Hydro saldırısı - Dünyanın en büyük alüminyum üreticilerinden biri olan Norveçli Norsk Hydro’ya fidye yazılımı saldırısı gerçekleşti
tarafından sunucusunda olağandışı bir etkinlik tespit edildikten sonra operasyonlarının kesintiye uğradığını ve şirketin eritme ünitesinde üretimin durduğu belirtildi.
Firmanın Mali İşlerden Sorumlu Başkanı Eivind Kallevik konferans görüşmesinde siber sigortanın yürürlükte olduğunu açıkladı, ancak şu anda kapsama alanının ne kadar kapsamlı olduğu ve herhangi bir talebin siber ilgili iş kesintisiyle nasıl baş edileceğini bilinmediğini söyledi.
Bazı haberlere göre ise, saldırının potansiyel bir suçlusu olarak mühendislik danışmanlığı şirketi Altran Technologies’e yönelik saldırı sonrasında Ocak ayında dikkat çeken nispeten yeni bir kötü niyetli program olan LockerGoga Ransomware’i gösteriyor. Çalışanlara, şirketin ağına hiçbir cihaz bağlamamaları söylendi.
Norsk Hydro’nun, Avrupa’da% 20’ye, ABD’de ise% 23’üne kadar belirli alüminyum üretimi ve ekstrüzyonu alanlarını komuta ettiği belirtiliyor.
Şirketten yapılan açıklamada, “Hydro, saldırıyı engellemeye ve etkisiz hale getirmeye çalışıyor, ancak durumun tam olarak ne olduğunu bilmiyor. Durumun tam etkisini değerlendirmek için çok erken. Müşteriler üzerindeki etkiyi değerlendirmek için henüz çok erken.” denildi.
Katar ve Brezilya’da da operasyonların manuel operasyonlar altında olduğu bildirildi, ancak şirketin Norveç borsasına yaptığı bir açıklamada Norveç dışındaki birincil tesisler üzerinde herhangi bir etkisinin olmadığı ifade edildi.
Bu ihlalin kapsamı ve özellikleri hala bilinmemekle birlikte, Norsk Hydro kadar büyük ve global olarak aktif bir şirkete yapılan bir siber saldırı, 2017’nin yıkıcı Not Petya saldırısını yakın bir potansiyele sahip olacağı konuşuluyor.
Mülkiyet Talebi Hizmetlerine (PCS) göre, 2017 saldırısından kaynaklanan toplam sanayi zararı 3 milyar doları aştı; bunun yaklaşık% 90’ı sessiz siber etkilerden, geri kalanı ise olumlu zararlardan kaynaklandı.
Son birkaç yılda, fidye yazılımlarının hastaneler, toplu taşıma araçları ve hatta ülkenin tamamında devlete ait bilgisayarları hedef aldığı birçok güvenlik olayını ele aldık. Ardından dünya genelinde yayılan ve sayısız işletmenin faaliyetlerini etkileyen WannaCry, ExPetr ve Bad Rabbit saldırılarıyla beraber silici yazılımların çağı başladı.
Neyse ki son on iki ayda bu büyüklükte başka bir olaya rastlamadık ama bunun nedeni, saldırganların artık yenilgiyi kabul etmiş olmaları değildi. 19 Mart tarihinde Norveçli alüminyum üretim devi Hydro, şirketin tamamını etkileyen bir fidye yazılımı saldırısına uğradığını açıkladı.
Hydro saldırısı: Neler oldu?
Basın toplantısında Hydro sözcüsünün açıklamalarına göre önce Hydro’nun güvenlik ekibi, gece yarısında şirketin sunucularında sıra dışı bir etkinlik olduğunu fark etti. Kötü amaçlı yazılımın yayıldığını anlayıp saldırıyı sınırlamaya çalıştılar. Ancak bunda yalnızca kısmen başarılı olabildiler; santralleri izole etmeyi başardıklarında yazılım, çoktan global ağlarına bulaşmıştı. Hydro, etkilenen bilgisayar sayısı hakkında herhangi bir açıklama yapmasa da şirkette 35.000 insanın çalıştığı düşünülünce bu sayının oldukça büyük olduğunu tahmin edebiliriz.
