20.12.2020, 15:21

Bir Siber Taarruz Analizi: SolarWinds

12 Aralık'ta ABD Milli Güvenlik Konseyi acil bir oturum için toplandı. ABD, saldırı altındaydı. Kimliği meçhul saldırganlar Amerika'nın en kritik devlet kurumlarının ve şirketlerinin ağlarına sızmıştı. Dahası bu durum neredeyse bir seneye yakın süredir devam ediyordu, ama şimdiye dek kimse fark etmemişti. Kısacası, ABD Milli Güvenlik Konseyi, bir felaket senaryosu ile karşı karşıyaydı.

Saldırganlar, ağ cihazlarının ve ağa bağlı diğer bilgisayarların merkezi biçimde takibine ve yönetilmesine imkan sağlayan, Amerikalı SolarWinds şirketi tarafından geliştirilen Orion Ağ Yönetim Sistemi (Network Management System – NMS) yazılımını hedef alarak Tedarik Zinciri Saldırısı (Supply Chain Attack) diye tabir edilen bir saldırı gerçekleştirmişlerdi. Özetle, ürünün güncellemelerinin oluşturulması ve güncelleme sunucularına yüklenmesi süreçlerine nüfuz eden saldırganlar, bu sayede ürün güncellemelerinin içine kendi zararlı yazılımlarını gizleme imkanını elde etmişti. Müşteri güncellemeyi uyguladığı zaman, müşterinin ağındaki Orion sunucusu – tüm takip ve yönetim yetkileri ile birlikte – saldırganların eline geçiyordu. Saldırganlar ele geçirdikleri sunuculara erişerek, Amerika'nın pek çok noktasındaki kritik ağlara, hem de yüksek yetkilerle, sızmış oluyordu.

Daha da kötüsü, bu uzun süredir devam ediyordu. Mart 2020'den bu yana yayımlanan güncellemelerde zararlı yazılım tespit edilmişti. Aradan geçen süre zarfında saldırganların bu erişimi hangi amaçlarla kullandığını, ne yaptığını ve yol açtığı hasarın boyutunu bilen yoktu. Milli Güvenlik Konseyi toplantısının hemen ardından ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (Cybersecurity and Infrastructure Security Agency - CISA) yayınladığı acil genelge ile ABD kamu kurumlarına, tüm SolarWinds Orion sistemlerinin kapatılması talimatını verdi.

Milli Güvenlik Meselesi

Bu konunun önemini kavramak için, SolarWinds'in müşteri portföyüne göz atmak yeterli. Yakın zaman öncesine kadar şirketin web sitesinde gururla yer verdiği, ancak olayın fark edilmesinin ardından hemen sildiği kısmi müşteri listesinden birkaç örneğe bakalım:

  • ABD Savunma Bakanlığı, Dışişleri Bakanlığı, Adalet Bakanlığı, Silahlı Kuvvetleri ve dünyanın en kabiliyetli elektronik istihbarat servisleri arasında sayılan NSA gibi devlet kurumları,
  • US Fortune 500 listesinde yer alan şirketlerden 425 tanesi,
  • Dünyanın en önemli bilişim şirketlerinden Microsoft,
  • Lockheed Martin ve General Dynamics gibi ABD savunma sanayiinin devleri,
  • Dünya çapında 5G konusunun önem kazanmasıyla adından sıkça söz edilen Cisco,
  • ABD'nin en büyük 10 telekom şirketinin hepsi,
  • ABD'nin en büyük 5 muhasebe şirketinin hepsi,
  • New York Times, CBS, Time Warner ve The Economist gibi medya kuruluşları.

Finans kuruluşları, danışmanlık şirketleri, hastaneler ve eğitim kuruluşları derken liste uzayıp gidiyor.

Hatırlarsanız geçtiğimiz dönemde ABD hükûmeti, milli güvenliği gerekçe göstererek, kritik ağ altyapısında Çin menşeli Huawei ağ cihazlarının kullanımını yasaklamıştı. Şimdi görüldü ki, saldırganlar bu kritik ağların değil uç birimlerini, merkezi yönetim sistemini ele geçirmiş. SolarWinds, 14 Aralık'ta ABD Sermaye Piyasası Kuruluna (US Security and Exchange Commission – SEC) gönderdiği resmi yazıda, "son derece sofistike ve hedefe yönelik, dış kaynaklı bir ulus devletin" saldırısına maruz kaldığını, bu saldırı sonucunda Mart-Haziran ayları arasında yayımlanan güncellemelerin zararlı yazılım içerdiğinin tespit edildiğini ve olayın aydınlatılması için FBI ve ABD istihbarat birimleri ile birlikte çalışmaların sürdüğünü kamuoyuna duyurdu. Ancak, SolarWinds hangi ulus devletin saldırıyı gerçekleştirdiğine dair yorum yapmadı. SolarWinds Başkanı ve Genel Müdürü sıfatıyla Kevin B. Thompson, bu olayın SolarWinds için yaratacağı finansal ve hukuki sonuçlar ile yaşanacak itibar kaybı konusunda herhangi bir öngörüde bulunamadıklarını şirketin hissedarlarına itiraf etti. 11 Aralık – 18 Aralık haftasında SolarWinds hisseleri %40 civarında değer kaybetti.

SolarWinds ayrıca, e-posta için kullandığı Microsoft Office 365 sistemine yönelik bir saldırı olduğunu ve bu konuda da Microsoft ile çalışmakta olduğunu duyurdu. Takip eden günlerde siber güvenlik uzmanları, saldırganların Office 365'in Çok Faktörlü Kimlik Doğrulama (Multi Factor Authentication – MFA) özelliğini atlatmaya yönelik bir yöntem geliştirdiğini tespit ettiler. Kesin olmamakla birlikte, saldırganların bu yöntemi erişim sağladıkları diğer ağlarda da uygulayarak e-postalara erişmiş olma ihtimali kuvvetli.

Saldırının Etkileri

Bu saldırıyı bu kadar etkili yapan, SolarWinds Orion ürününün popülerliği oldu. 2020 senesinin ilk 9 ayı için SolarWinds'in toplam gelirinin %45'i olan 343 Milyon Dolar bu üründen sağlandı. Ürünün dünya çapında 300.000'i aşkın müşterisi var, ancak SolarWinds'in tahminine göre saldırıdan etkilenen müşterilerin sayısı 18.000'in altında. Microsoft tarafından açıklanan verilere göre etkilenen müşterilerin %44'ü bilişim sektöründe, %18'i ağırlıkla finans, milli güvenlik, sağlık ve telekominikasyon alanlarında çalışan kamu kurumları, %18'i STK'lar, %9'u ağırlıkla savunma sanayi yüklenicileri ve geri kalan %11'lik dilim muhtelif kuruluşlardan meydana geliyor. Etkilenen şirketlerin coğrafi dağılımına bakıldığında ise, %80 ile büyük çoğunluğunun ABD'de yer aldığını görüyoruz. ABD dışında etkilenen toplam 7 ülke var. Bunlar Kanada, Meksika, Belçika, İspanya, Birleşik Krallık, İsrail ve Birleşik Arap Emirlikleri.

Microsoft Başkanı Brad Smith, 17 Aralık'ta kaleme aldığı yazıda "bir ulus devlet tarafından gerçekleştirilen en yeni ciddi siber saldırının geçtiğimiz günlerde ortaya çıkması, zaten zorlu geçen bir senenin son haftalarının daha da zorlu olmasına yol açtı. Bu siber taaruz açık bir şekilde ABD'ye, devletine ve güvenlik şirketleri dahil diğer kritik kuruluşlarına yapılan bir saldırıdır" dedi. Saldırının teknik düzeyine ve etkinliğine dikkat çeken Smith, ulus devletlerin siber saldırı alanında gösterdikleri kararlılık ve becerinin giderek artmakta olduğunu söyledi ve 2020 senesine damgasını vuran COVID-19 salgınının yarattığı koşulların, bu gibi siber saldırıların artmasına katkı sağladığına dikkat çekti. Saldırıyı "spesifik hedeflere yönelik gerçekleştirilen bir saldırı olmanın ötesinde, tek bir ülkenin istihbarat servisinin amaçlarına yönelik, tüm dünyanın kritik altyapısına olan güveni sarsmaya yönelik bir saldırı" olarak tanımlayan Smith de, SolarWinds gibi, eleştirilerinin hedefindeki ülkenin hangisi olduğunu belirtmedi.

Saldırının Arkasında Kim Var?

Bu noktada, ufak bir parantez açmakta yarar var. Konvansiyonel saldırılarla karşılaştırıldığında, siber saldırıların kimler tarafından gerçekleştirildiğinin kesin olarak belirlenmesi oldukça zor. Siber saldırı gerçekleştiren grupların, farklı grupların uyguladığı yöntemleri kullanmak suretiyle hedef şaşırtabildiği bilindik bir şey. Mesela, 2016'da CIA'ye ait olduğu iddia edilen ve "Vault 7" olarak isimlendirilen bilgi sızıntısında, CIA tarafından gerçekleştirilen siber operasyonlarda sıklıkla uygulanan bir yöntemin, eylemi Rus hacker'ların gerçekleştirdiği izlenimini uyandırmayı amaçladığına dair bulgular olduğu kamuoyuna yansıyan iddialar arasındaydı. Saldırının kaynağına dair en keskin iddia, 14 Aralık'ta Washington Post gazetesinin milli güvenlik muhabiri Ellen Nakashima'dan geldi. Nakashima, gizlilik şartı ile bilgi aldığı kaynaklara dayanarak, saldırının APT 29 ve Cozy Bear isimleriyle bilinen Rus hacker'lar tarafından gerçekleştirildiğini, bunun Rus dış istihbarat servisi SVR'nin bir birimi olduğunu ve bunun 2015'te ABD Dışişleri Bakanlığı'nın e-posta sunucularına saldıran grup olduğunu iddia etti. Washington Rus Büyükelçiliği'nin bu iddialara yanıtı ise "iddiaların asılsız olduğu" ve "Rusya'nın ofansif herhangi bir siber operasyon gerçekleştirmediği" yönünde oldu. Konu ile ilgili Trump hükûmetinden ilk açıklama 19 Aralık'ta dışişleri bakanı Mike Pompeo'dan geldi. Pompeo, saldırının "Ruslar tarafından gerçekleştirildiğinin oldukça açık" olduğunu söyledi.

Saldırı Nasıl Fark Edildi?

Saldırının uzun süre fark edilememiş olması bir hayli dikkat çekici. Sonunda nasıl fark edildiğinin de ilginç bir hikayesi var. Bu hikayenin merkezinde FireEye adında bir siber güvenlik şirketi yer alıyor. Merkezi Kaliforniya'da olan bu şirket 2004'te kuruldu. 3.400'den fazla çalışanı var ve piyasa değeri yaklaşık 3,5 Milyar Dolar. Geçtiğimiz yıllarda medyada geniş yankı uyandıran Sony ve Equifax şirketlerine yapılan siber saldırıların aydınlatılması çalışmaları ile adını duyuran FireEye'ın dünya çapında çok sayıda kamu ve özel sektör müşterisi var. FireEye'ın Rusya ile de dikkate değer bir geçmişi var. 2015'te Amerikan Dışişleri Bakanlığı'na yapılan siber saldırının sonrasında, Amerikalı yetkililerin destek aldıkları şirket FireEye oldu. Bu saldırı, Nakashima'nın bahsettiği ve SolarWinds saldırısının da arkasında olduğunu iddia ettiği Rus APT 29 grubuna atfettiği saldırı. Bunu takip eden yıllarda FireEye; ABD, Ukrayna ve Suudi Arabistan'da meydana gelen farklı siber saldırıların da yine Rus istihbarat servisleri tarafından gerçekleştirildiği iddialarını öne sürdü.

FireEye bir siber güvenlik şirketi. Yani, müşterilerine sağladığı hizmet, onları siber tehditlerden korumak. Her siber güvenlik şirketi gibi, müşterilerinin bu konuda duyduğu güven FireEye için son derece önemli olsa gerek. Ne var ki, geçtiğimiz günlerde FireEye kendisi bir siber saldırının mağduru oldu. SolarWinds olayının ortaya çıkması süreci de böyle başladı. Siber güvenlik alanında mutlak güvenlikten bahsetmek mümkün değildir. Mutlak güvenlik sağladığını iddia edenler ya bunun yapılamayacağını bilmeyecek kadar cahildir, ya da karşısındakini kardırmaya çalışıyordur. Ayrıca, siber güvenlik şirketleri saldırganlar için cazip bir hedeftir. Bu açıdan, FireEye'ın hack'lenmiş olması, anormal değildir. Ama FireEye'ın bunu fark ettikten sonra yaptığı önemlidir. 8 Aralık'ta FireEye Genel Müdürü Kevin Mandia, yaptığı yazılı açıklamada "son derece yetenekli ve disiplinli saldırganların, operasyonel güvenliğe çok dikkat ederek gerçekleştirdikleri bir saldırı" ile FireEye tarafından geliştirilen ve müşterilerinin siber güvenliğinin değerlendirilmesinde kullanılan Kırmızı Takım siber saldırı araçlarının çalındığını itiraf etti ve bu konuda FBI ve Microsoft ile birlikte çalıştıklarını söyledi. Business Insider'ın haberine göre, bu duyuru borsaya kote şirketin %13 değer kaybetmesine yol açtı.

9 Aralık'ta New York Times'da konu ile ilgili çıkan haberde, FireEye saldırısının arkasında Rusya'nın olduğu görüşü yer aldı. Washington'daki 'Stratejik ve Uluslararası Çalışmalar Merkezinden' bir siber güvenlik uzmanı olan James A. Lewis'in görüşüne göre, Rusya FireEye'dan intikam almak istiyordu. Microsoft Başkanı Smith'in ifade ettiği üzere, saldırganlar FireEye'ın sistemlerine SolarWinds'deki zafiyeti kullanarak eriştiler. Aslında konu, sadece FireEye'dan çok daha büyüktü. Bunun anlaşılmasının üzerine konu farklı bir boyut aldı ve birkaç gün sonra ABD Milli Güvenlik Konseyi toplantısı gerçekleşti.

FireEye İncelemesinin Sonucu

14 Aralık'ta FireEye, incelemesinin sonuçlarını kamuoyu ile paylaştı. Şirket;

  • UNC2452 adını verdiği, küresel ölçekte bir sızma kampanyası keşfettiğini,
  • SUNBURST adını verdiği zararlı yazılımın, SolarWinds Orion güncellemeleri ile yayıldığını,
  • Kampanyanın geniş etki alanına sahip olduğu, dünyanın farklı yerlerinde kamu ve özel kuruluşları etkilediği ve
  • Saldırganların kendilerini gizlemek için çeşitli tedbirler aldığını, ancak artık bu tedbirler bilindiği için bundan faydalanarak zararlı yazılımın tespitinin mümkün olduğunu açıkladı.

Ayrıca, etkilenen sistemlerin tespiti için geliştirdiği araçları, GitHub sayfası üzerinden herkesin kullanımına açtı.

Sonuç

Bu çalışma sayesinde saldırganların dokuz aydır ABD'nin ve diğer ülkelerin kritik ağlarına erişim sağlayabildiğini ve bunu nasıl yaptıklarını biliyoruz. Bilmediğimiz ise, bu erişimi hangi amaçlar için kullandıkları. FireEye özelinde, saldırganların şirketin en mahrem yazılım araçlarını çalabildiklerini biliyoruz. Ama FireEye, SolarWinds'in etkilenmiş olabileceğini kabul ettiği 18.000 müşteriden yalnızca bir tanesi.

Son olarak, bu olaydan ülkemiz için ne tür dersler çıkarabileceğimizi düşünmekte yarar var. Amerika bugün nasıl bir durum ile karşı karşıya? Saldırganlar SolarWinds kanalıyla girdikleri ABD'nin kritik altyapısının kılcal damarlarında bir seneye yakın fark edilmeden serbestçe dolaşmış. Bunca süre boyunca içeride ne yaptıklarını bilen yok. Şüphesiz Amerikalı yetkililer şu an gece gündüz demeden bu sorunun yanıtını arıyorlar. Ancak, şu bir gerçek ki, olan olmuş, giden gitmiş.

Amerika'yı bu duruma düşüren, kritik altyapıda kullanılan sistemlere yönelik bir tedarik zinciri saldırısı. Saldırıya uğrayan tedarik zincirinin sahibi SolarWinds, Amerikalı. Bunun üzerinde çalıştığı işletim sistemini geliştiren ve SolarWinds'e Office 365 ile e-posta hizmeti sağlayan Microsoft Amerikalı. Bu yazılımların üzerinde çalıştığı bilgisayarlar da Amerikalı. SolarWinds Orion ile yönetilen ağ cihazlarının da Huawei olmadığı aşikar. Bunların hepsi ABD’li olmasına rağmen, birileri bunlarda var olan güvenlik açıklarından ustaca yararlanarak ABD ürünlerini Amerika'ya karşı silah olarak kullanmış.

Bana göre, bu olaydan çıkarılması gereken dört önemli ders var:

  1. Tedarik zincirinin tamamı Amerika'nın kontrolünde olmasına rağmen, bu zincirin ufak bir bölümüne nüfuz edebilen saldırganlar bu denli etkili bir saldırı gerçekleştirebilmiş. Hal böyleyken, bir ülkenin kritik altyapısında kullanılan cihazların tasarım ve üretim süreçlerine hakim olmaması ve dışa bağımlı olması durumunda, bu olaydakinden çok daha büyük zarara uğrayabileceği, bunun sıklıkla olabileceği ve fark edilmesinin imkansıza yakın olacağı aşikardır. Bu sebeple, Türkiye'nin kritik altyapısını teşkil edecek milli çözümlere sahip olması elzemdir.
  2. Kullanılan ürünün milli olması, kritik altyapı güvenliği için bir şarttır, ancak SolarWinds örneğinden görüldüğü üzere, kendi başına yeterli değildir. Bilgisayar sistemleri eşyanın tabiatı gereği karmaşıktır ve karmaşıklık güvenliğin düşmanıdır. Sürekli değişen tehditlere ve teknolojiye ayak uydurabilecek, bu sayede güvenli milli ürünler tasarlayabilecek ve ardından bu ürünlerin kullanıldığı sistemlerde güvenliğin devamlılığını sağlayacak nitelikli insan gücü çok önemlidir.
  3. Mutlak güvenlik diye bir şey yoktur. Bir sistem, ne kadar iyi tasarlanmış olursa olsun, her zaman risk vardır. Bir sistemin güvenliğinin zafiyete uğradığını fark edebilecek, bunun nedenlerini belirleyebilecek ve buna yönelik en hızlı şekilde çözüm geliştirebilecek siber güvenlik şirketlerine ihtiyaç vardır. FireEye'ın saldırıya uğradığını açıklamasının ardından bu saldırının sebebi araştırılmış, SolarWinds olayı fark edilmiş ve birkaç günlük süre zarfında bu konuda çözümler geliştirilebilmiştir.
  4. Siber güvenlik risklerinin gerçekleşmesi durumunda, saldırıya uğrayan şirketin durumu ilk fırsatta yetkililere bildirilmelidir. Bu ülke güvenliği için önemli, koordineli bir çalışmanın başlatılması için gereklidir. Mesela FireEye, itibarının zedelenmemesi için saldırıya uğradığını gizlemeyi tercih etseydi, ülke güvenliği açısından bu kadar ciddi risk teşkil eden bir olay, aylarca nasıl fark edilmediyse, fark edilmeden devam edebilirdi. Tabii bu açıdan, kritik alanlarda çalışan şirketlerin milli olması da önemlidir; zira bu alanda çalışan bir şirket kendi itibarı ile milli çıkarlar arasında, milli çıkarları seçecek nitelikte olmalıdır.
açık