btk başkanı: “saldırı teğet geçti”

Bilişim Haberleri

Yayınlama

9 yıl

16 Mayıs 2017

RGB

Dünyayı etkileyen siber saldırı Türkiye’yi teğet geçti.

WanaCrypt0r 2.0 Saldırısına dair USOM tarafından Mart ve Nisan aylarında önleyici çalışma yapıldı, tespit edilen 28 bin 79 sistemle ilgili sistem yöneticileri ve kullanıcıları uyarıldı. Ve bu sayede Türkiye bu saldırıdan etkilenmedi.

Bilgi Teknolojileri ve İletişim Kurumu Başkanı Dr. Ömer Fatih Sayan bugün katıldığı Tübitak-Bilgem YTE tarafından düzenlenen “Yazılımda Yüksek Olgunluk” etkinliğinde son dönemde yaşanan siber saldırılara dair açıklamalarda bulundu. Sayan, WanaCrypt0r 2.0 Saldırısına dair USOM tarafından Mart ve Nisan aylarında önleyici çalışma yapıldığını ve tespit edilen 28 bin 79 sistemle ilgili sistem yöneticilerinin ve kullanıcıların uyarıldığını belirtti.

Dünyayı sarsan siber saldırı ile 74 ülkenin etkilendi, bu saldırı büyük çaplı sistemlerden son kullanıcılara kadar geniş bir çevrede etkili oldu. Şu an tamamen sonlandığı söylenemeyen zararlı yazılım siber saldırısının etkisi Türkiye’de sınırlı oldu ve hayatın akışı etkilenmedi.

SİBER SALDIRI NASIL YAYILDI?

WanaCrypt0r, WannaCry, Wcry olarak bilinen zararlı yazılım siber saldırısının iki tane atak vektörü bulunuyor.

Bunlardan birincisi, phishing (sahte/oltalama epostaları) ekinde yer alan dosyalar veya eposta içeriğinde yer alan linkin kullanıcılar tarafından açılması sonrası söz konusu bilgisayara fidye yazılımının bulaşarak dosyaları şifrelemesidir.
İkincisi ise, zararlı yazılımın bulaştığı makinadan iç ağdaki tüm sistemlere ve dış ağda rastgele makinalara kendini kopyalamasıdır. Zararlı yazılım bu yayılımı yapabilmek için güncel yamaları (güncellemeleri) olmayan Windows işletim sistemlerinin SMB servisindeki zafiyetten faydalanarak, DOUBLEPULSAR olarak adlandırılan bir arka kapı açmakta, böylece iç ve dış ağdaki diğer bilgisayarlara kendini kopyalıyor.

WanaCrypt zararlı yazılımını hazırlayan saldırganların temel olarak yaptığı şey;

Son yıllarda giderek yaygınlaşan fidye yazılım (ransomware) saldırısını ve
Windows sistemlerinde yer alan SMB zafiyetini birlikte kullanarak saldırının atak yüzeyini bu zafiyeti barından tüm dünya genelindeki sistemlere yaymak oldu.

Saldırının faydalandığı iki tür hata;

Kullanıcıların bilinçsiz biçimde phishing epostalarını açması ve
Sistem yöneticilerinin Windows sistemlerini güncel tutmaması.

KİMLER ZARAR GÖRDÜ?

Dünya genelinde birçok ülkede hayatın akışını etkileyen siber saldırıdan en çok etkilenen ülke ve kuruluşlar arasında;

İngiltere
- NHS sağlık sistemi
- Nissan UK
İspanya
- Telefonica, Telekom operatörü
- Iberdrola ve Gas Natural, enerji şirketleri
ABD
- FedEx, kargo firması
- Waterloo Üniversitesi
Rusya
- İçişleri Bakanlığı
- VTB, banka
- Sberbank, banka
- RZD, demiryolları
Almanya
- Demiryolları
Çin
- ATM’ler
Okullar ve üniversiteler

yer alıyor.

TÜRKİYE’DE ETKİSİ NE OLDU? NEDEN ETKİLENMEDİ?

