Tarihten alınan dersler ve kritik altyapıya yönelik son saldırılar, temel sistem ve hizmetleri koruma ihtiyacını net bir şekilde ortaya koyuyor
Birkaç gün önce, Sandworm grubu ülkedeki bir enerji tedarikçisinin operasyonlarına karşı Industroyer2 adlı bir kötü amaçlı yazılım parçasını dağıtmaya çalıştığından Ukrayna'nın elektrik şebekesi saldırıya uğradı. ESET ve CERT-UA'nın dahil olduğu bir yanıt çalışması sırasında ortaya çıkarılan Industroyer2, Aralık 2016'da Kiev'in bazı bölgelerinde elektriklerin kesilmesine yol açan Industroyer adlı gelişmiş bir kötü amaçlı yazılımın yeni bir çeşididir.
Ayrıca, Aralık 2015'te BlackEnergyoperatörleri, birkaç elektrik dağıtım şirketinin sistemlerini sabote ettikten sonra Ukrayna'nın Ivano-Frankivsk bölgesindeki yüz binlerce insanın güç kaynaklarını birkaç saatliğine kesintiye uğrattı.
Bu tür olayların bilim kurgu olduğunu düşünenler için bu olaylar büyük bir farkındalık yarattı. Ancak bu olaylar öncesinde dahi kritik altyapıya yönelik bir saldırıda kötü amaçlı yazılımın kullanıldığı görüldü.
Haziran 2010'da, İran'ın Natanz'daki nükleer yakıt işleme tesisi, çok sayıda santrifüjü yok eden ve sonuç olarak İran'ın zenginleştirilmiş uranyum üretme kapasitesini azaltan karmaşık bir kötü amaçlı yazılım olan Stuxnet'in saldırısına uğradı. Günümüzde Stuxnet, endüstriyel sistemleri hedef alan, ilk keşfedilen kötü amaçlı yazılım ve günümüzün kritik altyapısına yönelik ilk siber saldırının arkasındaki kötü amaçlı yazılım olarak biliniyor.
Toplu olarak bakıldığında bu saldırılar bize çeşitli kritik altyapı türlerinin karşılaştığı riskleri hatırlatıyor. Aslında tarih, bir bakıma bunun modern dijital bilgisayarların ortaya çıkışından daha öncelere dayandığını gösteriyor.
Kritik altyapıya yönelik siber saldırılar – 200 yıl öncesine dayanan bir tehdit mi?
18. yüzyılın sonunda, Fransız imparator Napolyon Bonapart, ordusuna gizli istihbaratın iletilmesi amacıyla hızlı ve güvenilir bir sistem sağlamak için bir iletişim ağı kurdu. "Semafor" denilen bir optik telgraf sistemi, Fransız mühendis Claude Chappe tarafından icat edildi ve bu sistem yalnızca seçili kule memurlarının sahip olduğu gizli bir kod kitabı ile çözülebilen şifreli optik iletişimlere izin veriyordu.
Sistem, birbirinden 16 kilometre uzaktaki yüksek tepeler üzerine inşa edilmiş bir kuleler ağına dayanıyordu. Her kulenin tepesinde, tıpkı bir kuklanın kolları gibi hareket eden ve teleskopla donatılmış bir subay tarafından kontrol edilen iki mekanik ahşap kol bulunurdu. Kolların konumuna göre kodlanan mesaj, hedefine ulaşana kadar kuleden kuleye kopyalandı.
Ve bu sayede Fransız hükümeti, bir mesajı bir atlı ulaktan çok daha hızlı bir şekilde uzun mesafelere iletebiliyordu. Son kuleye ulaştığında, bir subay kod kitabını kullanarak sembolleri Fransızcaya çeviriyordu.
Bu, o zamanlar için gerçek bir devrimdi. Napolyon'un ordusu artık gizli ve özel bir iletişim hattına sahipti. Veya öyle olduğu düşünülüyordu. Birkaç yıl sonra, ilk uzun mesafeli iletişim ağı, kötü amaçlı kişilerin ele geçirdiği ilk kritik altyapı sistemlerinden biri oldu. 1834'te François ve Joseph Blanc adında iki kardeş, ilk elektronik dolandırıcılık, hatta ilk siber saldırı olarak adlandırılan şeyi gerçekleştirdi.
Kardeşler, faiz oranlarındaki iniş ve çıkışlar için Paris borsasını bir gösterge olarak kullanan Bordeaux borsasında devlet tahvili ticareti yapıyordu. Ancak bu bilgi atla iletiliyor ve Fransa'nın güneybatısına ulaşması beş gün kadar sürüyordu. Paris Borsasında neler olup bittiğini herkesten önce nasıl öğrenebiliriz diye düşündüler.
