Bu yıl, yıkıcı siber saldırılarda azalma olmadı. İşte son 12 ayda dünya genelinde birçok hedef noktasını etkileyen en kötü bilgisayar korsanlığı ve veri ihlallerinin özeti
Bu yıl küresel ekonomi, bir krizden diğerine sürüklenerek altüst oldu. COVID-19 nihayet birçok bölgede azalmaya başladığında, bunun yerini artan enerji faturaları, yükselen enflasyon ve bunun sonucunda ortaya çıkan hayat pahalılığı aldı. Bunların bir kısmı Rusya'nın Ukrayna'yı işgal etmesinin sonucuydu. Nihayetinde, bu gelişmeler finansal güdümlü ve devlet destekli tehdit aktörleri için yeni fırsatların kapılarını açtı.
Bu aktörler, hiçbir cezayla karşılaşmadan hükümetleri, hastaneleri, kripto para şirketlerini ve birçok diğer kuruluşu hedef aldı. Bir veri ihlalinin maliyeti şu anda yaklaşık 4,4 milyon ABD dolarıdır ve tehdit aktörleri aşağıdaki gibi başarılar elde etmeye devam ettiği sürece, 2023 için bu maliyetin daha da artmasını bekleyebiliriz.
İşte verdikleri hasar, karmaşıklık düzeyleri veya jeopolitik etkileri açısından yılın en kötü 10 siber olayı. Liste belli bir sıralama ölçütü taşımıyor, ancak listeyi Ukrayna’yı hedef alan ve hemen ardından ortaya çıkan daha büyük etkileri ile dünya genelinde karşılaşılan siber riskler konusunda endişe uyandıran kötü amaçlı siber saldırıları göz önüne alarak yorumlamak mantıklıdır.
1. (Siber) saldırı altındaki Ukrayna: Ukrayna’nın kritik altyapısı bir kez daha kendini tehdit aktörlerinin hedefinde buldu. Rusya işgalinin başlarında ESET araştırmacıları, ülkenin elektrik şebekesini hedefleyen ve yüksek voltajlı elektrik trafo merkezlerine karşı kullanılan Sandworm isimli yıkıcı kötü amaçlı yazılımı da içeren bir saldırıyı etkisiz kılmak için CERT-UA ile yakın bir şekilde iş birliği yapmıştır. 2016’da Ukrayna’da elektriği kesmek amacıyla bir grup tarafından kullanılan kötü şöhrete sahip bir yazılım türünden sonra ESET’in Industroyer2 olarak adlandırdığı söz konusu yazılım, yıkıcı CaddyWiper veri temizleyicisinin yeni bir türü ile birlikte büyük ihtimalle saldırının arkasındaki grubun izini gizlemek, olaya müdahale edilmesini yavaşlatmak ve elektrik firması operatörlerinin ICS konsollarının kontrolünü tekrar sağlamasını önlemek için kullanılmıştır.
2. Daha çok veri temizleyici saldırısı: CaddyWiper, Rusya işgalinin hemen öncesinde veya ilk haftalarında Ukrayna’da tespit edilen tek yıkıcı veri temizleyici değildi. 23 Şubat’ta ESET telemetrisi, Ukrayna’daki birkaç kuruma ait yüzlerce cihazda HermeticWiper veri temizleyicisini tespit etti. Ertesi gün, bir Ukrayna hükümet ağına karşı ikinci bir yıkıcı, veri silme saldırısı başladı ve bu sefer IsaacWiper ortaya çıktı.
3. İnternetin yavaşlatılması: İşgalden yaklaşık bir saat önce ticari uydu internet şirketi Viasat’a yönelik gerçekleştirilen büyük bir siber saldırı, Ukrayna’daki ve Avrupa’nın diğer yerlerindeki yüzlerce insanın kullandığı geniş bantlı internet hizmetini aksatmış ve geride bir işe yaramayan binlerce modem bırakmıştır. Uydu ağ sisteminin yönetim bölümüne erişim sağlamak amacıyla yanlış yapılandırılmış bir VPN hizmetinin kullanıldığı söz konusu saldırı ile işgalin ilk saatlerinde Ukrayna komuta kademesinin haberleşme yeteneklerinin bozulmasının amaçlandığı düşünülmektedir. Ancak bu saldırının etkileri sadece Ukrayna ile sınırlı kalmamıştır.
İLGİLİ MAKALE: ESET Tehdit Raporu T1 2022
4. Kosta Rika’da Conti saldırısı: Bu yıl kayıt dışı siber suç dünyasının bir büyük oyuncusu da hizmet olarak fidye yazılımını (RaaS) kullanan Conti grubu olmuştur. Bu grup, en ciddi saldırılarından birini küçük bir Güney Amerika ülkesi olan Kosta Rika’ya karşı gerçekleştirmiş ve hükümet bu sarsıcı saldırıyı “siber terörizm” olarak adlandırdıktan sonra ulusal acil durum ilan etmiştir. Conti grubunun üyeleri muhtemelen başka projelere odaklansalar ya da kendilerine tümüyle yeni bir isim vermiş olsalar bile RaaS saldırıları genellikle emniyet güçlerinin ve hükümetlerin denetlemesinden kaçtığı için grup bu saldırının ardından kayıplara karışmıştır.
5. 2022’de diğer fidye yazılım aktörleri de harekete geçti. Eylül ayına ait bir CISA uyarısı, İran bağlantılı tehdit aktörlerinin diğer hedeflerinin yanı sıra ABD’deki bir yerel yönetime ve havacılık şirketine saldırı düzenlediğini açıkladı. Bu saldırıda, devlet destekli kuruluşlar için pek de yaygın olmayan bir şekilde fidye yazılımı saldırıları için kötü üne sahip Log4Shell hatası kullanılmıştır. Aynı zamanda Kasım ayında ABD’deki hükümete yönelik gerçekleşen bir saldırı için de İran’ın suçlanması şaşırtıcıdır. İsmi açıklanmayan bir Federal Sivil Yönetim Organı (FCEB) kuruluşu veri ihlaline maruz kalmış ve bu saldırıda kripto para madenciliğine yönelik bir kötü amaçlı yazılım kullanılmıştır.
İLGİLİ MAKALE: ESET APT Faaliyet Raporu D2 2022
6. Ronin Network, Vietnamlı blok zincir oyun geliştiricisi Sky Mavis tarafından Axie Infinity oyunu için Ethereum yan zinciri olarak oluşturuldu. Mart ayında bilgisayar korsanlarının ele geçirilmiş özel şifreleri kullanarak iki ayrı işlemle Ronin Bridge’den 173.600 Ethereum (592 milyon ABD doları) ve 25,5 milyon ABD doları tutarında para çektiği ortaya çıktı. Ortaya çıkan, Mart ayı fiyatlarıyla 618 milyon ABD doları tutarındaki hırsızlık, bir kripto firmasından şimdiye kadarki en büyük hırsızlık oldu. Kötü üne sahip Kuzey Koreli grup Lazarus, saldırıdan itibaren olayın arkasındaki isim olarak gösterilmektedir. Ortalıklarda görünmeyen ve izine aynı zamanda geçmişteki milyar dolar tutarındaki hırsızlık olaylarında da rastlanan grup, bu olayları nükleer ve füze programlarını fonlamak için kullanmıştır.
7. Lapsus$ 2022’de bir şantaj grubu olarak adını duyurmuş ve kurumsal kurbanlarından zorla ödeme alabilmek için yüksek profilli veri hırsızlıklarını kullandı. Söz konusu kurumsal kurbanları arasında Microsoft, Samsung, Nvidia, Ubisoft, Okta ve Vodafone var. Kullandıkları yöntemler arasında ise firmalardaki veya yüklenicilerdeki kişilere rüşvet vermek yer alır. Grup bir süre boyunca nispeten sessizliğini korumuş olsa da Grand Theft Auto’nun geliştiricisi Rockstar Games’e saldırarak yılın sonunda tekrar ortaya çıktı. İddiaya göre grubun birkaç üyesi Birleşik Krallık ve Brezilya’da tutuklanmıştır.
8. Uluslararası Kızıl haç Komitesi (ICRC): Ocak ayında ICRC, 515.000’den fazla “oldukça savunmasız” kurbanların kişisel bilgilerini tehlikeye atan büyük bir veri ihlalini bildirdi. İsviçreli bir yükleniciden çalınan veriler arasında çatışma, göç ve doğal afet gibi nedenlerle ailelerinden ayrılan kişilerin, kayıp kişiler ile bunların ailelerinin ve gözaltındaki kişilerin bilgileri yer alıyor. Daha sonrasında olayın faili olarak ismi açıklanmayan bir ulus devlet gösterilmiş ve olayın yama uygulanmamış bir sistem kullanarak gerçekleştiği belirtilmiştir.
9. Uber: Paylaşımlı yolculuk uygulaması devi, 2016’da 57 milyon kullanıcının bilgilerinin çalınmasıyla büyük veri ihlalleri arasında adını duyurdu. Eylül ayında Uber, muhtemelen Lapsus$ grubu üyesi bir bilgisayar korsanının e-posta ve bulut sistemlerini, kod havuzlarını, kurum içi Slack hesabını ve HackerOne biletlerini ihlal ettiğini bildirdi. Söz konusu tehdit aktörü, Uber’in bir dış yüklenicisini hedef almış ve bunu da büyük ihtimalle karanlık ağdan bu kurumun kurumsal şifresini ele geçirerek yapmıştır.
10. Medibank: Fidye yazılımı aktörleri, Avusturyalı sağlık sigortası devinin dört milyon müşterisinin tüm kişisel verilerini firmaya 35 milyon ABD dolarına mal olan bir saldırı ile ele geçirdi. Sorumluların, ilk erişimden sorumlu, tehlikeye atılmış ayrıcalıklı kimlik bilgileriyle kötü şöhretli bir hizmet olarak fidye yazılımı (RaaS) grubu REvil (namı diğer Sodinokibi) ile bağlantılı olduğuna inanılıyor. Saldırıdan etkilenenler, devamında kimlik hırsızlıklarıyla ciddi oranda karşılaşabilir.
2023’de yaşanabilecek olaylar için bu 10 büyük olaydan ders çıkararak alınabilecek önlemlerden bazıları Bilgi Güvenliği Başkanları (CISO) da dahil olmak herkesin işine yarayacaktır. Siber güvenlik süreçlerinizi ve operasyonlarınızı doğru planlayın, tüm çalışanlar için siber güvenlik farkındalık eğitimleri düzenleyin ve sundukları çözümlerle tehdit aktörlerinin karmaşık yöntemlerine karşı başarılı bir şekilde mücadele eden saygın güvenlik şirketleri ile iş birliği yapın.
AYRILMADAN ÖNCE: Siber Güvenlik Tehditleri 2023: Hibrit yaşamlarımızı korumak