşitli Kanallarla Aktarmaları ve Aklamaları

 

Windows 7 İşletim Sistemini kullanan bir kullanıcının ekranı. Kullanıcı mağdur vaziyette ve dağıtıcı mı yoksa etkilenen mi olduğu fark etmeksizin, ekranına yukarıdaki gibi bir fidye notu bırakılıyor. Fidye notu gayet açıklayıcı bir şekilde, mağdura dosyalarınızı şifrelediklerini ve nasıl ödeme yapmaları gerektiğini göstererek sanal para olarak bilinen Bitcoin talep ediyor. Ayrıca bunu yaparken mağdura süre veren bir sayaç mevcut.

Dünya’nın bir çok bölgesinde bu görüntüleri bulmak mümkün oldu. Bir çok istasyonu, gar, havaalanı gibi bir çok makinenin tek bir ağ bağlı olduğu yerler.

 

Bir Bitcoin Kodu

 

Popüleritesi artan kripto para birimlerinden Bitcoin, saldırganlar için en iyi seçeneklerden bir tanesi. Transfer takibini, data toplama geleneğinin, kayıt sisteminin ve bir devlet bağı olmamasın gibi faktörler fidye parasının aktarımı için yardımcı olmuştur.

Saldırganların kullandıkları bitcoin hesaplarından bazıları:



Hesap 1

Hesap 2

Hesap 3

 Bu cüzdanlarda aldıkları fidye ücretleri bulunmakta. Elde ettikleri bitcoinlerin belirli bölümü farklı cüzdanlardaki miktar ile birleşmekte, yani parayı kısa bir süre tutup farklı bir yere aktarma yolunu tercih etmişler. Hareketli bir para transfer süreçleri olduklarından, izlenebilmeleri ve kayıt altına alınmalarını zorlaştırmayı hedeflemektedirler.

Saldırı için kurum olarak Microsoft elbette acil bir önlem alıp krizi çözmeye, kullanıcılarını rahatlatmaya ve yönlendirmeye yönelik açıklamalar yaptı.


Microsofttan yapılan açıklama şu şekilde:

Bazı müşterilerimizin artık Microsoft tarafından desteklenmeyen Windows sürümlerini kullanmakta olduğunu biliyoruz. Bu müşterilerimiz Mart ayında yayınladığımız Güvenlik Güncellemesi’ni alamadılar. Ancak, saldırıların potansiyel etkisini değerlendirerek Windows XP, Windows 8 ve Windows Server 2003 gibi sadece özel destek politikasına tabi olan platformlarımız için de Güvenlik Güncellemesi’ni yayınladık (indirmek için aşağıdaki linklere göz atın). Bu karar, detaylı bir durum değerlendirmesinin ardından tüm müşteri ekosistemimizi koruma altına alma prensibiyle alındı.

Göründüğü gibi bu acele, yani kurumlara acil güncelleme dağıtmalarını istemeleri geç kalınmış bir adım.    

Daha öncede, yine Windows sistemlerini hedef alan bir virüs ortaya çıkmış, yine belirli ölçüde tedirginlik yaratmıştı. 2008’de görülen ve bir solucan olan Conficker, bugün ki ile karşılaştırılamaz olsa bile kullanıcılara önemli bir zararlar verdiğini biliyoruz. O zamanda tekrar bir açıklama yaparak ve paket yayınlayarak bunun önlemini aldıklarını belirtmişlerdi.

Wannacry Siber Saldırısın’da Kullanılan Yöntem ve Araçların Kökenleri

 Saldırının gelişimi ve kullanılan araçların ne olduğu önemli mi sorusu burada sorulmalıdır. Windows’un eski sürümlerini kullanan ve vurulan bu kurumlar, daha önce ABD’den çalınan ve kamuoyuna dağıtılan araçlar ve teknikler ile vuruldu. NSA, bir istihbarat kurumu olarak Windows’un açıklarını, zarar verme tekniklerini ve sızma haritalarını tespit etmiş, bu bağlamda araç ve teknik üretmeye başlamıştır. Devlet binalarında elde edilen ve geliştirilen bu hassas bilgileri belirli yerlerde saklamaktaydılar. 

NSA’in Windowsu hackleyen güçlü araçları interenete sızdırıldı.
(15 NİSAN 2017) Saldırıdan önce.
Yine 15 Nisanda saldırı ve daha sonrasındaki dağıtımla ilgili bir haber.
“Shadow Brokers diye bilenen grup onlarca işlevsel aracı (hack aracı) dağıttı…”

 

 Daha önceden sistemli olarak Shadow Brokers ve diğer Rus gruplar tarafından saldırı yapılması daha önce meydana gelen, öngörülebilir bir şey idi. WannaCry Siber Saldırısı ile aynı nitelikte olmasa bile belirli aralıklarda saldırılar yapıldığı kayıtlara geçiyordu. Nitekim 2016’da önemli saldırılar gerçekleşti ve bir çok dosya çalındı. Bu saldırılar NSA’i hedef alan ve kendi tasarımlarını çalmayı hedefleyen bir eylem olmasına karşın, Shadow Brokers’ın muhattap aldığı grup Equation Group olarak bilinen, pek popüler olmayan bir Amerikan grubudur.

Saldırıyı büyük ölçüde onlara karşı olup, metinlerde onlara karşı düşmanlıklarını açıkça ifade etmişlerdir. Equation Group, gürültü çıkartmayan devlet organizasyonu kokan bir siber grup olarak bilinmekte, NSA ile yakın ilişkisi olan paravan bir grup görünümündedir. Bu sebeple kuruma ulaşmanın bir yoluda Equation’a saldırmak idi. Shadow Brokers, çalınan araçları satmaya çalışmış, 500 milyon dolardan (1 Milyon Bitcoin civarında bir rakam) fazla fiyat biçmişlerdi. Yayınladıkları metinde “Elimizde bir çok araç ve bunlar onların kullandıkları araçlar. Düşmanlarınız siber silahları için ne kadar ödemeye hazırsınız ?” gibi bir açıklama yaptılar.
  

Hacktivist Grupların Eylemleri

Kamuoyuna açık bir şekilde biçilen fiyat bu olsa da, bir kısmını bedava sitelere yüklediler, bazılarını özellikle kamuoyuna açık bir şekilde ellerindekilerin ciddiyetini göstermek için sundular. Bir kısmını da (özel ve ender olanları) black markette bitcoin karşılığında sattılar.  Fakat bu seferki kod ifşaları diğerlerine göre farklı etkiler yarattı. Şuan söz konusu olan Nisan 2017 WannaCry Siber Saldırısı eyleminde, 2016 saldırısının izleri görüldü ve devamı olarak bu adım atıldı. 

 Yayınladıkları mesajlarda siyasi amaçla yaptıklarını iddia ettiler ve ABD Başkanı Donald Trump’a karşı bir adım olarak çaldıkları araçları, kodları ve diğer bilgileri bloglarında paylaştırlar. Bazı politik mesajlar içeren metinler yazdılar. Kısaca kodları ifşa ederek bir cezalandırma düşüncesi içinde olduklarını söyleyebiliriz. Ancak NSA ve bir kaç farklı Amerikan kurumundan çalıp sorumsuzca dağıtılan kodlar, bir çok durumun tetikçisi olma potansiyeline sahipti ve hala daha sahip.

Bu durum, askeri taşıma uçağı ile Suriye’nin ortasına binlerce silah ve mühimmat atmak gibidir. Böyle bir durumda silahların kimin eline geçebileceği hakkındaki endişelerinizi toparlamak için listelere bakarsınız. Bu saldırıdan sonra da aynısı yaptılar fakat suçluyu bulmak suçu önlemek anlamına gelmiyordu. WannaCry Siber Saldırısı gibi saldırılar, bu gibi durumlarda önlenmesi zor bir hal almaktadır.

Bu gibi sahte veya burner hesaplar, genelde bu tür gruplar tarafından kullanılan, tek kullanımlık ve kamuoyuna sunacakları metin veya dosyaları yaymaya yönelik açtıkları hesaplardır. Buradaki bir örnek, yayılması istenen bir metine sahip ve bu metin 2017 eylemi ile ilgili.

 

Belirli sitelerde, yaptıkları eylemden sonra yayınladıkları siyasi metinden bir görüntü.

“Sevgili Başkan, Tüm saygımızla, ne halt ediyorsun ?……”



 Dolayısıyla çalınan ve dağıtılan bu dosyalar bir çok ülkeye ve kuruma tehdit arz ediyordu. Çünkü bu tip yazılımların üretilmesine ev sahipliği yapan Utah’tan çıkabilecek geliştirilmiş bir yazılımı bir çok uluslararası suçlu birbirinden farklı nedenlerle ele geçirmek isteyecektir. Ayrıca bu geliştirilen araçların büyük bölümü eski (2010, 2011) olduğu için, bazen dosyalarda bu tarihler gözükebiliyor, aynı şekilde saldırı hakkında açıklama yapan bazı hükümet yetkilileri çalınan şeylerin eski olduğunu belirterek küçümsemeye de çalışmıştı.

Başka bir sahte hesap, bu sefer yayılması istenen verileri ifşa etmek için açılmış ve önemle gazeteleri, kuruluşları etiketlemiş. Bu hesap, bunu yapan hesaplardan sadece bir tanesi. Aynı zamanda indirme linkleride kullanıldı.





Çalınan dosyalara ait bir ekran görüntüsü.(2016)
Daha fazla görüntü için buraya tıklayın.

 

Sızan Dosyalara Ait Görüntüler / 2017 saldırısından

NSA Çalışanın Ev Baskını

Shadow Brokers’ın araçları sızdırması eyleminden önce yaşanan başka bir gelişme, tahtanın üzerine yazılmayı hak eden türdendir. ABD Baltimore’da, o zaman için bağlantısız ve ufak bir detay gibi gözüken bir tutuklama yaşandı. 27 Ağustos yani WannaCry Siber Saldırısın’dan yaklaşık 9 ay önce, bir NSA çalışanın evine baskın yapıldı. Bu baskın sonucunda evin bazı bölmelerinde yapılan aramalarda 50 terebaytlık bir veri deposu bulundu.(Evde ve garajında arabanın içinde) Bu veriler çalıştığı kurumdan izinsizce alınmış bir bölümü yüksek seviyede gizlilik içeren belgelerden oluşmaktaydı.

Bu ev baskınından ve tutuklanmada sırasında, Shadow Brokers sosyal medyada sızıntıya başlamıştıTwitter üzerinden önemli gazeteleri etiketleyerek çalıntı verilerin kamuoyuna sızdırma eylemi kendini göstermişti.

 

“FBI NSA çalışanını göz altına aldı”
“Yüksek gizlilik verileri çalmakla suçlanıyor”

 

NSA çalışan Harold Martin’ açılan davada, devlet malını çalmak ve gizli belgeleri izinsiz yerinden almak gibi suçlardan suçlanmıştı. FBI, çalıştığı mevki gereği erişimde zorluk çekmediğini ve görevi kötüye kullandığını söyledi. Buna rağmen Harold bir sızıntı yaratmada ve aldıklarını kamuoyuna paylaşmadı. Elindekileri satmak istemesi ve referans araması sırasında yakalanması belki vatan hainliği ile suçlanmasını engellemişti.

Evinde bulunan hard disk içerisindeki bilgileri, Shadow Brokers’ın sızdırdıkları ile karşılaştırdığımızda birden fazla eşleşmeyle karşılaşmak mümkün oluyor. Özellikle Windows sistemine sızma ile ilgili değerli bilgileri Harold Martin’de izinsin bir şekilde depolamış ve saklamış. Bunların arasında EternalBlue’da yer almaktadır.

 

Benzerliklerin Windows Kullanıcılarına Karşı Oluşan Tehditi Göstermesi

 

Burada hatırlanması gereken bir şey bu aracın içeriğidir. EtternalBlue, yani Windows sistemleri için adeta bir anahtar olan bir sızma tekniği, WannaCry saldırganları tarafından kullanılmış ve kendi amaçları doğrultusunda geliştirilmişti.

Bir sızma denemesi. (Doublepulsar) 
2017 Eyleminde Shadow Brokers sızıntılarından kullanılan araçlardan bir tanesi

 

Doublepulsar, sistemi tehlikeye atan ve hedef  bilgisayarda bir arka kapı açan bir Truva atıdır. Yani hedef sistemde açık yaratma çalışan öncü bir zehir olarak tanımlabilir. Buda yine NSA tarafından geliştirilen araçlardan bir tanesi. Bu gibi geliştirilmiş araçlar Windows’un açıklarını bulmak ve yaratmak için tasarlanmış, kurum bünyesinde tutulan dosyalardı. Dolayısıyla bunların çalınmasından sonra, hangi aracı kullanmak istedikleri artık onu çalan gruba kalacaktır. Amaçlarına en uygun hangi araç var ise, onu kullanacak olmaları muhtemel idi.

Bu sebeple bu saldırı olmadan önce, NSA Microsoft’u çalınan kodlar ile ilgili uyarmıştır. Tabii ki çalınanlar ile neler yapılabilir, kendi sistemlerini hedef alması nedeniyle en iyi onlar bilebilirdi. Dağıtılanlar genel olarak Windows’un eski sürümlerinin açıklarını tespit ettiği için, bildiğimiz tarzda “virüs” denilen programlarla aynı görevi görmüyor. Basit bir anlatımla, saldırganlar kapıyı açıyor fakat içeriye girdikten sonrası başka bir aşama olarak kalıyor. Sonrasında kendi başına hareket etmek zorunda kalıyorlar, ya kendi geliştirdikleri bir programla sistemi çökertecek ya da içeriyi rehin alacaklardı.

Para isteyen bir grup bilgileri rehin almayı seçer, zarar vermek ise daha politik bir eylem olur ve yok etmeyi amaçla, nitekim rehine sistemi seçildi. Bu yüzden sigorta, otomobil ve bankalara özellikle bu saldırı yapıldı ve ülke ayırt edilmedi.

Kurumların bu tavırları siyasi yaptırımlara tabii olmaktan çok uzaktadır. Çünkü onlara göre olağan dışı bir durum söz konusu değildir.

Dünyada bulunan bütün güçlü ülkelerin istihbarat çatısı altında çalışan, SIGINT (Elektronik İstihbarat) üreten kurumları bu tür bilgileri toplarlar ve popüler yazılımlar için açık arayıp sızma deneylerinde bulunurlar. Bu yüzden kurulmuşlardır ve bu onlar için bir rutindir. Rusya aynı şekilde yabancı ve yerli yazılımları hakkında aynı çalışmaları yapmaktadır. Kendi kurumlarına saldırıp kamuoyuna ifşa edilmemiş olmamaları Rusya ve diğer güçlü ülkeleri masum göstermeyecektir.

ABD’nin dikkati çekmesinin en önemli nedenlerinden biri, kullanılan yazılımların, araçların ve markaların merkezinin kendi bünyesinde olmasıdır. Düşününki dünyada bir çok ülke kendi kurumlarında kullandıkları yazılımlar, telefonlar ve bir çok şey sizin ülkenizin içinde barınan şirketlere ait olsun. Bu tartışmasız büyük bir güçtür ve devletin bu güçten pay çıkartmak istemesi şaşırtıcı değildir. Bu durumdan dolayı, bir çok ülke açık kaynak ve kendi yazılımlarını üretmeye çalışmakta, bir çok kişi tarafından teklonojinin tekelleştirilmesinin kötü olacağı ve millileştirmenin daha güvenli olacağı bir çok ülkede dile getirilmektedir.

 





Sızmış dosyalardaki araçların kullanımına dair hukuki ve teknik bilglerin şematik olarak gösterildiği belgelere dair bir ekran görüntüsü.

Sızıntı Araçları’nın Tehlikeli Bir Şekilde Yayılması ve Siyasi Propaganda

 
WannaCry Siber Saldırısı öncesi birçok sızıntı yaşanmıştı. Ele geçirilen dosyalar ve araçlar sonucunda ortaya çıkan “suçlar” birden fazla şekilde yargılanacak vaziyette. Çünkü böyle bir saldırı sonucunda yasa dışı bir şekilde ele geçirilen kodları satmak ve kullanmakta yasa dışı olduğunda, bilinçsizce organize olmuş ve takibi zor bir organizma meydana gelmiştir.
Başlık hakkında yayınladıkları bir metin.

“Kendilerini Windows olayı hakkında sorumlu hissettikleri hakkında düşünceleri ve propagandaları içermekte.”

 

Bu tip saldırgan(lar) ve bağımsız olan kurumlar, genelde elde ettikleri nesneleri “blackmarket” üzerinde yok edip para kazanmayı amaçlarlar. Bu sayede motive olurlar ve gelişirler. Shadow Brokers ise aynen bu yöntemi uygulamaya çalışmıştır. Sadece sosyal medya üzerinden değil, az bilinen forumlarda, derin internette ve sadece üyelerin girebildiği seçkin platformlarda satmıştırlar. Bazıları dolar ile, bazıları bitcoin olarak ödeme almışlardır. Bunun takibi çok zor olduğundan, satın alıma yapan kişinin amacını satan tarafta bilememektedir. Buda potansiyel riskleri beraberinde getiren bir etmendir.

NSA Dosyalarının Darkweb ve İnternet Ortamında Hızlı Yayılışı

 

“Windows’a sızabilen NSA araçları artık satılık”

 

Satın alımların büyük bir kısmı Bitcoin üzerinden yapıldı. Shadow Brokers birçok dosya karşılığında belirledikleri miktarda bitcoin istediler ve kazandılar.
. Örneğin 1×0123 adında ki kullanıcı, elindekileri belirlediği bir fiyata satıyordu. Şuanda ona ve onun gibi hesaplara ulaşmak mümkün değil, farklı bir sahte hesapta.
“NSA/E.G araçlarını 8000 dolara satıyoruz. İlgilenenler daha fazla bilgi için DM’den bana ulaşabilir”

 


Bu tür kullanıcılar doğrudan iletişime geçtiklerinde, hızlı bir şekilde ödeme alıp transferi bitirmek isteyecektir. Çünkü bulunduğu kabuk geçicidir. Eğer samimi ise iletişime geçtiğinizde ve ödeme yaptığınızda, size uzun bir şifre verip, dosyalara erişiminizi sağlayacaktır. Ayrıca iletişime geçildikten sonra, kısaca önce paranın yatırılmasını istemektedirler. Bitcoin yatırıldıktan sonra, alınacak siber saldırı araçları ve dosyaları hakkında teknik bilgi vermekteler. Hatta nasıl kullanacağına dair danışmanlık yapan satıcılar bulunmakta. Bu satıcıların her biri aynı kişi olamayacağı için farklılık gösterebilir ancak yer altı forumlarında bu işlemin böyle gerçekleştiğine dair örnekler mevcut.



 Seviye olarak gruplara ayırdıkları araçlar, belirli bir düzene göre satıldı. Söz konusu araçların güce ve önemine göre satış yapıldığı için, alıcılarında aynı sınıfta değildirler. 2016 saldırısından sonraki süreçte, bazı araçları elde ettiklerinin ciddiyetini göstermek ve gerçek olduklarını kanıtlamak için bedava olarak yayınladılar. Bu tür yayınlar fragman niteliğindedir ve tüm varlıklarını yayınladıkları anlamına asla gelmez. WannaCry, bu süreç sonrasında oluşturulan bir terörist yazılım. Shadow Brokers sızıntısından sonra ki tarihlerde bu virüsün geliştirildiğini göz önüne alırsak, sızıntının tehlike yarattığı daha iyi anlaşılabilir. 



