Tarihin En Büyük Fidye Yazılımı Saldırısı: Kaseya VSA Hakkında Her Şey
Son vakitlerde dikkatinizi kesinlikle çekmiş olmalı: Siber hatalılar ortasındaki trendler evvelki yıllara göre hayli değişti. Kaseya’ya yönelik yapılan ataklara değinmeden çabucak evvel, durumu daha âlâ anlayabilmek için siber hatalıların mantalitesine, fidye yazılımlarının trend oluşuna kadar olan sürece kısaca göz atmakta fayda var.
Evvelce saldırganlar daha çok ideolojik maksatlarla sistemlere ziyan verirken, 2010 ve sonrası ortaya çıkan yeni jenerasyon diyebileceğimiz bilgisayar korsanları bu yeteneklerini para kazanma gayesiyle kullanmaya başladı. Bunun sonucunda ise evvelki yıllara yani 2000’lerin başlarına kıyasla çeşitli hedeflerle “vahşi ortama” bırakılan ziyanlı yazılımların sayısında inanılmaz artışlar meydana geldi: Bankacılık zararlıları, casus yazılımlar, botnetler, amaçlı zararlılar ve dahası…
Ama bir tıp daha vardı ki dijitalleşmenin evvelki vakte kıyasla daha az olmasından mütevellit, şu ana kadar çok fazla örneği görülmemiş ve duyulmamıştı. Fidye yazılımları işte tam da dijitalleşme trendinin başladığı 2010’lu yılların ortalarında daha çok görülmeye başlandı. CryptoLocker, CryptoWall, GoldenEye olarak bilinen Petya fidye yazılımı akınları üzere olaylar siber kabahat sanayisinin yavaş yavaş bu tarafa kaydığını açıkça ortaya koyuyordu. Hakikaten 2017 yılında “WannaCry” ile yaşanan siber pandemi yüzünden milyonlarca şirketin ziyana girdiği, zararlıyı geliştirenlerin milyonlar, tahminen de milyarlarca dolar fidye elde ettiklerine şahit olduk.
Ama çoklukla bu usul akınlarda, ziyanlı yazılımın dağıtımı direkt zararlının geliştiricisi tarafından yapıldığı için kolluk kuvvetleri tarafından yakalanma ve istenilen tesire ulaşamama durumu ortaya çıkıyordu.
Bunun sonucunda kimi zeki saldırganlar, geliştirdikleri zararlıları botnetler aracılığıyla yayma yolunu tercih ettiler. Botnet operatörlerine ele geçirdikleri sisteme fidye yazılımlarını yükleme karşılığında elde edilecek olan paradan kurul vereceklerini söylediler. Bunun sonucunda çok kısa bir mühlet içerisinde fidye yazılımı çeteleri çok fazla sayıda sistemi etkileyebiliyor, tıpkı vakitte süratli bir çıkar elde ediyordu.
Günümüzde ise büyük ölçekli çalışan siber fidye çetelerinin çalışma hali az daha değişiklik göstermeye başladı. Olağan kullanıcılardan çok daha çok şirketleri hedefleyen REvil, DarkSide üzere çeteler direkt kendilerini riske atmamak ve daha fazla kâr elde etmek ismine RaaS (Ransomware as Service) hizmetleri kurmaya başladılar. Yasal SaaS hizmetlerine benzeri formda, fidye yazılımı hizmetleri satıldı. Her geçen gün farklı farklı şirketin, farklı farklı RaaS müşterilerine para kazandırmak için hedeflendiğini gördük.
Bu sefer ise saldırganlar daha gelişmiş teknikler kullanmaktan çekinmedi diyebiliriz. Ekseriyetle yalnızca devlet takviyeli hacker kümeleri tarafından yapılan hücumlarda kullanılan bir usul olan supply-chain yani tedarik zinciri saldırısının bir fidye yazılımı çetesi tarafından kullanıldığına birinci sefer şahit oluyoruz. Hem de bu bahsettiğimiz olayın Kaseya üzere çok büyük bir şirketin üstünden yapılmasına.
Kaseya milletlerarası olarak İrlanda, Dublin merkezli bir teknoloji firması. Amerika’da ise Miami ve Florida’da bulunuyor. 10 ülkede varlığını sürdüren büyük bir yazılım geliştiricisi olduğunu söyleyebiliriz.
Kaseya daha çok IT dalına yani bilişim bölümüne yönelik yazılımlar geliştirdiği için en tanınan yazılımı VSA diyebiliriz. VSA, Kurumsal alanda sunucuların, sistemlerin durumunu takip maksadıyla kullanılan uzaktan sistem izleme/monitoring ve takip yazılımı. Ayrıyeten şirket sırf VSA eseriyle değil, sunmuş olduğu profesyonel hizmetler ve otomasyonlarla da biliniyor.
Firmanın son kullanıcıya hitap eden rastgele bir yazılımı olmadığı üzere, tüm yazılımları sırf işletmeler ve hizmet sağlayıcıları düşünülerek geliştirilmiş. Dünya çapında 40.000’den fazla şirketin en az bir Kaseya tahlilini kullandığı biliniyor. Öteki şirketlere de çeşitli alanlarda dayanak veren hizmet sağlayıcılar yani MSP’lere de yönelik teknolojiler sağladığı için, Kaseya yazılımlarını kullanan ve kullanmayan herkese yönelik uzun bir tedarik zincirinin merkezinde yer alıyor diyebiliriz.
Takvimler 2 Temmuz 2021 tarihini işaret ettiğinde saat 14.00’te Kaseya CEO’su Fred Voccola bir açıklamada bulundu. VSA’ya karşı bir taarruz yapıldığı ve bu hücum nedeniyle az sayıda şirketin de potansiyel olarak etkilendiği duyuruldu. Voccola tarafından yapılan açıklamada ayrıyeten Kaseya VSA hizmeti müşterilerinin kullanmış olduğu VSA sunucularını hemen kapatmaları gerektiği de söylendi. Kaseya yöneticisi “Bunu en kısa vakit içerisinde yapmanız çok kıymetli zira saldırganlar birinci olarak yöneticilerin VSA’ya erişimi kapatıyorlar” diye durumu izah etti.
Daha olayın ne olduğu anlaşılamamışken olaydan etkilenen müşteriler ve hizmet sağlayıcıları mailler, telefon görüşmeleri, bildirimler üzere çeşitli kanallar vasıtasıyla bilgilendirilmeye başlandı.
Ayrıyeten Kaseya’nın kriz idaresi ile ilgilenen “Kaseya Incident Response” takımı olayı araştırırken, akınların daha geniş yüzeye yayılmaması için SaaS sunucularını kapatıp data merkezlerini büsbütün çevrimdışı pozisyona getirmeye karar verdi. 4 Temmuz tarihinde yapılan açıklamada ise olayın ciddiyetinin farkında olup kendilerinin epey güzel planlanmış “sofistike ve gelişmiş bir siber saldırının” mağduru olduklarını söyledi.
FireEye şirketinin bünyesinde bulunan ve isimli bilişim manasında büyük tartısı bulunan Mandiant grubu de sorunu çözmek gayesiyle Kaseya’ya takviye vermeye başladı. Kaseya tarafından yapılan açıklamada ise sorunu bütün coğrafyalarda çözmek için 7/24 çalışılmaya devam edildiği söylendi. Ayrıyeten sundukları SaaS tahlillerinin faal hale gelmesi için daha fazla vakte muhtaçlıkları olduğunu belirttiler.
FBI tarafından yapılan tanıma nazaran, Kaseya VSA yazılımında bulunan bir güvenlik açığı birden fazla hizmet sağlayıcının müşterilerine karşı kullanılarak bir tedarik zinciri saldırısı gerçekleştirildi.
Güvenlik literatüründe “supply chain attack” ismi verilen bu formül saldırganların direkt maksatlarına saldırmak yerine, maksadın hizmet aldığı kuruluşları etkileyerek dolaylı yoldan da olsa sistemleri ele geçirmeye dayanan bir teknik. Daha çok devlet takviyeli gelişmiş tehdit kümelerinin kullandığı bu usul gelişmiş atakların fidye yazılımı çetelerince uygulanmaya başlaması epeyce garip diyebiliriz.
Siber güvenlik firmalarına nazaran Kaseya’daki duruma yol açan şey, saldırganların kimlik doğrulama basamaklarında yer alan güvenlik açıklarını kullanarak doğrulanmış hesaplara erişmesi ve SQL injection akınları yardımıyla veritabanı sisteminde bulunan geniş yetkileri kullanarak sistemde kod yürütmesiydi. SQL injection akınları yalnızca veritabanından bilgi almak için değil ayrıyeten gereğince ayarlanmamış veritabanı yetkileri kelam hususuysa tüm sistemde uzaktan komut çalıştırmayı mümkün hale getiriyor.
Huntress’in CEO’su Kyle Hanslovan, hücum hakkında 6 Temmuz 2021’de düzenlenen bir web seminerine katılan iştirakçilere tehdit aktörlerinin epeyce verimli teknikler izlediğini belirtti. Tehdit aktörlerinin VSA yardımıyla kaç tane işletmeyi gaye aldıklarının bilinmediğini ancak saldırganların güya vakte karşı bir yarış içindeymiş üzere davrandığını belirtti.
Güvenlik devlerinden Sophos, yayınlamış olduğu raporda bir VSA sunucusunun asıl maksadının yazılım dağıtımı ve bilişim vazifelerinin otomasyonu olduğu için Kaseya müşterisi olan bu şirketlerin sunucu ve ekipmanlara yüksek seviyede inanç duyduğunu, saldırganların da bunu bilerek VSA sunucularına sızdığını belirtiyor. Bir saldırganın VSA sunucularına sızması durumunda istemcilerin VSA sunucularının talep ettiği her misyonu yapacağını da belirtiyor.
Tekrar bir öteki siber güvenlik uzmanı olan Kevin Beaumont’a nazaran bu fidye yazılımı, sistemleri ele geçiren saldırganlar tarafından “Kaseya VSA Agent Hot-Fix” isminde düzmece bir Kaseya güncellemesiymiş üzere aygıtlara gönderilip bulaştırılmış. Beaumont, REvil fidye yazılımını içeren bu geçersiz güncellemenin MSP’ler yani hizmet sağlayıcılar yardımıyla onların da müşterilerine yayıldığını söyledi. Maalesef dolaylı yoldan da olsa Kaseya müşterisi olmayan kuruluşlar da bu ataktan etkilendi.
Huntress firması RiskIQ ile yaptığı çalışma sonucunda akının başladığı nokta olarak kullanılması mümkün görülen bir AWS IP adresini de yardımcı olabileceği niyetiyle araştırmaya aldı. Birebir vakitte 5 Temmuz tarihinde Kaseya tarafından akına ait bir genel bakış yazısı yayınlandı. Şirket tarafından makus maksatlı yazılımın daha fazla yayılmasını engellemek gayesiyle şirket içi müşterilere VSA sunucularını kapatmaları için çeşitli kanallar yoluyla bildirimler gönderildiği ve VSA SaaS hizmetinin durdurulduğu bilhassa belirtiliyor.
Firmaya nazaran saldırganların kullanmış olduğu bir zero-day yani sıfır gün açığı kimlik doğrulamasını bypass etmek emeliyle kullanıldı ve sistemde üçüncü parti kod yürütüldü. Sistemler kullanılarak da müşterilere fidye yazılımları bulaştırıldı. Şirket tarafından ayrıyeten yapılan araştırmalarda saldırganların VSA’nın kaynak kodunu değiştirdiğine dair rastgele bir bulguya rastlanmadı. Yani bütün olay düzmece güncellemelerin gönderilmesiyle gerçekleşti diyebiliriz.
Hollanda’da yer alan DVID (Dutch Institue for Vulnerability Disclosure / Güvenlik Açıkları İfşa Enstitüsü) araştırmacısı Wietse Boonstra daha evvel fidye yazılımı taarruzlarında sıkça kullanılan CVE-2021-30116 kodlu bir güvenlik açığını da tespit etmişti. Bunlar da açıkların ifşası kapsamında raporlanmıştı. DVID, Kaseya ile güvenlik açıklarının ortaya çıkmasından çabucak sonra daima temas halinde olduklarını belirtti. Ayrıyeten ifşa raporundaki unsurlar çok açık ve net olmadığı için kendilerine sık sık sorular sorulduğunu da belirtti. Tüm süreç boyunca Kaseya’nın sorunun düzeltilmesi ve ayrıyeten açıklı sistemlerin yamanması için harikulâde bir gayretle çalıştığının altı çiziliyor.
Kaseya akının yaşandığı hafta boyunca SaaS müşterilerinin risk altında olmadığını belirtti. Kestirimlere nazaran direkt şirket içi Kaseya müşterilerinden 40 adedinin etkilendiği düşünülüyor. Bununla birlikte birçok kobi hizmet sağlayıcılar hasebiyle etkilendi. Raporlara nazaran İsveç’te yer alan 800 adet süpermarket kasalarını açamadığı için süreksiz müddetliğine kapanmak zorunda kaldı. Huntress’ın Reddit’te yaptığı bir açıklamaya nazaran aşağı üst 1.000 şirketin sunucuları ve iş istasyonları şifrelendi. Binlerce küçük işletmenin bundan olumsuz etkilendiği belirtildi.
Sophos Lider Yardımcısı Ross McKerchar, akının Sophos’un görmüş olduğu en geniş kapsama sahip fidye yazılımı ataklarından biri olduğunu söyledi. Şu anda elde ettikleri ispatlara nazaran 70’den fazla hizmet sağlayıcı ve bununla bir arada 350 kuruluşun etkilendiğini belirtti. Mağdur kuruluşların tam sayısının rastgele bir güvenlik şirketinin bildirildiğinden daha yüksek olması bekleniyor.
6 Temmuz’da yapılan varsayımlara nazaran direkt 50 müşteri, zincirin alt kısmında ise 800 ile 1.500 işletme akına uğradı. Kaseya CEO’su Fred Voccola yaşananların güvenliği ihlal edilen az sayıda insan için berbat bir durum olduğunu söyledi.
Siber hücum REvil siber çetesinin sızıntıları yayınladığı TOR ağındaki bir web sitesi olan “Happy Blog” üzerinden duyuruldu. Hücumun yapıldığı hafta sonu blog sayfalarında yaptıkları güncellemeyle Rus kontaklı olduğu düşünülen küme 1 milyondan fazla sisteme ziyanlı yazılım bulaştırıldığını argüman etti.
Ayrıyeten REvil, Bitcoin para ünitesinde ödenmek koşuluyla 70 milyon dolarlık bir pazarlık teklifi sundu. Ödemenin yapılması karşılığında bütün sistemlerin ve şifreli belgelerin açılabilmesini sağlayan şifre çözme anahtarını sunacağını söyledi.
REvil çetesi daha evvel Quanta Computer, Acer üzere şirketlere yönelik yaptığı siber hücumlarla da ilişkilendirilmişti.
Ama atağın yaşanmasından yaklaşık 1 hafta sonra garip bir durum yaşandı. REvil fidye yazılımı kümesi apansız kayboldu. Aylardır birçok şirkete dertler yaşatan bu siber çetenin kaybolmasının nedeninin çok fazla dikkat çekmeleri olduğu düşünülüyor. REvil’in gerisinde her kim varsa daha fazla bunu sürdürmek istemedi yahut çemberin daralmasından dolayı korktu diyebiliriz.
REvil çetesine ilişkin Happy Blog’ta Kaseya saldırısına ait yapılan duyuru. – Fotoğraf Kaynağı: Charlie Osborne | ZDNet
Kaseya saldırısından etkilenen sistemlere bulaşan fidye yazılımları evrakları özel bir anahtar yardımıyla şifreleyip, uzantılarını “.csruj” haline getiriyor. Fidye yazılımının operatörleri ödemenin yapılması durumunda bir şifre çözme anahtarı sağlayacaklarını söylüyor. Ayrıyeten bunu kanıtlamak için de bir adet evrakın şifresini fiyatsız çözebileceklerini de belirtiyorlar.
Saldırganlar, fidye yazılımları etkilenen sistemlere bıraktıkları notlarda bunun yalnızca bir iş olduğunu, menfaatleri dışında rastgele bir kimseyi umursamadıklarını, işlerini ve yükümlülükleri olan atakları yapmazlarsa kimsenin onlarla iş tutmayacağını belirttiler. Ayrıyeten bu notta atağın rastgele bir çıkar için değil, daha fazla sundukları hizmet çerçevesinde olduğunu, vakit kaybedilmemesi için fidye karşılığı sunabilecekleri özel anahtarın ellerinde olduğunu da yazdılar.
Kimi firmalardan 44.999 dolar fidye istenirken, kimilerinde ise 5 milyon dolara kadar fidye istendiği görülüyor. Güvenlik araştırmacısı Kevin Beaumont ne yazık ki atağa uğrayan şirketlerin rastgele bir tahlil garantisi olmamasına karşın fidye yazılımı operatörleriyle pazarlığa oturduğunu söylüyor.
Sophos yaşananların daha âlâ anlaşılabilmesi ismine REvil fidye yazılımının sistemlerde nasıl faal hale geldiğini ve şifrelemeyi gerçekleştirdiğine dair bir demo yayınladı.
Kaseya, yaşanan ihlal sonrası süratlice aksiyon alarak Federal Araştırma Ofisi (FBI) ve ABD Siber Güvenlik Altyapı Ajansı (CISA) olmak üzere siber güvenlik kuruluşları ve kolluk kuvvetlerine bilgi sağladı.
Akından sonra Amerika Birleşik Devletleri Lideri Joe Biden, federal istihbarat teşkilatlarını olayı soruşturmak için yönlendirdiğini duyurdu. Ayrıyeten Beyaz Saray tavrını biraz daha sertleştirerek Biden aracılığıyla Rusya Devlet Lideri Vladimir Putin’i Rusya kaynaklı siber akınlardan dolayı uyardı.
Rusya kaynaklı olduğu düşünülen bu taarruzları Rusya’nın kendi içinde halletmemesi durumunda, ABD’nin kendi başına harekete geçip duruma müdahale etme hakkının gizli olduğunun altı çizildi.
ABD lideri Joe Biden tarafından Rusya devlet lideri Putin’e yapılan ihtarlardan sonra sonra REvil çetesine ilişkin web sitesi kolluk kuvvetlerince ele geçirildi. Genel itibariyle siber hücumlarda, saldırganlara ilişkin web sitelerine el konulduğu çok ender görülen bir durumdur. Saldırganların daha da göz önünden kaybolması istenmediği için bu türlü bir yol tercih edilmez. Tercih edilmesi durumunda da zati çoktan saldırganlara ulaşılmış olunur.
Kolluk kuvvetleri el koyduğuna nazaran yalnızca Kaseya saldırısı için değil, REvil çetesi için de sonun yaklaştığını söyleyebiliriz. Çünkü bunun bir nevi REvil çetesi hakkındaki soruşturma sürecinin bitmeye yakın olduğuna dair bir işaret olduğunu düşündüğümüzü belirtmekte fayda var.
Ek olarak ele geçirmeden öncesinde, Joe Biden’ın Putin’e yönelik yaptığı ikazlar sonucunda kümenin ABD tersi olduğu için inançlı liman olarak gördüğü Rusya devletinin de baskısından korkmasından dolayı çoktan ortadan kaybolduğu argüman ediliyordu.
Nihayet Üniversal Şifre Çözme Anahtarı Bulundu
Şimdi bu uzun yazı hazırlanırken, 22 Temmuz’da Kaseya üniversal bir şifre çözme anahtarı sağlamayı başardığını açıkladı. Bilinmeyen bir “üçüncü taraf” aracılığıyla elde edilen şifre çözme anahtarı zararlıdan etkilenen sistemlerde test edildi ve muvaffakiyetle belgelerin kurtarılabildiği gözlemlendi.
Kaseya, kilitli sistemler nedeniyle hala dert çekmeye devam eden müşterilerine dayanak ulaştırmak için güvenlik firmalarından Emsisoft ile de çalışmaya başladı.
Yapılan açıklamada müşteriler için en yüksek güvenlik düzeylerini sağlamaya kararlı olduklarını, daha fazla detay elde ettikçe sayfalarından duyuracaklarını belirttiler. Fidye yazılımlarından etkilenen müşterilerine ise Kaseya temsilcilerinin kesinlikle ulaşılacağı söylendi.
Kaynak: ZDNet
Kaynak: Technopat