Bunun için Semafor mükemmel bir çözümdü ve hile basitti: Blanc'lar tarafından yaratılan özel bir sembolü içeren rutin bir mesaj, onlara ulaşana kadar Paris kulesindeki bir suç ortağı tarafından iletilecekti. Bu küçük kod masum bir hata olarak gösterildi ve semafor protokolü tarafından belirlendiği gibi, bu tür hatalar yalnızca büyük şehirlerde birkaç karakolda görev yapan kule yöneticileri tarafından kontrol edilecek ve kaldırılacaktı. Bordeaux yolunda, Tours'daki kulede bu yöneticilerden biri vardı, bu yüzden François ve Joseph, sinyallerini düzeltmemesi için ona rüşvet verdi.
Bu arada, Bordeaux'daki son bir suç ortağı, bu hataları tespit etmek ve onları Blanc kardeşlere teslim etmek için kuleyi izliyor olacaktı. François ve Joseph, uzun süre fark edilmeden Paris borsasından gelen son veriler hakkında içeriden bilgi almayı başardı. Kişisel kazançları için devlet tarafından finanse edilen pahalı bir ağdan yararlandılar, bu süreçte büyük kar elde ettiler ve Fransız ordusunun iletişimini bozdular.
İki yıl içinde o kadar çok para kazandılar ki insanlar şanslarından şüphe etmeye başladı. Sonunda, yaptıkları dolandırıcılık fark edildi.
Bu günlerde saldırganlar saldırılarını yeni ve daha sinsi yollarla gerçekleştirebiliyor.
Parlamentoları, bankaları ve araştırma enstitülerini sekteye uğratmak ve yakıt fiyatlarını yükseltmek
Tarih bize çok şey öğretebilir, ama belki de her şeyden önce öğretebileceği en önemli şey tarihin tekerrür etmesi ya da en azından benzer şekilde tekrarlanmasıdır. Günümüzde siber saldırılar binlerce küçük özel işletmeye, kişiye ve büyük kamu ve hükümet kuruluşlarına karşı gerçekleşiyor.
Claroty tarafından ABD, Birleşik Krallık, Almanya, Fransa ve Avustralya'da kritik altyapıda çalışan 1000 BT ve OT güvenlik uzmanıyla 2021 yılında yapılan bir çalışmada, bu kişilerden %65'i kritik altyapıya yönelik saldırılarla ilgili endişelerini belirtti. Bu kişilerin yüzde doksanı 2021'de bir saldırı yaşadığını bildirdi.
Blanc kardeşlerin telekom sahtekarlığı nüfusu genel olarak etkilemezken, Ukrayna'daki elektrik şebekesine yapılan saldırılar yüz binlerce insanı etkiledi. Bu doğrudan etkilerin riski, giderek daha önemli hale geliyor.
Estonya: Tüm ülkedeki ağ, ilk kez bir siber saldırıyla karşı karşıya kaldı
27 Nisan 2007 sabahı, Estonya'nın hükümet iletişimleri, bankaları, telefon operatörleri, medya web siteleri, ATM makineleri ve Parlamentonun web sitesi, diğer birçok çevrim içi hizmetle birlikte domino taşları gibi çöktü. 22 gün süren saldırının bitmek bilmeyen ağırlığını herkes hissetti.
Dijital olarak gelişmiş olan ülke, siber uzayın saldırı altında olduğunu gördü. 2007 yılına kadar Estonya, dünyanın en dijitalleşmiş ülkelerinden biriydi. İnsanlar telefonlarını park ücreti ödemek için kullanıyordu, devlet hizmetleri çevrim içiydi, oylama sistemi bile çevrim içiydi ve her yerde Wi-Fi vardı! Ancak Baltık ülkesi göz açıp kapayıncaya kadar çevrim içi bir hayal dünyasından dijital bir yıkım alanına dönüştü.
Saldırganlar, bir tür hizmet aksatma (DoS) saldırısı olan ping baskınlarından, çoğu Estonya dışından gelen hatalı biçimlendirilmiş web sorgularına ve istenmeyen e-postalara kadar birçok iyi bilinen taktik kullandı. Böylesine geniş ve sürekli bir etkinlik yalnızca birkaç koruyucu katmanla karşılaştı ve kesinlikle çok daha fazla katman uygulanabilirdi. Bu durum, diğer ülkeler için kendi güvenlik açıklarıyla ilgili bir uyarı niteliği taşıyan örnek bir olay olmalıdır.
Mevcut bir acil çözüm yoktu ve aslında saldırılar, saldırganların istediği kadar sürdü. Ancak bunların çoğu yurt dışından gerçekleştirildiğinden kamu ve özel kuruluşlar, dünya çapındaki internet servis sağlayıcılarının yardımıyla kötü amaçlı trafik kaynaklarını tespit etmek ve filtrelemek için zaman kazanmak amacıyla web sitelerine gelen tüm yabancı trafiği engellemeye başladı
Takip eden suç soruşturması, şaşırtıcı olmayan bir şekilde, yasal mekanizmaların eksikliği ve somut adreslerin ve kişilerin izini sürmenin imkansızlığı nedeniyle sadece birkaç sonuca ulaştı. 20 yaşındaki Estonyalı bir üniversite öğrencisi olan Dmitri Galuškevitš, Estonya içinden hareket ettiği tespit edilen tek saldırgandı. Galuškevitš, PC'sini Estonya Başbakanı'nın partisi Estonya Reform Partisi'nin web sitesine saldırmak için kullandı ve 17.500 krooni (o tarihte yaklaşık 700 ABD Doları) para cezası verildi.
