Bilişim firmalarından biri olan SolarWinds, birebir vakitte CrowdStrike güvenlik yazılımı ile de çalışan bir firma, kendi eserleri olan Orion’a saldıran ve bir backdoor eklemek için faaliyet gösteren yeni bir cins makus emelli yazılım ile karşılaştı ve CrowdStrike ile geçtiğimiz ay görüşmelere başladı. Şuan verilen bilgilere nazaran bu berbat emelli yazılım kesiminin ismi Sunspot ve daha evvel incelenmiş olan Sunburst backdoor’u Orion eserine geçirmek yani enjekte etmek için kullanılmış.
SolarWinds’e yapılan bu hücumda, bilgisayar korsanları Sunburst backdoor’una erişen trojan virüsü haline getirilmiş Orion güncellemelerini oluşturdu ve bunları 18.000 müşteriye gönderdi. Ancak bu binlerce kullanıcı amaç kitlesini oluşturmuyor, yalnızca birkaç yüzü asıl gaye. Ve bu gayelere ulaşmak için de Teardrop isimli hacking sonrası ikincil yükü yükleyen araç kullanılmış.
CrowdStrike tarafından yapılan tahlil sonucunda, bilgisayar korsanlarının Sunspot'u SolarWinds sistemlerine yerleştirdiği ortaya çıktı. Sunspot, tehlike altındaki sistemde Orion eserinin ile bağlantılı süreçlerin varlığını her saniye denetim etmek için tasarlanmıştır. Ve Sunspot, bilhassa Microsoft Visual Studio üzere geliştirme araçlarıyla alakalı olan MsBuild.exe sürecini tarar.
SolarWinds Saldırısının Kaynağı Nedir?
Ocak ayında gerçekleşen hücumda birinci başta güvenlik şirketleri açıklama yapmaktan uzak durdu. Öte yandan, ABD hükümet yetkilileri SolarWinds saldırısını mümkün menşesini Rus olarak nitelendirdi.
ABD hükümeti öte yandan belli bir hacker kümesine bağlamadı. Kimi haber kaynakları saldırıyı APT29 (veya Cozy Bear) olarak bilinen bir kümeye yöneltirken, sürece dahil olan tüm siber güvenlik firmaları ve araştırmacılar önlemli davranarak şu an bir hacker kümesini ifşa etmedi.
Pekala sebebi neydi, nasıl başladı?
Merak edilen bahis ve siber güvenlik tedbirleri için de cevaplanması kaçınılmaz olan soru, bilgisayar korsanları birinci etapta SolarWinds şirketin ağını ihlal etmeyi ve Sunspot isimli bu yeni berbat hedefli yazılımını kurmayı nasıl başardılar. Bir e-posta maksatlı kimlik avı yani oltalama saldırısı mıydı yoksa varsayım edilebilir bir parola ile sebebi ile berbata kullanılan bir kullanıcı profili ya da sunucu şifresi hackleme miydi?
Bilgisayar Korsancılığına Karşı Güvenlik Tedbirleri
Hem firmalar hem de bireyler günümüzde daha evvel hiç olmadığı kadar internete bağımlı ve bağlı olduklarından ötürü, tüm internet kullanıcıları muhakkak seviyede risklere her gün maruz kalabiliyor. Size yani ferdî internet kullanımınıza yahut işinize yönelik siber güvenlik atakları ihtimalini en aza indirmek için tüm siber güvenlik cürümleri ve ilgili teknik hususlar hakkında uzman olmanız gerekmez. Aşağıda bahsedilen örnekler hem ferdî kullanımda son kullanıcılara hem de ölçeklendiğinde enterprise düzeyinde kullanıcılara hitap edebilir.
Kimlik avı – Oltalama Akınlarına Karşı Kendinizi Koruyun
Günümüzde hayli yaygın olan oltalama akınları kullanıcıların uygun niyetini ve dikkatsizliğini suiistimal eden email gönderilerinden ve ilettiği makus emelli linklerden oluşur. Bir piyango yahut öbür bir ödül kazandığınızı söyleyen bir email ya da gerçek olması çok uzak ya da çok güzel görünen bir temasa tıklamamak en uygunudur. Yapmanız gereken kendi epostanızda iseniz bu tıp e-postaları spam olarak bildirmek ve şirket içinde iseniz BT grubuna de haber vermeniz olacaktır.
Şayet program indirecekseniz inançlı kaynaklardan indirin
Rastgele bir yazılım indirmek istiyorsanız muhakkak torrent sitelerine güvenmeyin. Emniyetli olmayan kaynaklardan yazılım indirmek demek bu yazılımı kendi çıkarları için değiştiren bilgisayar korsanlarına karşı savunmasız kalmak ve birebir vakitte kendi ellerinizle bu manipüle edilmiş yazılımları bilgisayarınıza almak demektir.
VPN Kullanın
Virtual Private Network yani Sanal Özel Ağ programları, şifreleme teknolojileri ile sizin aygıtınız ile internet sağlayıcısı ile ortadaki ilişki trafiğini şifreler, anonim hale getirir ve gizler. Şimdiki ve düzgün performansa sahip sağlam bir VPN kullanmak üçüncü tarafların sizi tespit etmesini imkansızlaştıracağı için atakta bulunmaları ihtimalini de azaltacaktır. Araştırma yaparak en güzel fiyatsız VPN’ler sayesinde de bu muhafazayı eşit derecede sağlamak mümkün olabilir.
Toplu Kullanıma Açık Aygıtlarda Kesinlikle Bilinmeyen Modu Kullanın
Zımnî modu kullandığınız vakit aygıtlar üzerinde yani tarayıcı üzerinde kullanıcı kimlik bilgileriniz yahut tarayıcı geçmişiniz saklamaz. Şayet halka açık bilgisayarları yahut öbür birinin telefonunu yahut bilgisayarını kullanmak zorunda kalırsanız, kendi bilgilerinizi girmeden evvel kesinlikle kapalı sekme kullanın ve akabinde inançlı çıkış yapmayı ihmal etmeyin. Böylelikle şahsî ve hassas bilgilerinizi kendi elinizle ve yalnızca dikkatsizlik sebebi ile diğerlerine sunmamış olursunuz.
Hassas bilgileri (banka şifreleri vb.) girmek için ekran klavyesini kullanın
İnternet üzerinde klavye hareketlerini kaydeden birçok yazılım dolaşıyor. Bilhassa banka, finansal hizmet ve kredi kartı bilgilerinin girildiği e-ticaret siteleri üzere platformlara yönelik kullanıcı data hırsızlığı ataklarında klavye kayıtlarını tutabilen casus yazılımlar kullanılır. Bu nedenle, kullanmakta olduğunuz aygıtta kullanıcı isminiz ve şifreniz üzere hassas bilgileri girerken ekran klavyesini kullanın. Birden fazla internet bankacılığı bu imkanı sunuyor hatta kimi devlet kuruluşu ödeme platformları karma bir tertipteki ekran klavyesi ile giriş yapmayı mecbur kılıyor.
Tıklamadan evvel URL'yi denetim edin
Bir saldırıyı kurtarmaya çalışmaktansa en baştan önlemek en güzelidir. Kullanıcılar olarak rastgele bir web sitesine giriş yaptığınızda ya da email içerisindeki uzantılara tıklamadan evvel, erişmeye çalıştığınız sitenin URL'sini denetim ettiğinizden emin olun. Ve girmeye çalıştığınız URL, erişmek istediğiniz sitenin aynısıysa kendi şahsî bilgileriniz ile giriş yapın. Siber hatalılar ekseriyetle standart web sitelerine çok lakin çok benzeyen düzmece oturum açma web sayfaları oluşturabilir, bu firmaların newsletter ya da bilgilendirme emaili üzere mesajlarını de hem görsel hem tasarım olarak kopyalamaya çalışabilirler. Ve bunları kişinin bilgilerini çalmak için yaparlar. Uydurma bir web sayfasını belirlemek sıkıntı göründüğü kadar güç değil zira her vakit URL’leri özgününden farklı olacaktır, yalnızca dikkatle bakmak kâfi.