 Ayrıca ufak çaplı ve ses getirmeyecek olmasından dolayı çok söz edilmeyen diğer bir konu “spesifik saldırılar”. Bu kurumsal saldırılardan biraz farklı fakat benzer yazılımlar olup, özellikle suçlu ve varlıklı kimselere, iş adamları, yatırımcılar ve bankacılar gibi spesifik kişilere yapılan bireysel saldırılar. Bu hedefler, çalınan bilgilerin ve her ne iseler onların ödeyecekleri fidyeden daha değerli olduklarını düşündükleri için, bitcoin ödemesini yapıp kurtulma gibi bir düşünce içeresinde oldular.

Normalde 300 USD civarı bir değer sahip bitcoin istediklerini (Bilgisayarın ekranında çıkan ekranda yer alan) kurumsal saldırılarda gördük fakat bu rakamın değiştirilebileceğini unutmamak gerek. Son duyumlara göre artık ödeme ekranında belirli bir süre ödeme yapılmazsa fiyat iki katına yani 600 USD gibi bir rakama çıkıyor. Bunun sebebi panik yaratıp kullanıcının çözüm yüklemesini veya ağ temizlemesini engellemek. Kurumlar ise serverlarını yenileme yöntemini seçtikleri, insan ve teklonoji gücüne sahip oldukları için ödeme yapmayı düşünmediler.

Şirketlerdeki teknik elemanlar uzun bir süre sunucularını yenilemek için mesai harcadılar ve bu süre zarfında birçok fabrikada üretimler durduruldu.  Dolayısıyla bu saldırıyı sadece görülen bazı kurumlara karşı yapılan, bütün hedeflerin büyük bankalar ve büyük şirketler olduğu gibi bir düşünce yanıltıcı olacaktır. Kurumlar, popülerler oldukları için medyada yer almaktadırlar.


GitHub gibi platformlardan bu dosyaları yaydılar, başlangıçta sosyal medyadan önce bu tip platformlarda ilk dağıtım yapıldığından, FBI ve diğer ulusal güvenlik teşkilatları saldırganların peşine düşmek için ilk önce bu platformlardaki dağıtıcıları gözden geçirdiler.

 

GitHub dağıtıcısının email adresi tespit edilmiş, fakat bu çok değerli bir ipucu olmaktan çok uzak.


Bütün bunlarla birlikte, başka verilerde mevcut. Örneğin Nisan ayında kamuoyuna sızdırılan araçları Rus Çinli siber grupların özellikle bunları satın aldığı ve incelediği bilinmekte. Ayrıca WannaCry saldırısından önce, bazı önlemler almaya çalışmışlar ve böyle bir saldırının yapılabileceğini öngörmüşler. Tespit edilen şey, sızan araçlardan sadece belirli araçlara odaklandıkları, muhtemeldir ki onların önemini ve sağlayacağı yararı bilmekteydiler. Asyalı grupların bu tavrı gayet öngörülebilir ve normal. Politikada ise suçlayıcı açıklamalar ön plana çıktı.

 

ABD’nin Daimi Şüphelisi Rusların Tepkisi

 

“Rusya Başkanı Putin  global siber saldırı için Amerikayı suçluyor”


 Rusya Başkanı Vladimir Putin, yaşanan bu fidye yazılım krizi yüzünden Amerika’yı suçladı. Rus Başkan Amerika aleyhine hiç olmadığı kadar rahat konuşabilir, çünkü saldırı araçları Amerikan ve sorumlu olan şirket ve kurumlar yine Amerikan kaynaklılar. Bu sebeple ona göre bu virüsün yayılmasının başlıca suçlusu Amerikan istihbarat örgütleri. Bu virüsün Amerikan istihbarat örgütlerinin kullandığı güvenlik açıkları yüzünden yayıldığını basın açıklamasında dile getirdi. Ayrıca Microsoft’un Amerikan hükümetini eleştiren bir kaç açıklaması olmuştu, bunu da tabii ki hatırlattı.

Rusya Başkanı, bunu Microsoft bile söylerken bazılarının Rusya’yı suçlamasının anlamsız olduğunu ifade etti. Son yıllarda Putin ve yönetim ekibi birçok ülkeye siber saldırı yapmakla suçlamakta ve bu tür sorular ona daha fazla yöneltilmeye çalışılıyor. Batı medyası ile Rus medyası bu çekişmelerin ve krizlerin yayıcıları gibi gözükse bile kamuoyunu ikna etmek yine  Rus yetkililerin ellerinde. Özellikle bu tür siber finansal saldırılarda, ülkelere doğrudan diplomatik baskı oluşturmak aceleci bir tutum olacaktır. 

Rostnef ve Gasprom gibi kamu kaynaklı Rus şirketlerine yapılacak saldırılarda ne tepki verileceğini izlemek gerekir.Putin, olayı meydana getiren suçlunun Amerika olduğunu söyleyip hedef göstermekte fakat saldırının çıkış kaynağının neresi olduğu hakkında yorum yapmayı çok önemsiz buluyor gibi gözüküyor. Belkide ellerindeki bulgular şüphelerin Asya üzerine yoğunlaştığı için bu bilgiyi kamuoyuyla paylaşmanın gözleri kendi bölgesine çekeceğinden bu konuda paylaşımcı olmak istemiyor olabilir.

 

Devlet kurumlarının hedef alınmaması diplomatik krizin ve saldırının sesini yumuşatan en büyük etken. Örneğin şu sıralar Rusların İngiliz banklarına, bazı dış işleri yetkililerine ve önemli şirketlerine yaptıkları saldırlar(yüzlerce şifre çalındı) hakkında bazı İngiliz kurumları alarma geçti ve bu ufakta olsa bir kriz nedenidir. Bu olayda durum farklı bir içeriğe sahip. Bütün bunlar, ABD için prestij kaybına sebebiyet verse bile, birçok açıdan politik seviyede ciddi bir baskı aracı olamayacaktır çünkü ne olursa olsun onlar da “mağdur” konumunda bulunmaktadır.
 Sonuç olarak uluslararası bir suç işlenmiş, bazı bilgiler çalınmış, kurumlar zaafa uğratılmıştır. Bu sebeple mağdur ile değilde, saldırgana odaklanılmalıdır. Rus Başkan gözlerin kendi ülkesine çevrilmesinin anlamsız olduğunu dile getirdi ancak aynı şeyi müttefikleri için diyebilir miydi diye sorulabilir. Dolayısıyla daimi şüphelilik karşılıklıdır.

Asya’da Yükselen Siber Tehditler ve Benzer Saldırılar

 Bu aylar, Mayıs ayı içerisinde özellikle Siber Güvenlik şirketlerinin ve istihbaratının özellikle Asya kaynaklı siber suç örgütlerinin peşine düştüğü bir dönem. Asya ve Avrupa’da ki birçok otorite kaynağın Asya olduğunu öne sürmekte. ABD’de aynı şekilde düşünmekte ve FBI’ın elindeki bulgulara göre Asya kaynaklı olduğunu düşünülüyor ve küçük bir ekip işi olmadığını birçok ülke vatandaşının bu operasyonun içinde olduğu konusunda bulguları var.  İlerleyen zamanlarda, daha sağlıklı adli incelemeler yapacak ve açıklayacaklardır ki şu anda bulgular Kuzey Kore devleti ile bağlantılı olarak bilenen, Güney Kore başta olmak üzere, farklı bölgelerde bulunan finans sektörlerini hedef alan bir grubu işaret etmekte. Aynı şekilde geçmiş dönem yapılan ve Kuzey Kore kaynaklı olduğu tespit edilen siber saldırıların parmak izleriyle uyuşmaların mevcut olması, hem teknik hem siyasi anlamda Bitcoin’e merakı olduğu bilinen Kuzey Kore’yi işaret etmekte. Bunun için biraz geriye gitmek gerekiyor.



Bangledeş Ulusal Bankası (BAE)

 

2016’dan başından itibaren, Bangledeş bazı problemlerle uğraşmak zorunda bırakıldı. Bangledeş Ulusal Bankası, Lazarus tarafından rahatsız edilmeye başlandı. Amaç mevcut parayı hortumlamak ve bankanın olabildiğince içini boşaltmak olduğu için, ilk önce içeri sızmaları gerekiyordu. Planları FED bünyesinde bulunan BAE‘ye ait mevduat hesaplarını, SWİFT (Dünya çapında kullanılan, uluslararası para transferlerini gerçekleştiren sistem) sistemine BAE içine yazarlı yazılım yerleştirip uzaktan yönlendirme amacıyla sızıp, sahte yönlendirme taleplerinde bulunmaktı. SWİFT sistemine girmek için bünyesinde bulunan bankaların birinin sistemine girmek zorundaydılar, İngiltere’den ya da Amerika’dan herhangi bir banka kurban seçilerek sisteme giriş mümkün olabilir ancak önce bankların güvenlik duvarını delmek gerekiyor. Aynı sistemin için dikkatsiz ve daha zayıf güvenlikli Asya bankaları da barındığı için, FED’e sızmayı denemek yerine BAE’yi hedef seçmek daha mantıklı olacaktı.

Bangledeş ve New York arasında gönderilen transfer talepleri, Asya kıtasına aklanmak üzere gönderilmişti. Bangledeş ve Filipinler birlikte soruşturma yürütmüş, iki ülkede mağdur konumuna düşmüştür.

 

 Birden fazla sistematik sızma girişiminden sonra zararlı yazılım yerleştirilmiş, gerekli bilgiler banka dışına aktarılmış ve saldırganlar tarafından kullanılabilir hale gelmişti. Bunun sonucunda, çalabilecekleri rakam olan 950 Milyon dolar civarında bir parayı almak için, BAE sistemlerinden SWİFT yoluyla FED’e para yönlendirme girişiminde bulundular. Birden fazla ayrı talep isteği yolladıklarından, New York yetkilileri gelen taleplerin (285) hepsini onaylamadı ancak, 35 adet işlemi onayladılar ve bu sırada BAE’ye işlemler hakkında bilgi amaçlı ulaşmaya çalıştılar ancak ulaşamadılar.

Bunu bir nedeni saat farkından dolayı hafta sonu olmasıydı çalışma saatlerinin deki uyumsuzluğu avantaja çevirdiler ve bunu kasıtlı olarak yaptılar. BAE cephesinin transferler hareketliliğini fark etmeleri kolay olmayacaktı çünkü saldırganların yazılımları işlem kayıtlarını mümkün olduğunca silip, iz bırakmamayı hedeflemişlerdi. Bütün bu karışıklığın içinde, New York kanallarından yönlendirilen bu paralar PAN ASİA BANK(Sri Lanka) ve RCBC (Filipinler) bankalarına transfer edildi. Gelen istekler üzerine yapılan bu transferler, birden fazla ve bazıları sahte olan banka hesaplarına nakledildi.

BAE çalışanları saldırı altında olduklarını anladıklarında 1 Milyar dolara yakın parçalı transfer taleplerini durdurmak için New York’a işlemlerin iptal edilmesini ve saldırı altında olduklarını bildirdiler. 100 Milyon USD civarı bir işlem bu iki bankaya aktarıldı ancak geri kalanları donduruldu. 20 Milyon USD acil bir adım ile donduruldu. Ancak diğer transferler, yani kalan 81 Milyon USD parçalı bir şekilde bir hesaptan başka bir hesaba aktarılarak adeta yakalanmaktan kaçtılar.

Bu 81 Milyon USD transferinin sahte isimlerle açılmış hesaplara aktarıldı, aynı zamanda bir kısmı Filipinler’in yerel kumarhanesine aktarıldığı görüldü.

Üstte yer alan para miktarları, altta aktarılan hesaplar.

 

Para aktarımın yapıldığı “Hotel-Casino”, Filipinler

 

Kısaca, parayı mümkün olduğunca dağıtıp, aklamak adına sona doğru işleri karmaşık hale getirmek zorundaydılar ve bunu yaptılar. Kullandıkları tekniklerin işe yaramasının ardından yeni hedeflere yöneldiler. Vietnam, Ekvator, Tayland, Malezya, Nijerya, Brezilya, Şili, Meksika gibi ülkelerdeki finasal sistemlere de aynı saldırılar yapıldı. Kullandıkları teknikler, zamanlamaları ve yazılımlarını karşılaştırdıklarında aynı grubun bu saldırılardan sorumlu olduğu anlaşılmaktaydı. Örneğin Asya kökenli güvenlik şirketleri bu hareketliliği tabii kide fark etti  ve önemler aldı, müşterilerini bir sonraki saldırıları önleyerek korudu ve onları deşifre etti. Bu olaydan sonra kısmen başarılı saldırılar gerçekleşti fakat Bangledeş saldırısına benzer bir saldırı tespit edilmiş değil.

 

Resim yazısı ekle

FBI ve Bangledeş Polisi ortak soruşturma yürüttüler. Hassan Zoha adında Bangledeşli bir uzman, saldırganların 3 tanesinin ID’lerini tespit etmiş olabileceğini polise bildirmiş, ancak bu uzman 24 saat içinde kaçırılmış.

Hassan Zoha



 Daha sonra tespit edildi ki, soygun girişimi gerçekleştirildikten 7 ay öncesinde onlar banka ağında dolaşmaya başlamışlar. Yani teknik ekipler saldırıyı fark ettikleri gün, onların 7 ay gerisinde kalmış oldular. Hemen harekete geçmediler çünkü SWİFT sistemine sızmaları ve kullanabilecekleri herhangi bir bilgiyi alma isteği onların sessiz kalmasının nedeniydi. Ayrıcı yerleştirdikleri malware’in , kayıtları kontrol eden bir araca dönüştürülmesi de zaman aldı.

Operation DarkSeoul ve Operation Troy diye bilinen en göze çarpan iki saldırıları, yani Güney Korede bulunan önemli kurumlara karşı (önemli medya kuruluşları, ulusal banklar) yapılmıştı ve bunlar çalma değil sabote etme odaklı idi. Aynı grup, sorumlu olarak görülen Lazarus ekibi, zaman çizelgesine göre 2017’de bir saldırı yapması bekleniyordu. Siber güvenlik uzmanları, grubun bir süre sessiz kalıp sonradan planlarını uygulamaya koyduğunu bildiği için, WannaCry saldırısının bu boşluğu doldurduğunu düşünmelerini sağladı. Hali hazırda birçok  siber güvenlik şirketinin istihbarat kurumlarıyla yürüttükleri soruşturma sırasında, sosyal medyada bir bilgi paylaşıldı.

 

 

Neel Mehta, saldırılar arasındaki benzerliği işaret eden paylaşımı yaptığında, birçok meslektaşı kodları incelemeye başlamış, kurumsal çalışanlarda hemen onlara katılmıştır.


 Neel Mehta kullanıcı adına sahip bir Google güvenlik araştırmacısı, WannaCry ile Lazarus ekibinin kullandığı tekniğe atıf yaparak, kod benzerlikleri hakkında ipucu bıraktı. Yani bu grup ile bu saldırıda kullanılan kodların siber güvenlik şirketlerinin analiz edilmesi için açıkça hedef göstermiş oldu.


Güvenlik Şirketlerinin karşılaştırdığı kodlar, 2015’te Lazarus’un kullandıkları ile WannaCry karşılaştırmasından çıkan benzerlikler.



 Özellikle sızan NSA verilerinden  EternalBlue, saldırı hazırlayan ekiplere katkı sağlamıştır. Windows’a ve bağlantılı sistemlere sızabilen kapıları bulduktan sonra geliştirdikleri yazılımları para istemiyle kullandıkları için, soruşturma kapsamında ilk değerlendirilen şüpheliler finans sektörüne darbe vuran ve para kazanmayı amaçlayan, hırsız ve sabote eden gruplar olmuştur.

 Güney Kore’ye yaptıkları saldırıları ve özellikle ünlü Sony Pictures saldırısını bu uzmanlar referans almaktalar. 

Sony Pictures saldırısı ile ilgili Türkiye’de çıkmış bir haber


 Nisan ve asıl yaygınlaştığı ay olan Mayıs ayında olan saldırılar incelendiğinde çıkan sonuçlar önemli. Sony saldırısında tespit ettikleri saldırı yazılımları Trojan.Volgmer ve Backdoor.Destover olmuştu. Şimdi ise WannaCry kurbanlarının Network sistemlerine baktıklarında yine bunlar tespit edildi. Kullanılan bir diğeri, Trojan.Alphanc, Lazarus’un kullandığı tespit edilen Backdoor.Duzer’ın geliştirilmiş bir versiyonu olduğu ortaya çıktı. Yine Lazarus’un kullandığı bir teknik olarak tanımlanan Backdoor.Contopee, WannaCry saldırısında karşılarına çıkmıştır.

Ağ sızdıktan sonra bilgilerinizin şifrelendiğini söyleyen o kırmızı ekran, 28 farklı dile göre çevrilmiş. Bazı uzmanlar bu dillerin çoğunun sözlük aracılığıyla birbirlerini çevirdikleri üzerinde durmaktalar. Bu gayet mantıklı bir yaklaşım çünkü 28 dili bilecek insanı toplamak bir hayli gereksiz ve zahmetli bir iş olurdu. Bu yaklaşımdan sonra bulgulara göre Çince yazılan metin diğerlerine göre daha hatasız ve anadil sahibinden çıkmışa benziyor. Yani bu metni hazırlayan Çince konuşan bir kimse olduğu düşünülüyor.

Asya’daki siber suç gruplarının, bugüne kadar tespit edilen ve yakalanan elemanlarına bakarak denebilir ki gayet uluslararası bir organizasyon yapısına sahipler. Özellikle Tayvan, Hong Kong, Singabur, Çin gibi ülkelerin vatandaşları sıklıkla görülen bir birleşimdir. Aynı şekilde Lazarus’un Malezya ve Çin gibi ülkelerden teknik anlamda yararlandığına dair bilgiler mevcut.  

Bu saldırıda da ekibin uluslararası bir operasyon yapması sebebiyle bu ülkelerin vatandaşlarının ya da Çin vatandaşı bir hacker’ın yer alması ve metni onun oluşturması olasıdır. Nitekim FBI, Mayıs ayında elde ettiği bulgulara saldırganların en az 1 Rus, 1 Çin vatandaşının bu operasyonda yer alabileceği yönünde. Yinede ekibin uluslararası olma faktörü büyük balığı bulmadan soruşturmanın bitemeyeceğini gösteriyor.

 Saldırıların seri halinde devam ettiğini ve edeceğini düşünüyorlar ve kaynaklarına göre Haziran ayının sonuna doğru Avrupa ve Asya genelinde (Özellikle Dogu Avrupa ve Asya) genelinde, benzer prensiplerle ve benzer hedef kitleyi etkileyecek bir saldırı daha beklenmekte. Ancak aynı virüsün kullanılması beklenmiyor. 

 Siyasi sebeplerden dolayı, intikam görünümünde bir saldırı olarak önemli araçları sorumsuzca sızdıran Shadow Brokers’ın sorumluluğunun da unutulmaması gerekir. Onlarda fidye sistemini benimsemeseler bile, ellerindeki çalıntı araçları belirli fiyatlarda satmaya kalkışmış, ilk etaptan 500 Milyon USD civarında bir rakam istemişlerdi. Sonuç olarak saldırı motivasyonu, tarzı, tekniği, zaman çizelgesi ve tespit edilebilmiş olan internet adresleri sebebiyle Lazarus ciddi bir şüpheli konumunda. En azından saldırı kaynağının Amerika ve Avrupa bölgesinde olamayacağının izleri mevcut. Yakın zamanda alınan önlemler artacak fakat kötü amaçlı yazılımlarda aynı hızla geliştirilecektir.