Dijital güvenlikte dünya lideri olan ESET, son 12 ayda birçok hedef noktayı etkileyen, en kötü bilgisayar korsanlığı ve veri ihlali olaylarının neler olduğunu inceledi. Veriler 2022 yılında yıkıcı siber saldırılarda azalma olmadığını gösteriyor.
2022 yılında küresel ekonomi, bir krizden diğerine sürüklenerek altüst oldu. COVID-19 birçok bölgede azalmaya başladığında, bunun yerini artan enerji faturaları, yükselen enflasyon ve hayat pahalılığı aldı. Bunların bir kısmı Rusya’nın Ukrayna’yı işgal etmesinin sonucuydu. Bu gelişmeler finansal güdümlü ve devlet destekli tehdit aktörleri için yeni fırsatların kapılarını açtı. Bu aktörler, hükümetleri, hastaneleri, kripto para şirketlerini ve birçok diğer kuruluşu hedef aldı. Hazırlanan liste belli bir sıralama ölçütü taşımıyor. Uzmanlar, listeyi Ukrayna’yı hedef alan ve hemen ardından dünya genelinde karşılaşılan kötü amaçlı siber saldırıları göz önüne alarak oluşturduklarının altını çiziyorlar.
- (Siber) saldırı altındaki Ukrayna: Rusya işgalinin başlarında ESET araştırmacıları, ülkenin elektrik şebekesini hedefleyen ve yüksek voltajlı elektrik trafo merkezlerine karşı kullanılan Sandworm isimli yıkıcı kötü amaçlı yazılımı da içeren bir saldırıyı etkisiz kılmak için CERT-UA ile yakın bir şekilde işbirliği yaptı. 2016’da Ukrayna’da elektriği kesmek amacıyla bir grup tarafından kullanılan kötü şöhrete sahip bir yazılım türünden sonra ESET’in Industroyer2 olarak adlandırdığı söz konusu yazılım, yıkıcı CaddyWiper veri temizleyicisinin yeni bir türü ile birlikte büyük ihtimalle saldırının arkasındaki grubun izini gizlemek, olaya müdahale edilmesini yavaşlatmak ve elektrik firması operatörlerinin ICS konsollarının kontrolünü tekrar sağlamasını önlemek için kullanıldı.
- Daha çok veri temizleyici saldırısı: Uzmanlara göre CaddyWiper, Rusya işgalinin hemen öncesinde veya ilk haftalarında Ukrayna’da tespit edilen tek yıkıcı veri temizleyici değil. 23 Şubat’ta ESET telemetrisi, Ukrayna’daki birkaç kuruma ait yüzlerce cihazda HermeticWiper veri temizleyicisini tespit etti. Ertesi gün, Ukrayna hükümet ağına karşı ikinci bir yıkıcı, veri silme saldırısı başladı ve bu sefer IsaacWiper ortaya çıktı.
- İnternetin yavaşlatılması: İşgalden yaklaşık bir saat önce ticari uydu internet şirketi Viasat’a yönelik gerçekleştirilen büyük bir siber saldırı, Ukrayna’daki ve Avrupa’nın diğer yerlerindeki yüzlerce insanın kullandığı geniş bantlı internet hizmetini aksattı ve geride bir işe yaramayan binlerce modem bıraktı. Uydu ağ sisteminin yönetim bölümüne erişim sağlamak amacıyla yanlış yapılandırılmış bir VPN hizmetinin kullanıldığı söz konusu saldırı ile işgalin ilk saatlerinde Ukrayna komuta kademesinin haberleşme yeteneklerinin bozulmasının amaçlandığı düşünülüyor. Ancak bu saldırının etkileri sadece Ukrayna ile sınırlı kalmadı.
- Kosta Rika’da Conti saldırısı: Bu yıl kayıt dışı siber suç dünyasının bir büyük oyuncusu da hizmet olarak fidye yazılımını (RaaS) kullanan Conti grubu oldu. Bu grup, en ciddi saldırılarından birini küçük bir Güney Amerika ülkesi olan Kosta Rika’ya karşı gerçekleştirdi. Hükümet bu sarsıcı saldırıyı “siber terörizm” olarak adlandırdıktan sonra ulusal acil durum ilan etti.
