Son vakit içinderda dikkatinizi kesinlikle çekmiş olmalı: Siber hatalılar içindeki trendler evvelki senelera nazaran oldukça değişti. Kaseya’ya yönelik yapılan taarruzlara değinmeden hemilk evvel, durumu daha yeterli anlayabilmek için siber hatalıların mantalitesine, fidye yazılımlarının trend oluşuna kadar olan sürece özetlemek gerekirse göz atmakta fayda var.
Evvelden saldırganlar daha epey ideolojik emellerle sistemlere ziyan verirken, 2010 ve daha sonrası ortaya çıkan yeni kuşak diyebileceğimiz bilgisayar korsanları bu yeteneklerini para kazanma maksadıyla kullanmaya başladı. Bunun kararında ise evvelki senelera yani 2000’lerin başlarına kıyasla çeşitli gayelerle “vahşi ortama” bırakılan ziyanlı yazılımların sayısında inanılmaz artışlar meydana geldi: Bankacılık zararlıları, casus yazılımlar, botnetler, maksatlı zararlılar ve dahası…
Ancak bir tıp daha vardı ki dijitalleşmenin evvelki vakte kıyasla daha az olmasından mütevellit, şu ana kadar epey fazla örneği görülmemiş ve duyulmamıştı. Fidye yazılımları işte tam da dijitalleşme trendinin başladığı 2010’lu yılların ortalarında daha hayli görülmeye başlandı. CryptoLocker, CryptoWall, GoldenEye olarak bilinen Petya fidye yazılımı taarruzları üzere olaylar siber hata sanayisinin yavaş yavaş bu tarafa kaydığını açıkça ortaya koyuyordu. Gerçekten 2017 yılında “WannaCry” ile yaşanan siber pandemi yüzünden milyonlarca şirketin ziyana girdiği, zararlıyı geliştirenlerin milyonlar, tahminen de milyarlarca dolar fidye elde ettiklerine şahit olduk.
Ancak çoklukla bu üslup ataklarda, ziyanlı yazılımın dağıtımı direkt zararlının geliştiricisi tarafınca yapıldığı için kolluk kuvvetleri tarafınca yakalanma ve istenilen tesire ulaşamama durumu ortaya çıkıyordu.
Bunun sonucunda kimi zeki saldırganlar, geliştirdikleri zararlıları botnetler aracılığıyla yayma yolunu tercih ettiler. Botnet operatörlerine ele geçirdikleri sisteme fidye yazılımlarını yükleme karşılığında elde edilecek olan paradan kurul vereceklerini söylemiş olduler. Bunun sonucunda fazlaca kısa bir süre içerisinde fidye yazılımı çeteleri fazlaca fazla sayıda sistemi etkileyebiliyor, bununla birlikte süratli bir kar elde ediyordu.
Günümüzde ise büyük ölçekli çalışan siber fidye çetelerinin çalışma biçimi az daha değişiklik göstermeye başladı. Olağan kullanıcılardan çok daha hayli şirketleri hedefleyen REvil, DarkSide üzere çeteler direkt kendilerini riske atmamak ve daha fazla kâr elde etmek ismine RaaS (Ransomware as Service) hizmetleri kurmaya başladılar. Yasal SaaS hizmetlerine emsal biçimde, fidye yazılımı hizmetleri satıldı. Her geçen gün farklı farklı şirketin, farklı farklı RaaS müşterilerine para kazandırmak için hedeflendiğini gördük.
Bu sefer ise saldırganlar daha gelişmiş teknikler kullanmaktan çekinmedi diyebiliriz. Çoklukla yalnızca devlet takviyeli hacker kümeleri tarafınca yapılan akınlarda kullanılan bir prosedür olan supply-chain yani tedarik zinciri saldırısının bir fidye yazılımı çetesi tarafınca kullanıldığına birinci kere şahit oluyoruz. birebir vakitte bu bahsetmiş olduğumiz olayın Kaseya üzere epey büyük bir şirketin üstünden yapılmasına.
Kaseya memleketler arası olarak İrlanda, Dublin merkezli bir teknoloji firması. Amerika’da ise Miami ve Florida’da bulunuyor. 10 ülkede varlığını sürdüren büyük bir yazılım geliştiricisi olduğunu söyleyebiliriz.
Kaseya daha epey IT bölümüne yani bilişim dalına yönelik yazılımlar geliştirdiği için en tanınan yazılımı VSA diyebiliriz. VSA, Kurumsal alanda sunucuların, sistemlerin durumunu takip emeliyle kullanılan uzaktan sistem izleme/monitoring ve takip yazılımı. Ayrıyeten şirket sadece VSA eseriyle değil, sunmuş olduğu profesyonel hizmetler ve otomasyonlarla da biliniyor.
Firmanın son kullanıcıya hitap eden rastgele bir yazılımı olmadığı üzere, tüm yazılımları sırf işletmeler ve hizmet sağlayıcıları düşünülerek geliştirilmiş. Dünya çapında 40.000’den çok şirketin en az bir Kaseya tahlilini kullandığı biliniyor. Başka şirketlere de çeşitli alanlarda takviye veren hizmet sağlayıcılar yani MSP’lere de yönelik teknolojiler sağladığı için, Kaseya yazılımlarını kullanan ve kullanmayan herkese yönelik uzun bir tedarik zincirinin merkezinde yer alıyor diyebiliriz.
Takvimler 2 Temmuz 2021 tarihini işaret ettiğinde saat 14.00’te Kaseya CEO’su Fred Voccola bir açıklamada bulundu. VSA’ya karşı bir akın yapıldığı ve bu hücum niçiniyle az sayıda şirketin de potansiyel olarak etkilendiği duyuruldu. Voccola tarafınca yapılan açıklamada ayrıyeten Kaseya VSA hizmeti müşterilerinin kullanmış olduğu VSA sunucularını ivedilikle kapatmaları gerektiği de söylendi. Kaseya yöneticisi “Bunu en kısa vakit içerisinde yapmanız fazlaca kıymetli zira saldırganlar birinci vakit içinderda yöneticilerin VSA’ya erişimi kapatıyorlar” diye durumu izah etti.
Daha olayın ne olduğu anlaşılamamışken olaydan etkilenen müşteriler ve hizmet sağlayıcıları mailler, telefon görüşmeleri, bildirimler üzere çeşitli kanallar vasıtasıyla bilgilendirilmeye başlandı.
Ayrıyeten Kaseya’nın kriz idaresi ile ilgilenen “Kaseya Incident Response” takımı olayı araştırırken, taarruzların daha geniş yüzeye yayılmaması için SaaS sunucularını kapatıp bilgi merkezlerini büsbütün çevrimdışı pozisyona getirmeye karar verdi. 4 Temmuz tarihinde yapılan açıklamada ise olayın ciddiyetinin farkında olup kendilerinin pek uygun planlanmış “sofistike ve gelişmiş bir siber saldırının” mağduru olduklarını söylemiş oldu.
FireEye şirketinin bünyesinde bulunan ve isimli bilişim manasında büyük yükü bulunan Mandiant takımı de sorunu çözmek hedefiyle Kaseya’ya takviye vermeye başladı. Kaseya tarafınca yapılan açıklamada ise sorunu bütün coğrafyalarda çözmek için 7/24 çalışılmaya devam edildiği söylendi. Ayrıyeten sundukları SaaS tahlillerinin etkin hale gelmesi için daha fazla vakte gereksinimleri olduğunu belirttiler.
FBI tarafınca yapılan tanıma bakılırsa, Kaseya VSA yazılımında bulunan bir güvenlik açığı birden çok hizmet sağlayıcının müşterilerine karşı kullanılarak bir tedarik zinciri saldırısı gerçekleştirildi.
Güvenlik literatüründe “supply chain attack” ismi verilen bu metot saldırganların direkt maksatlarına saldırmak yerine, gayenin hizmet aldığı kuruluşları etkileyerek dolaylı yoldan da olsa sistemleri ele geçirmeye dayanan bir teknik. Daha hayli devlet dayanaklı gelişmiş tehdit kümelerinin kullandığı bu şekil gelişmiş atakların fidye yazılımı çetelerince uygulanmaya başlaması pek garip diyebiliriz.
Siber güvenlik firmalarına bakılırsa Kaseya’daki duruma yol açan şey, saldırganların kimlik doğrulama etaplarında yer alan güvenlik açıklarını kullanarak doğrulanmış hesaplara erişmesi ve SQL injection hücumları sayesinde veritabanı sisteminde bulunan geniş yetkileri kullanarak sistemde kod yürütmesiydi. SQL injection atakları yalnızca veritabanından bilgi almak için değil ayrıyeten gereğince ayarlanmamış veritabanı yetkileri kelam mevzusuysa tüm sistemde uzaktan komut çalıştırmayı mümkün hale getiriyor.
Huntress’in CEO’su Kyle Hanslovan, atak hakkında 6 Temmuz 2021’de düzenlenen bir web seminerine katılan iştirakçilere tehdit aktörlerinin pek verimli teknikler izlediğini belirtti. Tehdit aktörlerinin VSA sayesinde kaç tane işletmeyi maksat aldıklarının bilinmediğini lakin saldırganların güya vakte karşı bir yarış ortasındaymış üzere davrandığını belirtti.
Güvenlik devlerinden Sophos, yayınlamış olduğu raporda bir VSA sunucusunun asıl maksadının yazılım dağıtımı ve bilişim bakılırsavlerinin otomasyonu olduğu için Kaseya müşterisi olan bu şirketlerin sunucu ve ekipmanlara yüksek seviyede inanç duyduğunu, saldırganların da bunu bilerek VSA sunucularına sızdığını belirtiyor. Bir saldırganın VSA sunucularına sızması durumunda istemcilerin VSA sunucularının talep ettiği her nazaranvi yapacağını da belirtiyor.
bir daha bir öbür siber güvenlik uzmanı olan Kevin Beaumont’a bakılırsa bu fidye yazılımı, sistemleri ele geçiren saldırganlar tarafınca “Kaseya VSA Agent Hot-Fix” isminde uydurma bir Kaseya güncellemesiymiş üzere aygıtlara gönderilip bulaştırılmış. Beaumont, REvil fidye yazılımını içeren bu düzmece güncellemenin MSP’ler yani hizmet sağlayıcılar sayesinde onların da müşterilerine yayıldığını söylemiş oldu. Maalesef dolaylı yoldan da olsa Kaseya müşterisi olmayan kuruluşlar da bu hücumdan etkilendi.
Huntress firması RiskIQ ile yaptığı çalışma kararında hücumun başladığı nokta olarak kullanılması olası görülen bir AWS IP adresini de yardımcı olabileceği fikriyle araştırmaya aldı. bununla birlikte 5 Temmuz tarihinde Kaseya tarafınca hücuma ait bir genel bakış yazısı yayınlandı. Şirket tarafınca makûs hedefli yazılımın daha fazla yayılmasını engellemek hedefiyle şirket içi müşterilere VSA sunucularını kapatmaları için çeşitli kanallar yoluyla bildirimler gönderildiği ve VSA SaaS hizmetinin durdurulduğu bilhassa belirtiliyor.
Firmaya nazaran saldırganların kullanmış olduğu bir zero-day yani sıfır gün açığı kimlik doğrulamasını bypass etmek maksadıyla kullanıldı ve sistemde üçüncü parti kod yürütüldü. Sistemler kullanılarak da müşterilere fidye yazılımları bulaştırıldı. Şirket tarafınca ayrıyeten yapılan araştırmalarda saldırganların VSA’nın kaynak kodunu değiştirdiğine dair rastgele bir bulguya rastlanmadı. Yani bütün olay uydurma güncellemelerin gönderilmesiyle gerçekleşti diyebiliriz.
Hollanda’da yer alan DVID (Dutch Institue for Vulnerability Disclosure / Güvenlik Açıkları İfşa Enstitüsü) araştırmacısı Wietse Boonstra daha evvel fidye yazılımı taarruzlarında sıkça kullanılan CVE-2021-30116 kodlu bir güvenlik açığını da tespit etmişti. Bunlar da açıkların ifşası kapsamında raporlanmıştı. DVID, Kaseya ile güvenlik açıklarının ortaya çıkmasından daha sonrasında daima temas halinde olduklarını belirtti. Ayrıyeten ifşa raporundaki hususlar hayli açık ve net olmadığı için kendilerine sık sık sorular sorulduğunu da belirtti. Tüm süreç boyunca Kaseya’nın sorunun düzeltilmesi ve ayrıyeten açıklı sistemlerin yamanması için olağanüstü bir eforla çalıştığının altı çiziliyor.
Kaseya hücumun yaşandığı hafta boyunca SaaS müşterilerinin risk altında olmadığını belirtti. İddialara nazaran direkt şirket içi Kaseya müşterilerinden 40 adedinin etkilendiği düşünülüyor. tıpkı vakitte biroldukca kobi hizmet sağlayıcılar ötürüsıyla etkilendi. Raporlara nazaran İsveç’te yer alan 800 adet süpermarket kasalarını açamadığı için süreksiz müddetliğine kapanmak zorunda kaldı. Huntress’ın Reddit’te yaptığı bir açıklamaya göre aşağı üst 1.000 şirketin sunucuları ve iş istasyonları şifrelendi. Binlerce küçük işletmenin bundan olumsuz etkilendiği açıklandı.
Sophos Lider Yardımcısı Ross McKerchar, akının Sophos’un görmüş olduğu en geniş kapsama sahip fidye yazılımı hücumlarından biri olduğunu söylemiş oldu. Şu anda elde ettikleri delillere nazaran 70’den çok hizmet sağlayıcı ve tıpkı vakitte 350 kuruluşun etkilendiğini belirtti. Mağdur kuruluşların tam sayısının rastgele bir güvenlik şirketinin bildirildiğinden daha yüksek olması bekleniyor.
6 Temmuz’da yapılan varsayımlara göre direkt 50 müşteri, zincirin alt kısmında ise 800 ile 1.500 işletme taarruza uğradı. Kaseya CEO’su Fred Voccola yaşananların güvenliği ihlal edilen az sayıda insan için berbat bir durum olduğunu söylemiş oldu.
Siber taarruz REvil siber çetesinin sızıntıları yayınladığı TOR ağındaki bir web sitesi olan “Happy Blog” üzerinden duyuruldu. Taarruzun yapıldığı hafta sonu blog sayfalarında yaptıkları güncellemeyle Rus ilişkili olduğu düşünülen küme 1 milyondan fazla sisteme ziyanlı yazılım bulaştırıldığını argüman etti.
Ayrıyeten REvil, Bitcoin para ünitesinde ödenmek kuralıyla 70 milyon dolarlık bir pazarlık teklifi sundu. Ödemenin yapılması karşılığında bütün sistemlerin ve şifreli belgelerin açılabilmesini sağlayan şifre çözme anahtarını sunacağını söylemiş oldu.
REvil çetesi daha evvel Quanta Computer, Acer üzere şirketlere yönelik yaptığı siber taarruzlarla da ilişkilendirilmişti.
Lakin hücumun yaşanmasından yaklaşık 1 hafta daha sonra garip bir durum yaşandı. REvil fidye yazılımı kümesi ansızın kayboldu. Aylardır birfazlaca şirkete kasvetler yaşatan bu siber çetenin kaybolmasının niçininin epey fazla dikkat çekmeleri olduğu düşünülüyor. REvil’in gerisinde her kim var ise daha fazla bunu sürdürmek istemedi yahut çemberin daralmasından ötürü korktu diyebiliriz.
REvil çetesine ilişkin Happy Blog’ta Kaseya saldırısına ait yapılan duyuru. – Fotoğraf Kaynağı: Charlie Osborne | ZDNet
Kaseya saldırısından etkilenen sistemlere bulaşan fidye yazılımları belgeleri özel bir anahtar sayesinde şifreleyip, uzantılarını “.csruj” haline getiriyor. Fidye yazılımının operatörleri ödemenin yapılması durumunda bir şifre çözme anahtarı sağlayacaklarını söylüyor. Ayrıyeten bunu kanıtlamak için de bir adet belgenin şifresini fiyatsız çözebileceklerini de belirtiyorlar.
Saldırganlar, fidye yazılımları etkilenen sistemlere bıraktıkları notlarda bunun yalnızca bir iş olduğunu, menfaatleri haricinde rastgele bir kimseyi umursamadıklarını, işlerini ve yükümlülükleri olan hücumları yapmazlarsa kimsenin onlarla iş tutmayacağını belirttiler. Ayrıyeten bu notta taarruzun rastgele bir çıkar için değil, daha çok sundukları hizmet çerçevesinde olduğunu, vakit kaybedilmemesi için fidye karşılığı sunabilecekleri özel anahtarın ellerinde olduğunu da yazdılar.
Kimi firmalardan 44.999 dolar fidye istenirken, kimilerinde ise 5 milyon dolara kadar fidye istendiği görülüyor. Güvenlik araştırmacısı Kevin Beaumont ne yazık ki akına uğrayan şirketlerin rastgele bir tahlil garantisi olmamasına karşın fidye yazılımı operatörleriyle pazarlığa oturduğunu söylüyor.
Sophos yaşananların daha âlâ anlaşılabilmesi ismine REvil fidye yazılımının sistemlerde nasıl etkin hale geldiğini ve şifrelemeyi gerçekleştirdiğine dair bir demo yayınladı.
Kaseya, yaşanan ihlal daha sonrası süratlice aksiyon alarak Federal Araştırma Ofisi (FBI) ve ABD Siber Güvenlik Altyapı Ajansı (CISA) olmak üzere siber güvenlik kuruluşları ve kolluk kuvvetlerine bilgi sağladı.
Hücumdan daha sonra Amerika Birleşik Devletleri Lideri Joe Biden, federal istihbarat teşkilatlarını olayı soruşturmak için yönlendirdiğini duyurdu. Ayrıyeten Beyaz Saray tavrını biraz daha sertleştirerek Biden aracılığıyla Rusya Devlet Lideri Vladimir Putin’i Rusya kaynaklı siber akınlardan ötürü uyardı.
Rusya kaynaklı olduğu düşünülen bu atakları Rusya’nın kendi ortasında halletmemesi durumunda, ABD’nin kendi başına harekete geçip duruma müdahale etme hakkının gizli olduğunun altı çizildi.
ABD lideri Joe Biden tarafınca Rusya devlet lideri Putin’e yapılan ikazlardan daha sonra daha sonra REvil çetesine ilişkin web sitesi kolluk kuvvetlerince ele geçirildi. Genel itibariyle siber ataklarda, saldırganlara ilişkin web sitelerine el konulduğu epeyce az görülen bir durumdur. Saldırganların daha da göz önünden kaybolması istenmediği için bu biçimde bir yol tercih edilmez. Tercih edilmesi durumunda da aslına bakarsanız oldukçatan saldırganlara ulaşılmış olunur.
Kolluk kuvvetleri el koyduğuna göre yalnızca Kaseya saldırısı için değil, REvil çetesi için de sonun yaklaştığını söyleyebiliriz. Çünkü bunun bir nevi REvil çetesi hakkındaki soruşturma sürecinin bitmeye yakın olduğuna dair bir işaret olduğunu düşündüğümüzü belirtmekte fayda var.
Ek olarak ele geçirmedilk öncesinde, Joe Biden’ın Putin’e yönelik yaptığı ihtarlar sonucunda kümenin ABD aykırısı olduğu için inançlı liman olarak gördüğü Rusya devletinin de baskısından korkmasından ötürü fazlacatan ortadan kaybolduğu tez ediliyordu.
Nihayet Kozmik Şifre Çözme Anahtarı Bulundu
çabucak hemen bu uzun yazı hazırlanırken, 22 Temmuz’da Kaseya kozmik bir şifre çözme anahtarı sağlamayı başardığını deklare etti. Bilinmeyen bir “üçüncü taraf” aracılığıyla elde edilen şifre çözme anahtarı zararlıdan etkilenen sistemlerde test edildi ve muvaffakiyetle evrakların kurtarılabildiği gözlemlendi.
Kaseya, kilitli sistemler niçiniyle hala badire çekmeye devam eden müşterilerine takviye ulaştırmak için güvenlik firmalarından Emsisoft ile de çalışmaya başladı.
Yapılan açıklamada müşteriler için en yüksek güvenlik düzeylerini sağlamaya kararlı olduklarını, daha fazla detay elde ettikçe sayfalarından duyuracaklarını belirttiler. Fidye yazılımlarından etkilenen müşterilerine ise Kaseya temsilcilerinin kesinlikle ulaşılacağı söylendi.
Kaynak: ZDNet
Evvelden saldırganlar daha epey ideolojik emellerle sistemlere ziyan verirken, 2010 ve daha sonrası ortaya çıkan yeni kuşak diyebileceğimiz bilgisayar korsanları bu yeteneklerini para kazanma maksadıyla kullanmaya başladı. Bunun kararında ise evvelki senelera yani 2000’lerin başlarına kıyasla çeşitli gayelerle “vahşi ortama” bırakılan ziyanlı yazılımların sayısında inanılmaz artışlar meydana geldi: Bankacılık zararlıları, casus yazılımlar, botnetler, maksatlı zararlılar ve dahası…
Ancak bir tıp daha vardı ki dijitalleşmenin evvelki vakte kıyasla daha az olmasından mütevellit, şu ana kadar epey fazla örneği görülmemiş ve duyulmamıştı. Fidye yazılımları işte tam da dijitalleşme trendinin başladığı 2010’lu yılların ortalarında daha hayli görülmeye başlandı. CryptoLocker, CryptoWall, GoldenEye olarak bilinen Petya fidye yazılımı taarruzları üzere olaylar siber hata sanayisinin yavaş yavaş bu tarafa kaydığını açıkça ortaya koyuyordu. Gerçekten 2017 yılında “WannaCry” ile yaşanan siber pandemi yüzünden milyonlarca şirketin ziyana girdiği, zararlıyı geliştirenlerin milyonlar, tahminen de milyarlarca dolar fidye elde ettiklerine şahit olduk.
Ancak çoklukla bu üslup ataklarda, ziyanlı yazılımın dağıtımı direkt zararlının geliştiricisi tarafınca yapıldığı için kolluk kuvvetleri tarafınca yakalanma ve istenilen tesire ulaşamama durumu ortaya çıkıyordu.
Bunun sonucunda kimi zeki saldırganlar, geliştirdikleri zararlıları botnetler aracılığıyla yayma yolunu tercih ettiler. Botnet operatörlerine ele geçirdikleri sisteme fidye yazılımlarını yükleme karşılığında elde edilecek olan paradan kurul vereceklerini söylemiş olduler. Bunun sonucunda fazlaca kısa bir süre içerisinde fidye yazılımı çeteleri fazlaca fazla sayıda sistemi etkileyebiliyor, bununla birlikte süratli bir kar elde ediyordu.
Günümüzde ise büyük ölçekli çalışan siber fidye çetelerinin çalışma biçimi az daha değişiklik göstermeye başladı. Olağan kullanıcılardan çok daha hayli şirketleri hedefleyen REvil, DarkSide üzere çeteler direkt kendilerini riske atmamak ve daha fazla kâr elde etmek ismine RaaS (Ransomware as Service) hizmetleri kurmaya başladılar. Yasal SaaS hizmetlerine emsal biçimde, fidye yazılımı hizmetleri satıldı. Her geçen gün farklı farklı şirketin, farklı farklı RaaS müşterilerine para kazandırmak için hedeflendiğini gördük.
Bu sefer ise saldırganlar daha gelişmiş teknikler kullanmaktan çekinmedi diyebiliriz. Çoklukla yalnızca devlet takviyeli hacker kümeleri tarafınca yapılan akınlarda kullanılan bir prosedür olan supply-chain yani tedarik zinciri saldırısının bir fidye yazılımı çetesi tarafınca kullanıldığına birinci kere şahit oluyoruz. birebir vakitte bu bahsetmiş olduğumiz olayın Kaseya üzere epey büyük bir şirketin üstünden yapılmasına.
Kaseya memleketler arası olarak İrlanda, Dublin merkezli bir teknoloji firması. Amerika’da ise Miami ve Florida’da bulunuyor. 10 ülkede varlığını sürdüren büyük bir yazılım geliştiricisi olduğunu söyleyebiliriz.
Kaseya daha epey IT bölümüne yani bilişim dalına yönelik yazılımlar geliştirdiği için en tanınan yazılımı VSA diyebiliriz. VSA, Kurumsal alanda sunucuların, sistemlerin durumunu takip emeliyle kullanılan uzaktan sistem izleme/monitoring ve takip yazılımı. Ayrıyeten şirket sadece VSA eseriyle değil, sunmuş olduğu profesyonel hizmetler ve otomasyonlarla da biliniyor.
Firmanın son kullanıcıya hitap eden rastgele bir yazılımı olmadığı üzere, tüm yazılımları sırf işletmeler ve hizmet sağlayıcıları düşünülerek geliştirilmiş. Dünya çapında 40.000’den çok şirketin en az bir Kaseya tahlilini kullandığı biliniyor. Başka şirketlere de çeşitli alanlarda takviye veren hizmet sağlayıcılar yani MSP’lere de yönelik teknolojiler sağladığı için, Kaseya yazılımlarını kullanan ve kullanmayan herkese yönelik uzun bir tedarik zincirinin merkezinde yer alıyor diyebiliriz.
Takvimler 2 Temmuz 2021 tarihini işaret ettiğinde saat 14.00’te Kaseya CEO’su Fred Voccola bir açıklamada bulundu. VSA’ya karşı bir akın yapıldığı ve bu hücum niçiniyle az sayıda şirketin de potansiyel olarak etkilendiği duyuruldu. Voccola tarafınca yapılan açıklamada ayrıyeten Kaseya VSA hizmeti müşterilerinin kullanmış olduğu VSA sunucularını ivedilikle kapatmaları gerektiği de söylendi. Kaseya yöneticisi “Bunu en kısa vakit içerisinde yapmanız fazlaca kıymetli zira saldırganlar birinci vakit içinderda yöneticilerin VSA’ya erişimi kapatıyorlar” diye durumu izah etti.
Daha olayın ne olduğu anlaşılamamışken olaydan etkilenen müşteriler ve hizmet sağlayıcıları mailler, telefon görüşmeleri, bildirimler üzere çeşitli kanallar vasıtasıyla bilgilendirilmeye başlandı.
Ayrıyeten Kaseya’nın kriz idaresi ile ilgilenen “Kaseya Incident Response” takımı olayı araştırırken, taarruzların daha geniş yüzeye yayılmaması için SaaS sunucularını kapatıp bilgi merkezlerini büsbütün çevrimdışı pozisyona getirmeye karar verdi. 4 Temmuz tarihinde yapılan açıklamada ise olayın ciddiyetinin farkında olup kendilerinin pek uygun planlanmış “sofistike ve gelişmiş bir siber saldırının” mağduru olduklarını söylemiş oldu.
FireEye şirketinin bünyesinde bulunan ve isimli bilişim manasında büyük yükü bulunan Mandiant takımı de sorunu çözmek hedefiyle Kaseya’ya takviye vermeye başladı. Kaseya tarafınca yapılan açıklamada ise sorunu bütün coğrafyalarda çözmek için 7/24 çalışılmaya devam edildiği söylendi. Ayrıyeten sundukları SaaS tahlillerinin etkin hale gelmesi için daha fazla vakte gereksinimleri olduğunu belirttiler.
FBI tarafınca yapılan tanıma bakılırsa, Kaseya VSA yazılımında bulunan bir güvenlik açığı birden çok hizmet sağlayıcının müşterilerine karşı kullanılarak bir tedarik zinciri saldırısı gerçekleştirildi.
Güvenlik literatüründe “supply chain attack” ismi verilen bu metot saldırganların direkt maksatlarına saldırmak yerine, gayenin hizmet aldığı kuruluşları etkileyerek dolaylı yoldan da olsa sistemleri ele geçirmeye dayanan bir teknik. Daha hayli devlet dayanaklı gelişmiş tehdit kümelerinin kullandığı bu şekil gelişmiş atakların fidye yazılımı çetelerince uygulanmaya başlaması pek garip diyebiliriz.
Siber güvenlik firmalarına bakılırsa Kaseya’daki duruma yol açan şey, saldırganların kimlik doğrulama etaplarında yer alan güvenlik açıklarını kullanarak doğrulanmış hesaplara erişmesi ve SQL injection hücumları sayesinde veritabanı sisteminde bulunan geniş yetkileri kullanarak sistemde kod yürütmesiydi. SQL injection atakları yalnızca veritabanından bilgi almak için değil ayrıyeten gereğince ayarlanmamış veritabanı yetkileri kelam mevzusuysa tüm sistemde uzaktan komut çalıştırmayı mümkün hale getiriyor.
Huntress’in CEO’su Kyle Hanslovan, atak hakkında 6 Temmuz 2021’de düzenlenen bir web seminerine katılan iştirakçilere tehdit aktörlerinin pek verimli teknikler izlediğini belirtti. Tehdit aktörlerinin VSA sayesinde kaç tane işletmeyi maksat aldıklarının bilinmediğini lakin saldırganların güya vakte karşı bir yarış ortasındaymış üzere davrandığını belirtti.
Güvenlik devlerinden Sophos, yayınlamış olduğu raporda bir VSA sunucusunun asıl maksadının yazılım dağıtımı ve bilişim bakılırsavlerinin otomasyonu olduğu için Kaseya müşterisi olan bu şirketlerin sunucu ve ekipmanlara yüksek seviyede inanç duyduğunu, saldırganların da bunu bilerek VSA sunucularına sızdığını belirtiyor. Bir saldırganın VSA sunucularına sızması durumunda istemcilerin VSA sunucularının talep ettiği her nazaranvi yapacağını da belirtiyor.
bir daha bir öbür siber güvenlik uzmanı olan Kevin Beaumont’a bakılırsa bu fidye yazılımı, sistemleri ele geçiren saldırganlar tarafınca “Kaseya VSA Agent Hot-Fix” isminde uydurma bir Kaseya güncellemesiymiş üzere aygıtlara gönderilip bulaştırılmış. Beaumont, REvil fidye yazılımını içeren bu düzmece güncellemenin MSP’ler yani hizmet sağlayıcılar sayesinde onların da müşterilerine yayıldığını söylemiş oldu. Maalesef dolaylı yoldan da olsa Kaseya müşterisi olmayan kuruluşlar da bu hücumdan etkilendi.
Huntress firması RiskIQ ile yaptığı çalışma kararında hücumun başladığı nokta olarak kullanılması olası görülen bir AWS IP adresini de yardımcı olabileceği fikriyle araştırmaya aldı. bununla birlikte 5 Temmuz tarihinde Kaseya tarafınca hücuma ait bir genel bakış yazısı yayınlandı. Şirket tarafınca makûs hedefli yazılımın daha fazla yayılmasını engellemek hedefiyle şirket içi müşterilere VSA sunucularını kapatmaları için çeşitli kanallar yoluyla bildirimler gönderildiği ve VSA SaaS hizmetinin durdurulduğu bilhassa belirtiliyor.
Firmaya nazaran saldırganların kullanmış olduğu bir zero-day yani sıfır gün açığı kimlik doğrulamasını bypass etmek maksadıyla kullanıldı ve sistemde üçüncü parti kod yürütüldü. Sistemler kullanılarak da müşterilere fidye yazılımları bulaştırıldı. Şirket tarafınca ayrıyeten yapılan araştırmalarda saldırganların VSA’nın kaynak kodunu değiştirdiğine dair rastgele bir bulguya rastlanmadı. Yani bütün olay uydurma güncellemelerin gönderilmesiyle gerçekleşti diyebiliriz.
Hollanda’da yer alan DVID (Dutch Institue for Vulnerability Disclosure / Güvenlik Açıkları İfşa Enstitüsü) araştırmacısı Wietse Boonstra daha evvel fidye yazılımı taarruzlarında sıkça kullanılan CVE-2021-30116 kodlu bir güvenlik açığını da tespit etmişti. Bunlar da açıkların ifşası kapsamında raporlanmıştı. DVID, Kaseya ile güvenlik açıklarının ortaya çıkmasından daha sonrasında daima temas halinde olduklarını belirtti. Ayrıyeten ifşa raporundaki hususlar hayli açık ve net olmadığı için kendilerine sık sık sorular sorulduğunu da belirtti. Tüm süreç boyunca Kaseya’nın sorunun düzeltilmesi ve ayrıyeten açıklı sistemlerin yamanması için olağanüstü bir eforla çalıştığının altı çiziliyor.
Kaseya hücumun yaşandığı hafta boyunca SaaS müşterilerinin risk altında olmadığını belirtti. İddialara nazaran direkt şirket içi Kaseya müşterilerinden 40 adedinin etkilendiği düşünülüyor. tıpkı vakitte biroldukca kobi hizmet sağlayıcılar ötürüsıyla etkilendi. Raporlara nazaran İsveç’te yer alan 800 adet süpermarket kasalarını açamadığı için süreksiz müddetliğine kapanmak zorunda kaldı. Huntress’ın Reddit’te yaptığı bir açıklamaya göre aşağı üst 1.000 şirketin sunucuları ve iş istasyonları şifrelendi. Binlerce küçük işletmenin bundan olumsuz etkilendiği açıklandı.
Sophos Lider Yardımcısı Ross McKerchar, akının Sophos’un görmüş olduğu en geniş kapsama sahip fidye yazılımı hücumlarından biri olduğunu söylemiş oldu. Şu anda elde ettikleri delillere nazaran 70’den çok hizmet sağlayıcı ve tıpkı vakitte 350 kuruluşun etkilendiğini belirtti. Mağdur kuruluşların tam sayısının rastgele bir güvenlik şirketinin bildirildiğinden daha yüksek olması bekleniyor.
6 Temmuz’da yapılan varsayımlara göre direkt 50 müşteri, zincirin alt kısmında ise 800 ile 1.500 işletme taarruza uğradı. Kaseya CEO’su Fred Voccola yaşananların güvenliği ihlal edilen az sayıda insan için berbat bir durum olduğunu söylemiş oldu.
Siber taarruz REvil siber çetesinin sızıntıları yayınladığı TOR ağındaki bir web sitesi olan “Happy Blog” üzerinden duyuruldu. Taarruzun yapıldığı hafta sonu blog sayfalarında yaptıkları güncellemeyle Rus ilişkili olduğu düşünülen küme 1 milyondan fazla sisteme ziyanlı yazılım bulaştırıldığını argüman etti.
Ayrıyeten REvil, Bitcoin para ünitesinde ödenmek kuralıyla 70 milyon dolarlık bir pazarlık teklifi sundu. Ödemenin yapılması karşılığında bütün sistemlerin ve şifreli belgelerin açılabilmesini sağlayan şifre çözme anahtarını sunacağını söylemiş oldu.
REvil çetesi daha evvel Quanta Computer, Acer üzere şirketlere yönelik yaptığı siber taarruzlarla da ilişkilendirilmişti.
Lakin hücumun yaşanmasından yaklaşık 1 hafta daha sonra garip bir durum yaşandı. REvil fidye yazılımı kümesi ansızın kayboldu. Aylardır birfazlaca şirkete kasvetler yaşatan bu siber çetenin kaybolmasının niçininin epey fazla dikkat çekmeleri olduğu düşünülüyor. REvil’in gerisinde her kim var ise daha fazla bunu sürdürmek istemedi yahut çemberin daralmasından ötürü korktu diyebiliriz.
