Türkiye’ye siber saldırılar savaş ilanı,
oklar Rusya’yı gösteriyor
“Korsanlar 2015’te kurumları hedef aldı”
Türkiye, 14 Aralık ve 24 Aralık’ta tarihinin en büyük siber saldırılarına maruz kaldı. Yeni Şafak, saldırıların arkasında kim ve kimlerin olabileceğini araştırdı, ilginç sonuçlara ulaştı. İlk saldırı 14 Aralık’ta saat 12.00 sıralarında başladı. 5 ayrı lokasyon ve biri Avrupa’daki IP tahsisinden sorumlu RIPE’da olmak üzere 6 adet “nic.tr” DNS sunucusu hedef oldu.
“edu.tr”, “gov.tr” ve “com.tr” gibi “tr” uzantılı 400 bin siteye 1 hafta boyunca ya hiç girilemedi ya da sitelere girişlerde sorunlar yaşandı. 8 Gbps civarındaki DDoS saldırılarının (Distributed Denial of Service) ciddi saldırılar olarak kabul edildiği günümüzde, Türkiye’nin maruz kaldığı saldırılar 40 Gbps büyüklüğüne ulaştı. Siber güvenlik uzmanlarına göre bu boyuttaki bir saldırı “savaş ilanı” demek. İstatistiklere göre DDoS saldırıları 2013 yılında ortalama 2 Gbps iken bu rakam 2014 yılında ortalama 8 Gbps büyüklüğe ulaştı.
Korsanlar 2015’te kurumları hedef aldı
2015 yılında kurumsal bilgisayarların yarısından fazlasının (%58) en az bir adet hedefli zararlı yazılımdan etkilendiğini tespit edildi. Kaspersky Lab uzmanlarına göre, bu 2014’e göre üç yüzde puan artışa karşılık geliyor. Kurumsal bilgisayarların üçte biri (%29) en az bir kere İnternet tabanlı bir saldırıya maruz kaldı; standart ofis uygulamalarının tüketici saldırılarında olduğundan üç kat daha sık kullanıldığı görüldü.
Kurumsal bilgisayarların yüzde 41’i etkilenen USB bellekler ya da güvenliği aşılmış diğer çıkarılabilir medya cihazlarından gelen yerel tehditlerle karşı karşıya kaldı. Uzmanlar ayrıca, Android platformunu hedefleyen açıklardan yararlanma amaçlı kodların payında yüzde 7’lik bir artış olduğunu kaydetti. Bu da bilgisayar korsanlarının çalışanların mobil cihazları üzerinde depoladıkları verilere daha çok ilgi göstermeye başladığını doğruluyor.Bu saldırılar dikkatlice planlanıyor; yani siber saldırganlar hedefledikleri şirketin bağlantılarını ve tedarikçilerini, hatta çalışanların kişisel ilgi alanlarını ve internette gezinme alışkanlıklarını araştırmak için zaman ayırıyor. Bu bilgiler daha sonra, zamanla sık sık tekrarlanan saldırılar ile, gizliliğin bozulması ve kötü amaçlı yazılımların dağıtılması için yasal web sitelerini belirlemek için kullanılıyor.
SIKI GÜVENLİK STANDARTLARI OLMALI
Kaspersky Lab Global Araştırma ve Analiz Ekibi, Kıdemli Güvenlik Araştırmacısı Yury Namestnikov, işletmelerin dijital altyapılarına saldırıların arttığı uyarısında bulunuyor. Namestnikov, “Çünkü bir kuruluşun neredeyse tüm değerli verileri veri merkezlerindeki sunucularda depolanır. Ayrıca, 2016 yılında daha fazla siber suçlunun yakalanmasını sağlayabilecek daha sıkı güvenlik standartları çıkmasını bekliyoruz.” diyor.
PoS cihazlarında hırsızlık riski 2015 yılında perakendeciler ve tüketiciyle birebir iletişim kuran diğer kurumlar tarafından kullanılan Satış Noktası terminalleri hedef oldu. Kaspersky Lab ürünleri, PoS cihazlarına yönelik gerçekleştirilen 11.500’ün üzerinde izinsiz giriş girişimini engelledi. Şirketin bildiği, PoS terminallerinden veri çalmak için tasarlanmış on adet program ailesi bulunmakta ve bunlardan yedisi ilk kez bu yıl ortaya çıktı. 2015’te cryptolocker saldırıları iki katına çıktı ve Kaspersky Lab 50 binden fazla kurumsal makinede cryptolocker tespit etti. Bu durum, kurumlardan alınan fidyenin bireylerden alınandan çok daha fazla olabileceği gerçeğini yansıtıyor olabilir.
Türkiye’de “tr” uzantılı 400 bin siteyi ODTÜ bünyesindeki “nic.tr” kaydedip kontrol ediyor. ODTÜ gelen saldırıyı DNS yükseltme saldırısı olarak niteledi. DNS yükseltme, DNS sunucularına yoğun ağ trafiği yollanarak internet hizmetinin engellenmesi anlamına geliyor.
Erişimleri kesti
“nic.tr” 4 saat sonra DNS sunucusularının IP adreslerine erişimlerin kesilmesi için yurtdışına BGP kayıtları yolladı. “nic.tr”yi yönetenler böylece DNS sunucularına yurtdışından gelen yoğun trafiği bertaraf etmek istedi. “nic.tr”, Telekomünikasyon İletişim Başkanlığı (TİB) bünyesindeki Ulusal Siber Olaylara Müdahale Merkezi’ni de (USOM) gelişmelerden haberdar etti. USOM ilk günün akşamında bir süreliğine Türkiye’ye yurtdışından gelen trafiği kapattı.
24 Aralık’ta bu kez Türkiye’nin finansal altyapısına yönelik büyük bir siber saldırı gerçekleşti. Bilişim güvenliği uzmanlarının verdiği bilgilere göre özellikle Garanti Bankası, Ziraat Bankası, İş Bankası ve Akbank’ı hedef alan DDoS saldırıları oldu. Kalıcı hasarlar olmasa da internet bankacılığını kullanan vatandaşlar sorun yaşadı. Günde 1 milyar işleme yaklaşan online bankacılıkta aksamalar oldu. Pos sistemleri hedef alınmadı ancak pos sistemleri dolaylı olarak zaman zaman etkilendi.
Anonymous üstlendi
Saldırıların kaynağı belirsizliğini korurken hacker grubu Anonymous, 14 Aralık’tan birkaç gün sonra açıklama yaparak ilk saldırıyı üstlendi ve saldırılara devam edeceğini duyurdu. Anonymous’un gerekçesi Rusya’nın uçak krizinin ardından gündeme getirdiği tezlerin aynısıydı: Türkiye, IŞİD’e yardım ediyor.
Fakat uzmanlar, Anonymous’un bu iddialarına kuşkuyla yaklaşıyor. Çünkü, “nic.tr”nin DNS sunucularından birini Avrupa’daki IP tahsisinden sorumlu olan RIPE yönetiyor. RIPE saldırı esnasında, “nic.tr”ye yönelik DNS saldırısının çok sofistike olduğunu, saldırganların sürekli yöntem değiştirdiğini ve yaptığı tüm müdahalelerin başarısız olduğunu ifade etti.
Dolayısıyla Anonymous, DDoS saldırılarıyla tanınsa da bu büyüklükte bir saldırıyı tek başına başaramayacağı belirtiliyor. Bazı uzmanlara göre Türkiye’yi 14 Aralık ve 24 Aralık’ta hedef alan saldırılar, siber saldırı tarihinde kayıtlara geçen en büyük 5-6 saldırıdan biri olabilir.
“Siber savaş” anlamına gelen saldırının arkasında daha büyük ve etkili bir güç yani bir “devlet” bulunması yüksek ihtimal. Fail net olarak belirlenemezse de oklar, 24 Kasım’daki uçak krizinden bu yana Türkiye’yi tehdit eden Rusya’yı gösteriyor. 24 Aralık tarihini, Rus uçağının düşürüldüğü 24 Kasım’dan tam bir ay sonrasına denk geldiği için bilinçli bir zamanlama olarak yorumlayanlar bile var.
ISP’leri üzerinden
İddialara göre Rusya kendi ISP’leri (İnternet Servis Sağlayıcıları) üzerinden da savaşa destek verdi. Rusya’nın siber savaştaki yetkinlikleri biliniyor. Ruslar 2007 yılında Estonya, 2008 yılında Gürcistan ve 2014 yılında ise Ukrayna’ya ciddi siber taarruzlar yapmıştı.
Türkiye’de 4 muhatap var
Olası siber saldırılarda Türkiye’deki muhataplar ise “tr” uzantılı adresleri yöneten ODTÜ, TİB bünyesindeki USOM, BTK ve Türkiye’nin internet omurgasının oluşturan Türk Telekom. Yeni Şafak’a konuşan bilişim güvenliği uzmanları bu dört kurumun Ulusal Siber Olaylara Müdahale Merkezi (USOM) koordinatörlüğünde bir araya gelmeleri, saldırılar gerçekleştiğinde kamuoyunu bilgilendirmek için siber saldırı hakkında rapor yayınlamaları ve gerekirse ortak tedbirler almaları gerektiğine dikkat çekiyor. İleri dönemlerde kritik kamu kurumlarını da içine alabilecek bu boyuttaki saldırıların hasarsız atlatılabilmesi için 4 kurumun aralarındaki iletişimi mutlaka güçlendirmesi gerekiyor.