- 2022’de diğer fidye yazılım aktörleri de harekete geçti. Eylül ayına ait bir CISA uyarısı, İran bağlantılı tehdit aktörlerinin diğer hedeflerinin yanı sıra ABD’deki bir yerel yönetime ve havacılık şirketine saldırı düzenlediğini açıkladı. Bu saldırıda, devlet destekli kuruluşlar için pek de yaygın olmayan bir şekilde fidye yazılımı saldırıları için kötü üne sahip Log4Shell kullanıldı. Aynı zamanda Kasım ayında ABD’deki bir devlet organizasyonuna yönelik gerçekleşen saldırı için de İran suçlandı. İsmi açıklanmayan bir Federal Sivil Yönetim Organı (FCEB) kuruluşu veri ihlaline maruz kalmış ve bu saldırıda kripto para madenciliğine yönelik bir kötü amaçlı yazılım kullanılmıştır.
- Ronin Network, Vietnamlı blok zincir oyun geliştiricisi Sky Mavis tarafından Axie Infinity oyunu için Ethereum yan zinciri olarak oluşturuldu. Mart ayında bilgisayar korsanlarının, ele geçirilmiş özel şifreleri kullanarak iki ayrı işlemle Ronin Bridge’den 173.600 Ethereum (592 milyon ABD doları) ve 25,5 milyon ABD doları tutarında para çektiği ortaya çıktı. Mart ayı fiyatlarıyla 618 milyon ABD doları tutarındaki hırsızlık, bir kripto firmasından yapılan şimdiye kadarki en büyük hırsızlık oldu. Kötü üne sahip Kuzey Koreli grup Lazarus, saldırıdan itibaren olayın arkasındaki isim olarak gösteriliyor. Ortalıklarda görünmeyen ve izine geçmişteki milyar dolar tutarındaki hırsızlık olaylarında da rastlanan grubun bu olayları nükleer ve füze programlarını fonlamak için kullandığı düşünülüyor.
- Lapsus$ 2022’de bir şantaj grubu olarak adını duyurdu ve kurumsal kurbanlarından zorla ödeme alabilmek için yüksek profilli veri hırsızlıklarını kullandı. Söz konusu kurumsal kurbanları arasında Microsoft, Samsung, Nvidia, Ubisoft, Okta ve Vodafone var. Kullandıkları yöntemler arasında ise firmalardaki veya yüklenicilerdeki kişilere rüşvet vermek yer alır. Grup bir süre boyunca nispeten sessizliğini korumuş olsa da Grand Theft Auto’nun geliştiricisi Rockstar Games’e saldırarak yılın sonunda tekrar ortaya çıktı. İddiaya göre grubun birkaç üyesi Birleşik Krallık ve Brezilya’da tutuklandı.
- Uluslararası Kızılhaç Komitesi (ICRC): Ocak ayında ICRC, 515.000’den fazla “savunmasız” kurbanın kişisel bilgilerini tehlikeye atan büyük bir veri ihlalini bildirdi. İsviçreli bir yükleniciden çalınan veriler arasında çatışma, göç ve doğal afet gibi nedenlerle ailelerinden ayrılan kişilerin, kayıp kişiler ile bunların ailelerinin ve gözaltındaki kişilerin bilgileri yer alıyor. Daha sonrasında olayın faili olarak ismi açıklanmayan bir devlet gösterilmiş ve olayın yama uygulanmamış bir sistem kullanarak gerçekleştiği belirtilmiştir.
- Uber: Paylaşımlı yolculuk uygulaması devi, 2016’da 57 milyon kullanıcının bilgilerinin çalınmasıyla büyük veri ihlalleri arasında adını duyurdu. Eylül ayında Uber, muhtemelen Lapsus$ grubu üyesi bir bilgisayar korsanının e-posta ve bulut sistemlerini, kod havuzlarını, kurum içi Slack hesabını ve HackerOne biletlerini ihlal ettiğini bildirdi. Söz konusu tehdit aktörü, Uber’in bir dış yüklenicisini hedef almış ve bunu da büyük ihtimalle karanlık ağdan bu kurumun kurumsal şifresini ele geçirerek yapmıştır.
- Medibank: Fidye yazılımı aktörleri, Avusturyalı sağlık sigortası devinin dört milyon müşterisinin tüm kişisel verilerini firmaya 35 milyon ABD dolarına mal olan bir saldırı ile ele geçirdi. Sorumluların, ilk erişimden sorumlu, tehlikeye atılmış ayrıcalıklı kimlik bilgileriyle kötü şöhretli bir hizmet olarak fidye yazılımı (RaaS) grubu REvil (namı diğer Sodinokibi) ile bağlantılı olduğuna inanılıyor. Saldırıdan etkilenenler, devamında kimlik hırsızlıklarıyla ciddi oranda karşılaşabilir.