İçeriğe geçmek için "Enter"a basın

Attığımız taş bize geri gelebilir!

2016 yılının sonunda, A.B.D. istihbarat örgütü N.S.A.’ye ait bir sunucuya sızdıklarını iddia eden “Shadow Brokers” grubu tarafından yayınlanan siber saldırı araçları çok ses getirmişti.

2017 yılının başında yayınlanan A.B.D.’ye ait siber saldırı araçlarının, Çin hükümetiyle bağlantıları bilinen bir saldırgan grubu tarafından 2016 yılında kullanıldığı iddia ediliyor.

Symantec araştırmacılarının yayınladığı raporda; “Buckeye” olarak adlandırılan saldırgan grubunun, araçların 2017 yılında kamuya ifşa edilmesinden 1 yıl önce bazı hedefli saldırılarda kullanıldığının görüldüğü belirtiliyor. Raporda Çinli grup tarafından kullanılan saldırı araçlarının ifşa edilenden farklı olduğu, dolayısıyla kaynağının farklı olabileceği de vurgulanmış.

Shadow Brokers tarafından yayınlanan araçların istismar ettiği ve sonrasında Microsoft tarafından MS 17-010 güncellemesiyle giderilen güvenlik açığını istismar eden aracın Çinli grup tarafından 1 yıl öncesinde kullanılması haberin en ilginç kısmı.

Çinli grup, NSA sunucularına Shadow Brokers’dan önce sızmış olsa veya saldırı araçlarını doğrudan bu grup üzerinden temin etmiş olsa aynı aracı kullandıklarını görmemiz gerekirdi. Aynı açığı istismar eden farklı bir araç kullanmaları daha farklı bir senaryoya işaret ediyor olabilir.

Benim de katıldığım yaygın görüş şu yönde; A.B.D.’nin Çin’e karşı gerçekleştirdiği bir saldırı sırasında araç ve istismar ettiği güvenlik açığı fark edildi. Bunun üzerine incelemelerde bulunan Çinli uzmanlar açığı keşfetti ve bunu istismar etmek üzere kendi araçlarını geliştirdi. Tam bu noktada siber ortamda saldırgan faaliyetlerde bulunan veya bulunmayı düşünen bütün devletlerin karşılaşabileceği bir sorunla karşılaşıyoruz. Herhangi bir hedefi istismar eden bir saldırı aracının fark edilmesi, karşı tarafın eline aracı vermek anlamına geliyor. Çok gelişmiş ve özel bir bomba geliştirdiğimizi düşünelim. Bunu düşmanın üzerine attığımızda patlıyor ve düşmanın elinde bombanın tam olarak nasıl çalıştığını anlamasını sağlayacak çok az ipucu kalıyor. Siber saldırılarda ise durum biraz daha farklı. Saldırı için kullanılan istismar kodu karşı tarafa iletildiğinde ise, sistem yakından takip ediliyorsa tamamen ele geçirilebilir. S.O.M.E. (Siber Olaylara Müdahale Ekibi) eğitimlerimizde ele aldığımız konulardan birisini de oluşturan analiz sürecinin sonunda karşı taraf saldırıyı yeniden canlandırması mümkündür. Bu analizle birlikte hangi açığın nasıl istismar edildiği de ortaya çıkmaktadır.

Yazının başlığında da belirttiğim gibi, siber savaşta karşı tarafa attığımız bütün taşlar bize karşı da kullanılabilir ve daha kötüsü, karşı tarafın kendini geliştirmesine imkân verebilir.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir