Siber Terör Herkesi Korkuttu
Geçtiğimiz haftalarda tüm dünya büyük bir şok yaşadık, tik büyük fidye saldırısı olan WannaCry, pek çok kurumun bilgisayar ağını çökertti. Peki, saldırının arkasında kimyada kimler var ve amaçlan ne?..
WANNACRY şifreleyici trojam, Avrupa Polis Ofisi Europol’un açıklamalarına göre, geçtiğimiz hafta 150’den fazla ülkede 200 binden fazla bilgisayarı etkiledi. Türkiye’nin en çok etkilenenler arasında 14’üncü sırada olduğu tarihin en büyük fidye yazılım saldırısında, en çok zarar gören ülke Rusya oldu. Rusya İçişleri Bakanlığı verileri silindi. Rusya’da bankalardan bakanlıklara, kamuya ait demiryolları şirketinden telekom ağma kadar geniş bir kurban listesi var. İngiltere ve İs-koçya’da ise Ulusal Sağlık Sistemi (NHS) çöktü. Bazı hastanelerde ameliyatlar yapılamadı ve acil durumlar dışında hasta kabul edilemedi. Saldırının başlangıcı olan 12-15 Mayıs arasındaki birinci dalgada Ukrayna, Hindistan ve Tayvan da ağır şekilde etkilendi.
Ispanya’da telekom şirketi Telefonica, enerji şirketi Iberdrola ve kamu hizmeti şirketi Gas Natural, Almanya’da yerel tren istasyonlarındaki bilet makineleri, İtalya’da da bir üniversitenin bilgisayar laboratuvarı, Fransa’da Renault, Portekiz’de Telecom, ABD’de FedEx ve İsveç’te bir yerel yönetim de WannaCry’dan etkilenenler arasındaydı. Çin henüz virüse ilişkin bir açıklama yapmış değil ama sosyal medyadaki paylaşımlara göre bir üniversitenin bilgisayar laboratuvarmm etkilendiği belirtiliyor. Türkiye’de ise Renault Türkiye, Bursa’daki fabrikasında üretimi tedbir amaçlı bir günlüğüne durdurdu.
Para Dergisi olarak gündemi sıcağı sıcağına takip ediyoruz. Geçen hafta Türkiye’nin siber güvenlik konusunda neler yaptığını ve ne tür önlemler aldığını işlemiştik, bu hafta ise WannaCry konusunda dünyasının neler yaşadığını mercek altına alıyoruz.
FÜZELERDEN DAHA TEHLİKELİ
WanaCptOr veya WCry adlarıyla da yayıldığı görülen WannaCry’m ortaya çıkışı hakkında farklı dedikodular olsa da yorumların geneli siber korsanların ABD Ulusal Güvenlik Ajansı’na (NSA) ait bir zararlı yazılımı ele geçirdiği yönünde. Washington Post gazetesinin haberine göre, geçen hafta bilgisayar sistemlerine bulaşan Wanna Cry adlı virüsünün kodu NSA’in siber takip ve izleme sisteminde bulunuyordu. Rusya merkezli yazılım ve sistem güvenliği şirketi Kaspersky, Win-dosw’un EternalBlue isimli açığını kullanarak yayılan bu zararlı yazılımın “Shadow Brokers” adlı bir grup tarafından ilk kez Nisan ayında dolaşıma sokulduğunu belirtiyor.
NSA ise konuyla ilgili bir açıklama yapmış değil. Microsoft açıkları gizlice depoladığı ve kendisiyle paylaşmadığı için NSA’i suçluyor. Siber saldırganların, bu güvenlik açığını NSAdan çaldığı ve fidye saldırılarında kullanılması için serbest bıraktığı söyleni-Microsoft Başkanı Brad Smith’in açıklamasına göre, bu saldırı ABD’nin Tomahawk füzelerinin çalınmasına benzer bir durum. İsrail ordusundan üst düzey bir yetkili de, bu saldırının füze saldırılarından daha tehlikeli olduğunu belirtiyor. Jerusalem Post’a konuşan yetkili, “İsrail’in altyapısını felç edecek bir siber saldırının, elektrik santraline düzenlenecek bir füze saldırısından daha büyük bir etkisi olur” diyor.
HATA YAPILMASA DA BULAŞIYOR
Genel olarak WannaCry iki bölümden oluşuyor. İlk bölüm bulaştırma ve yayılmayı sağlıyor. Virüs genellikle, e-posta, kaynağı belirsiz programlar, forum siteleri ve korsan oyunlar aracılığıyla bilgisayarlara bulaştırılıyor. İkinci bölüm ise bilgisayara bulaştıktan sonra şifreleyiciyi indiriyor. WannaCry ile hemen hemen bütün diğer şifreleyicilerin temel farkı şu ki, sıradan bir fidye yazılımın bilgisayara bulaşması için kullanıcının bir hata yapması gerekir. Mesela şüpheli bir linke tıklamak, Word dosyasının zararlı macro çalıştırmasına izin vermek veya şüpheli bir dosya indirmek gibi. WannaCry ise sisteme hiçbir şey yapmadan da bulaşabiliyor.
WannaCry’ın yaratıcıları, Windows’un “EternalBlue” isimli açığından yararlandılar ki Windows bu açığı 14 Mart’ta yayınladığı MS17-010 güncellemesi ile kapatmıştı. Korsanlar bu açığı kullanarak bilgisayarlara uzaktan erişim sağlıyor ve şifreleyieiyi yüklüyor. Güncellemeyi yüklemeyenler için bir umut yok. Kaspersky Lab’ın GReAT ekibi (Global Research and Analysis Team) eğer bir şekilde bu şifreleyici çalışmaya başladıysa, açığı kapatmanın da bir işe yaramayacağını söylüyor.
Bir bilgisayarı başarıyla hackledikten sonra WannaCry bir bilgisayar virüsü gibi kendini yerel ağ üzerindeki diğer bilgisayarlara dağıtmaya başlıyor. Önce ağdaki diğer bilgisayarları tarayarak EternalBlue açığı arıyor, eğer bulursa cihazlara bulaşıyor ve dosyaları şifreliyor. WannaCry bulaşmış bir bilgisayarın bulunduğu yerel ağdaki tüm bilgisayarlara bulaşma ihtimali vardır. Bu yüzden bir şirket ne kadar büyükse WannaCry’dan o kadar etkileniyor.
FİDYEYE RAĞMEN SİLİNEBİLİR
WannaCry farklı birçok dosya uzantısını şifreleyebiliyor. Bunların içerisinde Office dosyaları, fotoğraflar, videolar, arşivler ve diğer önemli kullanıcı verileri içerebilecek dosyalar yer alıyor. Şifrelenen dosyaların uzantısı ,WCRY oluyor ve dosyalar tamamen erişilemez oluyor. Daha sonra Trojan masaüstü duvar kağıdını, kullanıcıların dosyalarını geri almak için yapması gerekenleri belirten bir bilgilendirme yazısı ile değiştiriyor. WannaCry bu bildirim yazısmı metin halinde de dosyalara yerleştirerek kullanıcının mesajı gördüğünden emin oluyor.
Sıra fidye talep etmeye geliyor. Korsanlar fidyeyi aldıktan sonra dosyaları açacaklarını iddia ediyorlar. Genel olarak korsanlar böyle durumlar için 300 dolar değerinde Bitcoin talep ederler ancak WannaCry’ın yaratıcıları 600 dolar değerinde Bitcoin talep ediyor. Ayrıca kurbanlara üç gün içerisinde fidyenin artacağını, dahası yedi gün sonra dosyaların kurtarılmasının imkansız olacağını haber veriyor. Uzmanlar fidyeyi ödemeyi tavsiye etmiyor çünkü dosyaların geri alınabileceğinin garantisi yok. Geçmiş örneklere de bakarsak, fidye ödenmesine rağmen kullanıcıların dosyalarının silindiği görülüyor.
KUZEY KORE’Yİ İŞARET EDİYOR
Dünyayı sarsan siber saldırının arkasında kimin olduğu sorusu da hala gündemde. En çok konuşulan teorilerden biri fidye yazılımının arkasında Kuzey Kore bağlantılı La-zarus Group’un olabileceği. Ancak deliller bu suçlama için yeterli değil. Lazarus Group, 2014 yılında Sony Picture’in hacklenme-si ve 2016 yılında Bangladeş Merkez Banka-sı’ndan 81 milyon dolar çalınması olaylarıyla ilişkilendiriliyor. Lazarus’un Çin kökenli olmakla birlikte Kuzey Kore adına hareket eden bir hacker grubu olduğu düşünülüyor.
Google’ın güvenlik araştırmacısı Neel Mehta’nm Wannacry kodunu incelerken fark ettiği bir detay, siber saldırının arkasında bu grubun olabileceği iddialarının gündeme gelmesine sebep oldu. Mehta’nm Wan-naCry yazılımı ile geçmişte Lazarus Group saldırılarında kullanılan bilgisayar kodu arasında benzerlikler bulması, saldırının Lazarus Group tarafından düzenlendiğine dair şüpheleri artırıyor. Mehta, Twitter mesajında, WannaCry içinde bulunan zaman damgasının Çin’in de içinde bulunduğu UTC+9 (Eş Güdümlü Evrensel Zaman) aralığına göre düzenlenmiş olduğuna dikkat çekiyor. Ayrıca, fidye metninin İngilizcesi makine tarafından tercüme edilmiş gibi dururken, metnin Çincesi ise anadili Çince olan biri tarafından yazılmış. Kaspersky ise, WannaCry kodu ve Lazarus Group’un kodu arasındaki benzerliği şöyle yorumluyor:
“Mehta’nm keşfi şu ana dek WannaCry’ın kökeni ile ilgili ortaya çıkmış en önemli ipucu. Ancak kesin bir sonuca varmadan önce daha çok bilgi edinilmesi gerek. Örneğin, Kuzey Kore Sony Pictures’ın hacklendiği olayla bir bağlantısı olduğunu hiçbir zaman kabullenmedi. ABD hükümeti ve güvenlik uzmanları da bu saldırının Kuzey Kore tarafından gerçekleştirildiği konusunda hemfikir olmalarına rağmen, yanılma ihtimalleri bulunduğunu göz ardı etmiyorlar. Çünkü becerikli hacker’lar saldırının kökeninin Kuzey Kore olduğuna inanılmasını sağlayarak bir sahte bayrak numarası yapmış olabilirler. WannaCry örneğinde, hacker’ların Lazarus Group’un önceki saldırılarını inceleyerek onların kullandığı bilgisayar kodunu kopyalamış olma ihtimali de bulunuyor.”
HEDEF ŞAŞIRTMAK İÇİN OLABİLİR
Yazılımdan zarar gören ülkeler arasında Çin de bulunuyor. Kuzey Kore’nin en güçlü müttefikine bu şekilde zarar vermesi beklenir bir davranış değil. Buna ek olarak, Kuzey Kore şu ana dek düzenlediği siber saldırılarda genellikle politik bir hedefi göz önünde bulundurarak stratejik noktalan hedef alıyordu. Sony Pictures örneğine baktığımızda, hacker’lar Kuzey Kore lideri Kim Jong-Un’u hedef alan “The Interview” filminin gösterime girmesine engel olmaya çalışıyordu.
WannaCry ise tüm bilgisayarlara yayılmaya çalışan bir yazılım. WannaCry’m amacı para kazanmak ise, bu konuda da oldukça başarısız olduğu söylenebilir. Suçluların kullandığı Bitcoin hesaplarındaki aktiviteye bakıldığında yazılımın şu ana dek sadece 60 bin dolar fidye toplamayı başardığı görülüyor. Kim bilir, belki de yazılımın fidye talebi bir hedef şaşırtma taktiğidir. Son olasılık ise Lazarus Group’un Kuzey Kore’den direktif almayan ve tek başına çalışan bir organizasyon olması.
NÜKLEER PROGRAMLARA TEHDİT
Bu arada kendilerine Shadow Brokers diyen bir korsan grup, yeni saldırı dalgalarının geleceğini duyurdu. Açıklanan listede ülkelerin nükleer programlarına ilişkin veriler de var. Shadow Brokers, Swift banka ağından veri çaldığını ve Çin, İran, Kuzey Kore ve Rusya’ya ait nükleer silah programlarını elinde bulundurduğunu, bunları ücret karşılığında satacağını söylüyor. Önümüzdeki aylarda bunların bir bir ortaya çıkarılacağını belirten grup, çok sayıda güvenlik açığı keşfettiklerini bildirerek bunları değerlendireceğini açıklıyor. Hacker grubu, bu işi aylık veri dökümü şeklinde yapacak ve bu sırlara ulaşmak isteyen korsanlara sırlan satacak. Korsanlar ise güvenlik açıklarını kullanan zararlılar geliştirerek fidye için kullanabilecek.
Shadow Brokers özellikle Haziran ayında ortalığa saçacakları verilerle ilgili tehditlerde bulunuyor. Yeni dalgalara “wine of month club” (aym kulüp şarabı) diyen grup, her ay yeni bir dalgayla adını duyuracağını iddia ediyor. Shadow Brokers çeşitli tarayıcılar, cep telefonları ve özellikle Windows 10’un güvenlik açıklarını çözdüğünü de açıklıyor. Shadow Brokers grubunun kim ya da kimlerden oluştuğu, kime çalıştıkları şu an için bilinmiyor. Ancak grupla ilgili en önemli söylentilerden biri, grubun Trump’m hayal kırıklığına uğramış eski taraftarları olduğu yönünde. Grubun anti-küreselleş-me, anti-sosyalizm taraftarı olduğu iddia ediliyor. Rusya ile de bağlantılı olabileceği iddia edilen grup, ABD’nin Suriye saldırısının ertesi günü ABD Başkanı Donald Trump’a ‘uyarı’ yayınlayarak saldırıyı kınamıştı.
KAPATMA DÜĞMESİNİ BULDU
İlk dalgadaki kadar yoğun olmasa da insanlar hala bu virüsten etkilenmeye devam ediyor. İngiltere’de MalwareTech kod adlı 22 yaşındaki bir araştırmacı WannaCry’ı engellemeyi başardığını açıkladı. Bunun biraz da şans eseri olduğu dile getiriliyor. Malwa-reTech, zararlı yazılımın her bilgisayara bulaştığında belirli bir internet adresine bağlanmaya çalıştığını fark etti. Rastgele harflerden oluşan bu uzun adresin aslında var olmadığını fark eden araştırmacı, 10 dolara bu alan adını satın alarak gelecek bağlantılardan virüsün kaç bilgisayara ve hangi ülkelere bağlandığını ortaya çıkarmak istedi. Fakat bu hamle, beklenmedik bir şekilde yazılımın içindeki bir kodu tetikleyerek yayılmasını sonlandırdı.
“Kapatma düğmesi” olarak da bilinen bu tür kodlar, bazı zararlı yazılım yaratıcıları tarafından işler kontrollerinden çıkarsa yazılımın yayılmasını engellemek için kullanılıyor. Ancak düğmenin bulunmuş olması tehlikenin geçtiği anlamına gelmiyor. Bu arada 22 yaşında bir gencin bunu evinde otururken ortaya çıkarmış olması, dünya kamuoyunda özellikle dev şirketlerin konum ve otoritelerinin sorgulanmaya başlamasına da neden oldu. Avrupa kamuoyuna bakılırsa bu savaş, kurumsallığa karşı sıradan insanların verdiği bir savaş haline gelebilir. Ayrıca bu süreç, “hizmet olarak zararlı” olgusunun kabaca vücut bulmuş hali olarak da değerlendirilebilir.
“TÜRKİYE SALDIRIYA HAZIRLIKLIYDI”
Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanı Ömer Fatih Sayan konuyla ilgili şu açıklamayı yapmıştı: “Uzmanlarımız, saldırının şeklinin ve yönteminin değişebileceğini bildiriyor. BTK Ulusal Siber Olaylara Müdahale Merkezi (USOM) olarak WannaCry adlı siber saldırısı öncesinde mart ve nisan aylarında Windows sistemlerinde bulunan kritik SMB zafiyetinin oluşturduğu yaygın riski öngörerek detaylı çalışmalar yaptık. İşte bu çalışma, Türkiye’de yaşanabilecek zararların en aza indirilmesini sağladı. Sistemdeki açık ve zafiyete karşı önleyici çalışmalar kapsamında 21 Mart’ta yaptığımız duyurunun ardından, Türkiye genelinde 16 milyondan fazla makineyi taradık. Bu taramalarımızda açığı tespit edilen 28 bin 79 sistemle ilgili sistem yöneticilerini ve kullanıcılarını uyardık. Sistem yöneticilerinin Windows sistemleri güncellemelerini (MS17-010) ivedilikle yapması, Windows dosya paylaşım servisi olan SMB’nin kullanılmadığı durumlarda kapatılması, kullanıcıların güncel antivirüsler kullanması, merak uyandıran phis-hing e-postalarma karşı dikkatli olunması ve eklerinin kesinlikle açılmaması gerekiyor.”
POS CİHAZLARI VE ATM’LERE DİKKAT
WannaCry fidye yazılımının tam 176 farklı dosya türünü kilitlediği biliniyor. Güvenlik yazılımları firması Trend Micro, Türkiye’de WannaCry bağlantılı 166 çeşit fidye yazılımı tespit edip engellediklerini açıklıyor. Firmanın araştırma bölümü TrendLabs’in 2017 öngörü raporuna göre, 2017’nin fidye yazılımların yılı olacağı beklenen bir gelişmeydi. Yine TrendLabs’in sunduğu 2016 değerlendirme raporunda da 2016’nm fidye yazılım çeşitliliğinde yüzde 752 oranında artış olduğu açıklanmıştı.
Trend Micro açıklamasına göre, WannaCry fidye yazılımı saldırı en çok sağlık, üretim, enerji (petrol ve gaz), teknoloji, gıda ve içecek, eğitim, kamu, medya ve iletişim sektörlerini vurdu. 2017’de ise POS cihazları ve ATM’ler de fidye yazılımların hedefinde olacak. Firmanın tahminlerine göre 2017 yılında, fidye yazılımlarının özellikle nesnelerin interneti platformlarının yanında, POS cihazları ve ATM’ler başta olmak üzere PC dışındaki platformlara da yayılması tehlikesi mevcut.
