Adı gibi yok ediyor:KillDisk
BlackEnergy, bu kez yok edici KillDisk ile geldi
Ukrayna’da elektrik dağıtım sistemi siber saldırıya uğradı
23 Aralık 2015 tarihinde Ukrayna’nın Ivano-Frankivsk bölgesinde 700 bin kişi, enerji dağıtım şirketlerine yönelik siber saldırı sonucu saatlerce elektriksiz kaldı. ESET, sözkonusu saldırıda, daha önceki saldırılarda tespit edilen BlackEnergy truva atının kullanıldığını belirledi. Ancak analizlere göre BlackEnergy bu kez yalnız çalışmıyor, tam bir yok edici görevine sahip KillDisk truva atı ile işbirliği yapıyor.
Aralık ayında Ukrayna’nın elektrik dağıtım şirketleri, eş zamanlı olarak siber saldırılara maruz kaldılar. Global antivirüs yazılım kuruluşu ESET’in araştırmacılarına göre bu saldırılar, bilgisayarların yeniden başlatılmasını engelleyen kötü amaçlı KillDisk yazılımı kullanılarak gerçekleştirildi. Saldırganlar, KillDisk’i hedeflenen bilgisayarlara yükleyebilmek için ise BlackEnergy truva atından faydalandı.BlackEnergy
BlackEnergy truva atı, belirli görevler için yüklenebilir farklı bileşenleri bulunan modüler bir yazılım olarak öne çıkıyor. 2015 yılında Ukrayna’nın yüksek profilli firmalarına, devlet kurumlarına ve haber ajanslarına karşı yapılan siber saldırılarda kullanılmıştı. Elektrik dağıtım şirketlerine yönelik son saldırılarda ise daha önce BlackEnergy truva atı bulaşmış sistemler üzerinde KillDisk yazılımı, ölümcül etki görevini üstlendi.
KillDisk
BlackEnergy ve KillDisk arasındaki bağlantı ilk olarak Kasım 2015’te, Ukrayna’nın siber güvenlik ajansı CERT-UA tarafından raporlandı. Rapor, 2015 yılında yapılan Ukrayna’daki yerel seçimlerde medya şirketlerinin bu saldırılardan etkilendiğini ve saldırı sonucu çok sayıda video ve dokümanın tahrip olduğunu bildiriyor.
Tam bir yok edici
KillDisk yazılımının varyantları, Ukrayna elektrik dağıtım şirketlerine karşı yapılan siber saldırıda kullanılırken, yazılımın farklı fonksiyonlar içerdiği de gözlemlendi. Sistemin yeniden başlatılmasına engel olmak için sistem dosyalarını silmesinin yanı sıra tam bir yok edici truva atı olarak çalışıyor ve özellikle endüstriyel sistemleri sabote etmek için belirli kodlar içeriyor.
Konuyu değerlendiren ESET Zararlı Yazılım Araştırmacısı Anton Cherepanov, “Bildiğimiz KillDisk fonksiyonlarından ayrı olarak yazılım ayrıca endüstriyel kontrol sistemlerinde kullanılan süreçleri durdurmaya çalışmaktadır“ açıklamasını yaptı. Bu işlemler hedef sisteme ulaşırsa, truva atı sadece süreçleri durdurmak ile kalmayıp aynı zamanda sistemin restorasyonunu daha zor hale getirmek için sabit diskteki yürütülebilir dosya içerisine rastgele şekilde veri yazıyor.
Sistemleri kapatma özelliğini sahip
Anton Cherepanov, “KillDisk yazılımı üzerinde yaptığımız analizlere göre, elektrik dağıtım şirketlerine yapılan saldırıda ve daha önce Ukrayna medya şirketlerine yapılan saldırıda kullanılan yazılımın aynı araçları kullandığı ortaya çıktı. Bu yazılımın ayrıca kritik sistemleri kapatabilme yeteneği de var“ bilgisini paylaştı.
Ukrayna elektrik dağıtım şirketlerine yapılan saldırı ve BlackEnergy/KillDisk yazılımı hakkında daha fazla bilgiyi ESET WeLiveSecurity blogundan okuyabilirsiniz: