Quanta Computer, REvil Fidye Yazılımı Saldırısına Uğradı

Peş peşe gelen siber atak haberleriyle sarsıldığımız şu günlerde yeni bir siber akın olayı daha yaşandı. Apple’ın ve öteki teknoloji devlerinin bir numaralı bilgisayar tedarikçilerinden Quanta Computer, REvil fidye yazılımı çetesinin saldırısına uğradı.

Sodinokibi olarak da bilinen REvil fidye kümesi tarafından yapılan underground bir blog yayınında Quanta Computer Inc. sistemlerine sızıldığı argüman edildi. Tayvan merkezli bilgisayar şirketi Apple için Macbook’lar ve HP, Facebook, Alphabet (Google) üzere dev firmalara eserler üretiyordu.

Fidye kümesinin sözcüsü “Unknown” lakaplı saldırgan Rusya’nın en büyük underground hacker forumlarından birinde şimdiye kadar yapmış oldukları en büyük saldırıyı duyurmak istediklerini açıkladı. Anonim kalmak maksadıyla bu stil yeraltı kabahat forumlarından yayınlar yapan küme üyesi, kendisinin geçmişi hakkında bilgiye sahip olan birisine nazaran REvil kümesinin yeni üyeler almak için kurduğu kanalda saldırıyı Rusça ilan etti.

Bloomberg’e nazaran 20 Nisan’ın başlarında saldırganların hedeflediği kurbanların fidye ödemesi için alenen isimlerini açıkladığı “Happy Blog” isimli “.onion” web sitesinde en son Quanta Computer’i kurban olarak ilan etti. Bloomberg tarafından incelenen blog gönderisine nazaran tedarikçi firmanın ödeme yoluyla ilgilenmemesi nedeniyle Apple da stratejik üretim planlarının ifşa edilmesiyle tehdit ediliyor.

Quanta, yapmış olduğu açıklamada ne kadar datanın dışarıya sızdığına dair rastgele bir bilgi vermeden sistemlerinin atağa uğradığını kabul etti. Yapılan açıklamada “Quanta Computer bilgi güvenliği takımı Quanta sunucularına yapılan ataklara karşılık olarak dış kaynak bilişim uzmanlarıyla çalıştı.” denildi. Şirket açıklama metninde ayrıyeten “Gözlemlediğimiz son olağandışı hareketlerle ilgili kolluk kuvvetleri ve bilgi müdafaa yetkililerini bildirimlerde bulunduk ve onlarla problemsiz bir irtibat kurduk. Şirketin iş operasyonları üzerinde olumsuz bir tesir bulunmamaktadır.” dedi.

Saldırganlar Apple’ı Tehdit Ediyor

Apple’ın eser lansmanı sona erdikten çabucak sonra, REvil çetesi tarafından Mart 2021 kadar yakın bir vakit içerisinde tasarlanmış Macbook üzere gözüken birtakım projelere dair ayrıntılı 15 adet fotoğraf ve şema yayınlandı. Bu biçimde REvil çetesinin Apple’ı da sarsmaya çalıştığını söyleyebiliriz. Bleeping Computer isimli ünlü bilişim sitesi tarafından söylenene nazaran çete Apple’dan 1 Mayıs’a kadar fidye ödemesini yapmasını istedi. Saldırganlar ayrıyeten ödemenin gerçekleşeceği vakte kadar bilinmeyen birtakım yeni belgeleri da paylaşacaklarını açıkladılar.

Apple sözcüsü ise REvil çetesi ile rastgele bir uzlaşma yapılıp yapılmayacağına dair sorulan soruları cevaplamayı reddetti. Quanta ise olay sonrası bilgi güvenliği ve savunma sistemlerinin çabucak devreye girdiğini, olaydan etkilenen iç hizmetlerin problemsizce çalışmaya devam ettiğini belirtti. Ayrıyeten bilgilerin yeni taarruzlara karşı korunması için şirketin siber güvenlik altyapısının yükseltilmesi kararı alındı.

Saldırganların yaptığı atakları duyurdukları “Happy Blog” üzerindeki Quanta Computer başlığı.

Fidye Yazılımı ve REvil Siber Çetesi Nedir?

Fidye zararlıları isminden da kestirim edebileceğiniz üzere etkilediği kullanıcıların bilgisayarlarındaki bilgileri şifreleyen ve bunun karşılığında bir ölçü para isteyen ziyanlı programlara deniliyor. Ayrıyeten tipine bağlı olarak, bilgiler saldırgana da gönderilebiliyor. Ekseriyetle fidye yazılımını yöneten “operatörler” bilgilerin şifresini fidyeden sonra çözeceklerini ve bu bilgileri fidye ödendiği takdirde satmayacaklarını söylerler. Fakat gerçekte bunun ne kadar gerçek olduğunu maalesef ki hiçbirimiz bilemiyoruz.

Fidye yazılımları son yılların en çok kullanılan siber hücum tekniklerinden. Bulaşma teknikleri ise genel itibariyle saldırganın tekniklerine bağlı olarak değişebilmekle bir arada çoklukla geçersiz mail ekleri, inançsız korsan yazılımlar, güvenlik açıkları, toplumsal mühendislik bazlı akınlar kullanılmakta.

Artık her şeyimiz dijitalleştiği için elektronik ortamları hedefleyen cürüm örgütlerini de görmeye başladık. Fidye yazılımlarının eskiye göre daha tanınan olmasıyla birlikte bu işi yapmaya yönelik birtakım siber kabahat örgütlerinin de oluşmaya başladığına şahit oluyoruz. Haberimizin konusu olan REvil ise bu oluşumlardan yalnızca biri.

Saldırgan Kümenin Çalışma Biçimi ve Hedeflediği Coğrafya

Kaspersky tarafından 2019 yılında tespit edilen başka ismiyle Sodin olan siber çete çoklukla yaygın olan güvenlik açıklarını istismar ediyor. Kaspersky’nin tehdit aktörleri hakkında yaptığı araştırmaları yayınladığı blog olan Securelist’in yazısına nazaran saldırganlar ekseriyetle Asya-Pasifik bölgesinde etkinlik gösteriyor. Hedefledikleri kurbanlar daha çok Tayvan, Hong Kong ve Güney Kore coğrafyasındaki kurum ve kuruluşlar.

REvil kümesini öbür siber çete ve fidye yazılımı operatörlerinden ayıran temel fark ise, birçok fidye yazılımı saldırısı maksatlı yapılmazken REvil’in epeyce kilit kuruluşlara maksatlı yüksek profilli hücumlar düzenlemesi. Örneğin 2020 yılında bir vakitler Donald Trump’ın televizyon şirketlerinin hukukî süreçleriyle ilgilenen ofise yapılan siber atak, 2019 yılında ise seçim gününden çabucak evvel Louisiana seçmenlerine yapılan akın da birebir kümenin işi.

REvil Ransomware coğrafik yayılım haritası. Nisan – Haziran 2019 periyodu. / Kaynak: Kaspersky

Pazarlık Tezleri ve Sızıntılar

Bloomberg’in haber kolu tarafından incelenen bir metne nazaran, REvil çetesi geçen haftalarda Quanta Computer’i darkweb sayfalarında yer alan sohbet odalarında fidye pazarlığına çağırdı. Fidye yazılımı operatörü “bütün lokal verileri” çaldığını ve şifrelediğini tez ederek konuşmayı başlattı ve belgelerle sistemlerin kilidini açmak için 50 milyon dolar ödeme yapılmasını istedi. Bundan iki gün sonra kimliği bilinmeyen birisi “şirkette sorumlu, çalışan biri” olmadığını ama pazarlık şartlarının daha fazla açıklığa kavuşturulmasını istediğini belirtti.

Operatörler ile bilinmeyen kullanıcı ortasında yaşanan etkileşim ve bildiri trafiği epeyce baş karıştırıcı gözüküyor. Fidye yazılımı operatörleri de bundan mutlu kalmamış olacak ki Apple ile ilgili dataları internette yayınlamakla tehdit yolunu seçtiler. Saldırganlar ile gerçekleşen görüşmenin daha sonra e-posta üzerinden devam ettiği düşünülüyor.

REvil ise Apple’ın yeni çıkarmayı planladığı aygıtlar için hazırladığı tescilli özel planları yayınlamaya başladı. Yayınlanan imajlar bir Apple dizüstü bilgisayarının modüllerinin detaylarını ve birçok bileşenlerin seri numarası, kapasiteler, boyutlar üzere kıymetli bilgileri içeriyor. Yayınlanan fotoğraflardan birinin Apple tasarımcılarından John Andreadis tarafından 9 Mart 2021 tarihinde imzaladığı anlaşılıyor. Bundan yola çıkarak yayınlanan imajların sahiden Apple’a ilişkin olduğunu söyleyebiliriz.

Sonuç

Bu olaydan çıkarılacak ders ise şirketlerin güvenlik önlemi almalarının ne kadar değerli olduğu. Çünkü haberden de anlayabileceğiniz üzere bir şirketin ele geçirilmesi yalnızca onu değil, tıpkı vakitte iş ortaklarının da güç duruma girmesine neden oluyor. Bu durumların ise bir daha yaşanmaması için şirketlerin daha mağdur olmadan evvel “saldırı öncesi” ve etkilenmeyi azaltmak ismine “saldırı sonrası” güvenlik sistemlerine kıymet vermesi gerekiyor.

Unutmamak lazım ki her sistem ele geçirilebilir, hacklenebilir. Siber dünyada hiçbir vakit tam manasıyla inançta olduğumuzu asla söyleyemeyeceğiz lakin olasılıkları azaltmak ve akın sonrası yaşananlardan en az ziyanla çıkmak da alacağımız önlemlere nazaran bizlerin elinde olan bir şey. Bakalım daha neler neler olacak, vakit gösterecek.

Kaynak: Technopat