YERLİ YAZILIM ŞART
Tüm dünyayı tehdit eden siber saldırı “yerli yazılım” kullanımını bir kez daha akıllara getirdi. Yüzde 100 milli sermayeyle kurulan ve sektörde 500’den fazla kurum ve kuruluşa hizmet veren CPM Ya-zılım’ın Yönetim Kurulu Başkanı Recep Palamut, milli yazılımların bir ülke meselesi olduğunun altını çiziyor. Stok takibinden malzeme ihtiyacına, planlamadan risk yönetimine, krediler ve yasal defterlerden uluslararası raporlamaya ve kalite yönetiminden toplam verimlilik yönetimine kadar birçok sistemin bir arada çalıştığı entegre sistemler bütünü olan ERP, bir şirketin en önemli bilgilerini içinde barındırıyor. Bu tarz bilgilerin yurtdışı kaynaklı şirketlerin elinde olmasının tehlikeli olduğunu söyleyen CPM Yazılım Yönetim Kurulu Başkanı Recep Palamut şunları aktarıyor:
“Yaşanan WanaCrypt0r 2.0 siber saldırısı yazılım konusunda ülke olarak ne kadar dikkatli davranmamız gerektiğini tekrar hatırlattı. Yazılımın ülke ekonomisine katkısının yanı sıra ülke güvenliğine olan katkılarının da altını çizmemiz gerektiği bir dönemdeyiz. Yazılımlar şirketlerin ve hatta ülkelerin anahtarlarıdır. Bu tarz bilgilerin yurtdışı kaynaklı şirketlerin elinde olmasının ülkemiz açısından yarattığı tehlikeyi 15 Temmuz’da maalesef ki tecrübe ettik. Şu an dünyada yaşanan siber saldırı yerli yazılım kullanmanın önemini tekrar gündeme getirdi. Milli olmayan yazılımları tercih eden şirketler her zaman bu tehlikelerle karşı karşıya kalmaya devam edecektir. Milli yazılımın önemi o kadar arttı ki yabancı yatırımlar yerli yazılım şirketlerini satın almak için adeta sıraya girdiler. Özellikle ABD, Almanya ve Ingiltere başta olmak üzere dünyanın dört bir tarafmdan yerli yazılım firmalarına teklif yağıyor. Peki neden? Yazılımlar firmaların yatak odaları gibidir. Türkiye’de birçok önemli kamu ve özel sektör kuruluşları yabancı sermayeli firmalar ile çalışmakta. Özellikle kritik konumdaki kamu kuruluşlarının milli yazılımları tercih etmeleri hem ülke menfaatleri hem de gizlilik açısından önem taşıyor.”
“AĞDAN AYRI YEDEKLEME OLMALI”
EY Türkiye Danışmanlık Bölümü Direktörü Ümit Şen ise, “Etkilenen cihazların kurum ağmdan ayırılınası gerekiyor. Daha sonra çevrim dışı olarak yedekleri alınmalı. Zira bu yedekler çevrim içiyken alınırsa, tekrar saldırıya maruz kalarak şifrelenme riski bulunuyor” diyor.
Adli Teknoloji ve Keşif Hizmetleri Bölümü Kıdemli Müdürü Can Genç ise, “İş sürekliliği planı etkinleştirilmeli. Muhtemel sigorta talepleri, davalar, tehdit istihbaratı, kanun koyucu ve otoritereler için yapılacak raporlamalar ve/veya kamuya yapılması gereken duyurular uyarınca hazırlanmalı” diyor.
Önlem için ne yapmalı?
Antıvırus yazılımları firması ESET, tüm dünyayı sarsan WannaCry siber saldırısı
karşısında bilgisayarınızı kontrol edebilecek ücretsiz bir denetleyici yayınladı. Bu denetleyici, bilgisayarınızdaki Windows sisteminde, en son WannaCry saldırılarında kullanılan EternalBlue açığına karşı yamaların yüklü olup olmadığını kontrol ediyor. Şu linki tıklayarak bilgisayarınızı kontrol edebilirsiniz: https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe
Yüklendikten sonra ‘Çalıştır1 butonunu tıklayın. Program, güvenlik taramasını yaptıktan sonra karşınıza şu yazı çıkıyorsa, güvendesiniz: ?Your Computer is safe. Microsoft security update is already installed.” Eğer ?Your Computer is vulnerable? yazısı çıkıyorsa sisteminizde güvenlik açığı var demektir, yani risklere açıksınız.
Peki, ne yapmalı? Microsoft’un yayınladığı güvenlik güncellemesini yükleyin. Şu linkten, sisteminize uygun yama linklerini bulabilirsiniz: http://www.catalog.update.microsoft.com/search.aspx?q=4012598
Microsoft güvenlik güncellemesini yaptıktan sonra bilgisayarınızı yeniden başlatın ve EternalBlue Açık Denetleyicisi ile aynı kontrolü tekrar yapın.
ÜRÜN DİRİER
