Ukrayna ile Rusya arasındaki gerilim tırmanırken, cuma günü ortaya Ukrayna devlet sitelerine yönelik "siber saldırı" çıktı [1]. Ukrayna kısa sürede yönetimi geri aldığını söyledi.
Olayın ciddiyeti ise Microsoft'un açıklaması ile gündeme geldi. Çünkü saldırı, son dönemde çok moda olan "fidye saldırısı" gibi gözüküyor ama aslında sistemleri tamamen yok etmek üzerine çalışıyor. Microsoft'un güvenlikten sorumlu başkan yardımcısı ve İstihbarat Merkezi, cumartesi günü iki ayrı açıklama yayımladılar.
Microsoft'un müşteri güvenliğinden sorumlu başkan yardımcısı Tom Burt blogunda şöyle yazdı[2]:
"Ukrayna hükümetiyle yakın çalışan birkaç Ukrayna devlet kurumu ve kuruluşuna ait sistemlerde, kötü amaçlı yazılımlar gözlemledik. Kötü amaçlı yazılım fidye yazılımı olarak gizleniyor, ancak saldırgan tarafından etkinleştirilirse, virüslü bilgisayar sistemini çalışamaz hale getirebilir."
Microsoft Tehdit İstihbarat Merkezi (MSTIC) de bir başka açıklama yayımladı ve şöyle dedi [3]:
"Bu eylemler, Ukrayna'da bulunan veya sistemleri olan herhangi bir devlet kurumu, kar amacı gütmeyen kuruluş veya kuruluş için yüksek bir risk teşkil ediyor. Tüm kuruluşları derhal kapsamlı bir soruşturma yürütmeye ve savunmaları uygulamaya şiddetle teşvik ediyoruz."
Saldırganların özellikleri, daha önce tespit edilmiş gruplara uymuyor
Önemli bir tespit, Ukrayna'ya yönelik bu siber saldırının arkasındaki grubun özellikleri ile, Microsoft'un geleneksel olarak izlediği gruplar arasında kayda değer bir örtüşme olmadığı şeklinde. Bu da önemli bir tespit. Rus olsun, olmasın hacker grupları yıllardır pek çok saldırı yapıyor ve bu saldırıları inceleyen araştırmacılar, kodlama şekillerinden, kullandıkları araçlardan bunları tanımlayabiliyor. Ama bu yeni bir grup gibi, tanımlanmasın istenmiş gibi duruyor.
MSTIC, "WhisperGate" olarak adlandırılan kötücül yazılımın, Ukrayna saldırısında nasıl çalıştığını tespit etti. Fidye notu, MSTIC'e göre, ikisi de daha önce Microsoft tarafından gözlemlenmemiş olan Tox şifreli mesajlaşma protokolünde kullanılan bir Bitcoin cüzdanı ve bir hesap tanımlayıcısı içeriyor. Ancak gerçekte, MSTIC, fidye yazılımı notunun bir hile olduğunu ve kötü amaçlı yazılımın, sabit diskin etkilenen kısmını ve hedeflediği dosyaların içeriğini yok ettiğini söyledi. Aynı Bitcoin cüzdan adresi, tüm Ukrayna izinsiz girişlerinde kullanıldı, ancak gözlemlenen tek aktivite Cuma günü küçük bir transfer oldu.
70 kadar kurumda rastlandı ama sayı artabilir
Microsoft, saldırının ilk olarak perşembe günü ortaya çıktığını ve çeşitli Ukrayna devlet kurumlarının yanı sıra Ukrayna hükümetiyle yakın çalışan kuruluşlara ait sistemlerde de tespit edildiğini ve bu firmaların hepsini ve ayrıca ABD ve gerekli diğer yetkilileri de bilgilendirdiklerini söyledi.
Microsoft, ürünün bulut ortamlarında mı yoksa şirket içinde mi dağıtıldığına bakılmaksızın, Microsoft Defender Antivirus ve Microsoft Defender for Endpoint ürünlerinde bu kötü amaçlı yazılım ailesini algılamak için korumalar uyguladığını söyledi. Potansiyel mağdurların, tek faktörlü kimlik doğrulama ile yapılandırılmış hesaplara özellikle odaklanarak, uzaktan erişim altyapısı için kimlik doğrulama etkinliğini gözden geçirmeleri isteniyor.
Siber saldırı, askeri saldırının başlangıcı mı?
Ukrayna'ya yönelik siber saldırı, Rusya ile Batı arasındaki artan gerilim ve Rus birliklerinin Ukrayna sınırına yığıldığına dair haberlerin ortasında geliyor. Rusya, Ukrayna sınırına tanklar, topçular ve on binlerce asker yığdı ve komşusunun asla NATO'ya katılmayacağının garantisini istedi. Üst düzey Rus ve Batılı yetkililer, geçtiğimiz hafta Cenevre, Brüksel ve Viyana'da üç tur müzakereler gerçekleştirdiler ve bir ilerleme sağlanamadı.
Ukrayna pazar günü yaptığı açıklamada, geçtiğimiz hafta önemli hükümet web sitelerini çökerten büyük bir siber saldırının arkasında Rusya'nın olduğuna dair kanıtlar olduğunu söyledi. Ukrayna dijital dönüşüm bakanlığından yapılan açıklamada şöyle denildi:
"Bütün kanıtlar siber saldırının arkasında Rusya'nın olduğunu gösteriyor. Moskova melez bir savaş yürütmeye devam ediyor."
Açıklamada, saldırının amacının yalnızca toplumu sindirmek değil, aynı zamanda Ukrayna'daki durumu istikrarsızlaştırmak, kamu sektörünün çalışmalarını durdurmak ve Ukraynalıların yetkililere olan güvenini kırmak olduğu belirtildi.
Başkan Vladimir Putin'in sözcüsü Dmitry Peskov ise CNN'e verdiği demeçte şöyle dedi:
"Bununla hiçbir ilgimiz yok. Rusya'nın bu siber saldırılarla hiçbir ilgisi yok. Ukraynalılar, ülkelerindeki kötü hava koşulları da dahil olmak üzere her şeyi Rusya'yı suçluyorlar"
Rusya'nın ABD büyükelçisi Anatoly Antonov, Kuzey Atlantik Antlaşması Örgütü'nün (NATO) doğuya doğru devam eden ilerlemesinin Rusya'nın ulusal güvenliği için büyük bir tehdit olduğunu Newsweek'e verdiği söyleşide belirtti:
"NATO'nun eski Sovyet cumhuriyetlerinin askeri gelişimine yönelik çabaları bizim için kabul edilemez. Bu, ülkemizi doğrudan tehdit eden füze sistemlerinin ve diğer istikrarsızlaştırıcı silahların konuşlandırılmasıyla dolu. Sonuç olarak, bölgede ve ötesinde tırmanma ve doğrudan askeri çatışma riskleri kat be kat artacak."
Ukrayna ile Rusya arasındaki gerilim tüm zamanların en yüksek seviyesinde. Bazı analistler, siber saldırının askeri bir saldırının başlangıcı olabileceğinden korkuyor. Washington da Rusya'yı, Ukrayna'ya işgal etme bahanesi olabilecek bir olay sahnelemek için patlayıcı konusunda eğitilmiş sabotajcılar göndermekle suçladı.
[1] Ukrayna ve Polonya Devlet Siteleri Saldırıya Uğradı
[2] Malware attacks targeting Ukraine government
[3] Destructive malware targeting Ukrainian organizations