COVID-19: Bilgi için bir yarış
Tüm dünya COVID-19 aşısı geliştirmek üzere ilk defa bir araya geldi. Ancak bu göreve yaklaşımlar farklıydı. Dünyanın her yerindeki birçok laboratuvar, ilk ve en güvenli aşıyı üretmek üzere bir maraton başlattı. 23 Nisan 2020'de Dünya Sağlık Örgütü, bu raporun önümüzdeki aylar için bir uyarı görevi göreceğini umarak çalışanlarına yönelik “siber saldırılarda beş kat artış” olduğunu bildirdi.
Sadece birkaç gün sonra, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), ülkedeki üniversitelerin ve COVID-19 hakkında araştırma yapan laboratuvarların, aşı konusundaki gelişmelerle ilgili veri toplamak isteyen birden fazla bilgisayar korsanlığı girişimi olduğu konusunda uyardı. Diğer ülkelerden saldırılar da bunlara dahildi.
Birkaç ay sonra, 9 Aralık'ta AB'nin sağlık düzenleyicisi olan Avrupa İlaç Ajansı (EMA), bir siber saldırıya uğradığını açıkladı. Aynı gün BioNTech, aşının onaylanması için ajansın sunucularında saklanan bazı belgelere “yasa dışı bir şekilde erişildiğini” doğruladı. EMA'nın 22 Aralık 2020'deki açıklamasına göre, bilgisayar korsanları açıklanmayan bir BT uygulamasını ihlal ederek COVID-19 bilgilerini hedef aldı. Çalınan veriler, daha sonra 13 Ocak 2021'de sızdırıldı.
Dava, Hollanda polisi ile birlikte CERT-EU tarafından soruşturuldu. Ancak, sonuçlar hiçbir zaman resmi olarak açıklanmadı. Hollanda gazetesi deVolkskrant'a göre, saldırganlar işe yeni başlayanlar için çok faktörlü kimlik doğrulaması kurmak üzere kullanılan bir jetonu çaldıktan sonra EMA'nın sistemlerine erişim elde etti. Gazete ayrıca, davaya yakın kişilerin olayın AB'nin COVID-19 stratejisini hedef alan bir ulus devlet casusluğu meselesi olduğuna inandığını yazdı.
Yakıt kaynaklarının kontrolünü kaybetmek
7 Mayıs 2021'de DarkSide fidye yazılımı çetesi Colonial Boru Hattına saldırdı ve birden fazla güvenlik açığından ve güvenliği ihlal edilmiş parolalardan yararlandı. Grubun ABD'deki en büyük yakıt dağıtım boru hattı sisteminin operasyonlarını beş günlük bir süre içinde devre dışı bırakması için gereken tek şey buydu. Bu, şirketin 57 yıllık tarihinde ilk kez Beyaz Saray'ın doğrudan müdahalesini gerektirdi.
Bu fidye yazılımı saldırısının önemli sonuçları oldu ve birkaç büyük benzin istasyonu zinciri yakıt kıtlığı nedeniyle kapanmak zorunda kaldı. ABD'de akaryakıt fiyatları 2014'ten beri görülmeyen bir şekilde arttı.
Başlangıçta tüm çabalar, devlet destekli olası bilgisayar korsanlığının araştırılmasına odaklanırken, bunun yerine saldırının para kazanmak amacıyla düzenlendiği ortaya çıktı. DarkSidesaldırıdan sorumlu olduğunu kabul etti, ancak herhangi bir siyasi amacı olmadığını şu şekilde açıkladı: "Amacımız para kazanmak ve toplum için bir sorun yaratmak istemiyoruz." Grubun bağlı kuruluşlara bir hizmet olarak fidye yazılımı sağladığı biliniyor ve grup 4,4 milyon ABD doları tutarında fidye ödemesi aldı ve bunun yarısı daha sonra FBI tarafından geri alındı.
Siber saldırılar devam edecek
Hepimizin anında bağlantı kurmasını sağlayan bu inanılmaz gücün bir bedeli var. Daha fazla bağlantı, aynı zamanda daha fazla güvenlik açığı, daha fazla saldırı ve daha karmaşık stratejiler anlamına gelir. Dijital ve gerçek dünya arasındaki bu artan bağlantı, kamu ve özel altyapı sektörlerini yeni güvenlik rutinlerini benimsemeleri konusunda zorluyor.
Son yıllarda, kritik altyapı varlıklarının operatörleri tarafından önemli güvenlik adımları atılmasına rağmen hizmetler genel anlamda siber saldırılar için hedef olmaya devam ediyor ve toplumun temel hizmetlerini zararlara karşı daha iyi koruma ihtiyacının altını çiziyor.