Dünya çapında etkili olan, yüze yakın ülkeye yayıldığı bilinen zararlı yazılım siber saldırısının etkisi Türkiye’de sınırlı oldu ve hayatın akışı etkilenmedi. Uluslararası operasyonları olan Renault firmasının Fransa merkezinin etkilenmesi nedeni ile Türkiye’de de üretim biriminin Cumartesi günü söz konusu saldırıdan etkilendiği ancak normal seyre dönüldüğü raporlandı.

BTK Ulusal Siber Olaylara Müdahale Merkezi (USOM) WannaCry adlı siber saldırısı öncesinde Mart ve Nisan aylarında Windows sistemlerinde bulunan kritik SMB zafiyetinin oluşturduğu yaygın riski öngörerek detaylı çalışma yaptı, USOM Türkiye’de yaşanabilecek zararları en aza indirilmesini sağladı.

BTK USOM, kullanıcıları ve sistem yöneticilerini 21 Mart’ta yayınladığı güvenlik bildirimi ile uyararak sistemlerde MS17-010 güncellemesinin yapılmasını istedi.

“Ulusal Siber Olaylara Müdahale Merkezi (USOM), kullanıcı ve sistem yöneticilerine Microsoft MS17-010 güvenlik bültenini incelemelerini ve gerekli güncellemeleri yapmalarını tavsiye etmektedir.”

BTK USOM 25 Nisan’da 665 kurumda bulunan Siber Olaylara Müdahale Ekiplerini (SOME’ler) Microsoft Windows’daki zafiyetle ilgili;

“Sistemin ele geçirilmesine neden olan bu zafiyetlerin çalıştığı servisler ve/veya işletim sistemlerinin güvenlik yamaları yapılmalıdır.”

“SMB servisi kullanılmıyorsa kapatılmalıdır. Atak alanının azaltılması için servise İnternet’ten erişim engellenmelidir (İnternet üzerinden dosya paylaşımı için farklı ve daha güvenli yöntemler tercih edilmelidir)”

şeklinde uyararak zafiyetin giderilmesini istedi.

BTK USOM, Mart ve Nisan aylarında Türkiye genelinde 16 Milyon makinayı tarayarak SMB servisi internete açık olan 28.079 sistemi belirledi. Bunların içinde DOUBLEPULSAR arka kapı (backdoor) zafiyeti bulunması nedeni ile yabancı istihbarat servislerinin ifşa olan saldırı araçlarıyla ele geçirilebilecek olan 400 civarında sistemi tespit etti.

BTK USOM, Nisan ayı içinde SMB zafiyeti ve DOUBLEPULSAR arka kapısı bulunan bu sistemlerin sahiplerinin uyarılması için internet altyapısını işleten telekom operatörlerini ve sunucu sistemlerini barındıran hosting firmalarını tespitleri ile ilgili bilgilendirerek gerekli tedbirlerin alınmasını istedi.

“tarafınıza tahsisli olan ve/veya müşterilerinizce kullanılan ekteki IP adreslerinde son zamanlarda duyurulan Microsoft SMB zafiyetinin bulunduğu ve bu zafiyet sömürülerek sistemin etki altına alındığı (doublepulsar DLL injection) tespit edildiğinden, ilgili kontrol ve sıkılaştırmaların uygulanması gerektiği görülmektedir”

WannaCrypt zararlı yazılımının yayılmaya başladığı 12 Mayıs günü, USOM, sosyal paylaşım sitesi Twitter‘daki hesabından zararlı ile ilgili bilgileri paylaşarak kullanıcıları en hızlı biçimde uyardı, zararlı yazılımın iç ağda yayılabildiği ve bu yayılımın MS17-010 güncellemesi olmayan Windows sistemlerinden kaynaklandığını duyurdu.

Yapılan çalışmalar, ülkemizin bu saldırıların ilk dalgasından zararsız olarak çıkmasını sağladı. Ancak uzmanlar, tehdidin devam ettiğini, saldırının şekil ve yöntemini değiştirebileceğini bildiriyor.

SALDIRIDAN KORUNMANIN 3 YOLU

Dünya çapında etkili olan WanaCrypt zararlı yazılımıyla ilgili olarak,

Sistem yöneticilerinin Windows sistemleri için güncellemeleri (MS17-010) ivedilikle yapması,
Windows dosya paylaşım servisi olan SMB’nin kullanılmadığı durumlarda kapatılması,