REvil çetesine ilişkin Happy Blog’ta Kaseya saldırısına ait yapılan duyuru. – Fotoğraf Kaynağı: Charlie Osborne | ZDNet
Kaseya saldırısından etkilenen sistemlere bulaşan fidye yazılımları belgeleri özel bir anahtar sayesinde şifreleyip, uzantılarını “.csruj” haline getiriyor. Fidye yazılımının operatörleri ödemenin yapılması durumunda bir şifre çözme anahtarı sağlayacaklarını söylüyor. Ayrıyeten bunu kanıtlamak için de bir adet belgenin şifresini fiyatsız çözebileceklerini de belirtiyorlar.
Saldırganlar, fidye yazılımları etkilenen sistemlere bıraktıkları notlarda bunun yalnızca bir iş olduğunu, menfaatleri haricinde rastgele bir kimseyi umursamadıklarını, işlerini ve yükümlülükleri olan hücumları yapmazlarsa kimsenin onlarla iş tutmayacağını belirttiler. Ayrıyeten bu notta taarruzun rastgele bir çıkar için değil, daha çok sundukları hizmet çerçevesinde olduğunu, vakit kaybedilmemesi için fidye karşılığı sunabilecekleri özel anahtarın ellerinde olduğunu da yazdılar.
Kimi firmalardan 44.999 dolar fidye istenirken, kimilerinde ise 5 milyon dolara kadar fidye istendiği görülüyor. Güvenlik araştırmacısı Kevin Beaumont ne yazık ki akına uğrayan şirketlerin rastgele bir tahlil garantisi olmamasına karşın fidye yazılımı operatörleriyle pazarlığa oturduğunu söylüyor.
Sophos yaşananların daha âlâ anlaşılabilmesi ismine REvil fidye yazılımının sistemlerde nasıl etkin hale geldiğini ve şifrelemeyi gerçekleştirdiğine dair bir demo yayınladı.
Kaseya, yaşanan ihlal daha sonrası süratlice aksiyon alarak Federal Araştırma Ofisi (FBI) ve ABD Siber Güvenlik Altyapı Ajansı (CISA) olmak üzere siber güvenlik kuruluşları ve kolluk kuvvetlerine bilgi sağladı.
Hücumdan daha sonra Amerika Birleşik Devletleri Lideri Joe Biden, federal istihbarat teşkilatlarını olayı soruşturmak için yönlendirdiğini duyurdu. Ayrıyeten Beyaz Saray tavrını biraz daha sertleştirerek Biden aracılığıyla Rusya Devlet Lideri Vladimir Putin’i Rusya kaynaklı siber akınlardan ötürü uyardı.
Rusya kaynaklı olduğu düşünülen bu atakları Rusya’nın kendi ortasında halletmemesi durumunda, ABD’nin kendi başına harekete geçip duruma müdahale etme hakkının gizli olduğunun altı çizildi.
ABD lideri Joe Biden tarafınca Rusya devlet lideri Putin’e yapılan ikazlardan daha sonra daha sonra REvil çetesine ilişkin web sitesi kolluk kuvvetlerince ele geçirildi. Genel itibariyle siber ataklarda, saldırganlara ilişkin web sitelerine el konulduğu epeyce az görülen bir durumdur. Saldırganların daha da göz önünden kaybolması istenmediği için bu biçimde bir yol tercih edilmez. Tercih edilmesi durumunda da aslına bakarsanız oldukçatan saldırganlara ulaşılmış olunur.
Kolluk kuvvetleri el koyduğuna göre yalnızca Kaseya saldırısı için değil, REvil çetesi için de sonun yaklaştığını söyleyebiliriz. Çünkü bunun bir nevi REvil çetesi hakkındaki soruşturma sürecinin bitmeye yakın olduğuna dair bir işaret olduğunu düşündüğümüzü belirtmekte fayda var.
Ek olarak ele geçirmedilk öncesinde, Joe Biden’ın Putin’e yönelik yaptığı ihtarlar sonucunda kümenin ABD aykırısı olduğu için inançlı liman olarak gördüğü Rusya devletinin de baskısından korkmasından ötürü fazlacatan ortadan kaybolduğu tez ediliyordu.
Nihayet Kozmik Şifre Çözme Anahtarı Bulundu
çabucak hemen bu uzun yazı hazırlanırken, 22 Temmuz’da Kaseya kozmik bir şifre çözme anahtarı sağlamayı başardığını deklare etti. Bilinmeyen bir “üçüncü taraf” aracılığıyla elde edilen şifre çözme anahtarı zararlıdan etkilenen sistemlerde test edildi ve muvaffakiyetle evrakların kurtarılabildiği gözlemlendi.
Kaseya, kilitli sistemler niçiniyle hala badire çekmeye devam eden müşterilerine takviye ulaştırmak için güvenlik firmalarından Emsisoft ile de çalışmaya başladı.
Yapılan açıklamada müşteriler için en yüksek güvenlik düzeylerini sağlamaya kararlı olduklarını, daha fazla detay elde ettikçe sayfalarından duyuracaklarını belirttiler. Fidye yazılımlarından etkilenen müşterilerine ise Kaseya temsilcilerinin kesinlikle ulaşılacağı söylendi.
Kaynak: ZDNet