Hydro’nun ekibi, saldırının etkilerini azaltmak için 7/24 çalışarak en azından kısmi bir başarı elde edebildi. Güç santralleri ana ağdan izole edildiği için saldırıdan etkilenmedi; bu işlem kritik altyapılarla ilgili yapılması gereken en iyi uygulamaydı. Ancak son yıllarda, daha önce hiç olmadığı kadar otomatikleştirilen izabe tesisleri izole edilmemişti. Bu nedenle Norveç’teki bazı izabe tesisleri saldırıdan etkilendi. Güvenlik ekibi, bunların bazılarını daha yavaş ve yarı manuel bir modda çalıştırmayı başarabildi. Yine de Hydro’nun belirttiğine göre “üretim sistemlerine bağlanılamaması, üretim konusunda sorunlara ve bazı tesislerde geçici kesintilere yol açtı”.
Saldırı, çok büyük çaplı olmasına rağmen Hydro’nun faaliyetlerine tamamen engellemedi. Windows işletim sistemini kullanan makineler şifrelenip çalışmaz hale getirilse de Windows’a dayalı olmayan telefonlar ve tabletler çalışmaya devam etti. Bu sayede çalışanlar iletişim kurmaya ve iş ihtiyaçlarını karşılamaya devam edebildiler. Alüminyum üretiminde kullanılan ve her biri 10 milyon EUR değerinde olan banyolar gibi pahalı kritik altyapı elemanları, saldırıdan etkilenmemiş gibi görünüyor. Güvenlik olayı, hiçbir emniyet sorununa da yol açmadı; hiç kimse saldırıdan dolayı herhangi bir yaralanma yaşamadı. Ayrıca Hydro, saldırıdan etkilenen her şeyin yedeklerden geri yüklenebileceğini umut ediyor.
Analiz: Doğrular ve yanlışlar
Muhtemelen faaliyetlerini tamamen eski haline getirmeden önce Hydro’nun yapması gereken çok iş var; olayın araştırılması bile hem Hydro’nun hem de Norveç yetkililerinin epey zaman ve çaba harcamasını gerektirecek. Şu ana kadar saldırıda hangi fidye yazılımının kullanıldığı veya saldırıyı kimin başlattığına dair ortak bir kanıya ulaşılamadı.
Yetkililer, bu konuda birden çok hipotez geliştirdiklerini belirtiyorlar. Bu hipotezlerden biri, Hydro’nun LockerGoga fidye yazılımı tarafından saldırıya uğradığı yönünde. Bleeping Computer bu yazılımı “yavaş” (analistlerimiz de bu tanımlamaya katılıyor) ve “özensiz” olarak tanımlıyor ve yazılımın “tespit edilmemek için hiçbir çaba göstermediğini” de belirtiyor. Saldırganlar, fidye notunda bilgisayarların şifresini çözmek için belirli bir miktarda para istemek yerine kurbanların iletişim kurabileceği bir adres belirtmişler.
Güvenlik olayının analizi henüz tamamlanmamış olsa bile şu aşamada, Hydro’nun hem olaydan önceki hem de olay sırasındaki doğrularını ve yanlışlarını inceleyebiliriz.
Doğrular
Güç santralleri ana ağdan izole edildiği için saldırıdan etkilenmedi.
Güvenlik ekibi, izabe tesislerini nispeten hızlı bir şekilde izole etmeyi başararak tesislerin çalışmaya devam etmesini sağladı (şu anda birçoğu yarı manuel modda çalışıyor).
Çalışanlar, olaydan sonra bile normal bir şekilde iletişim kurabildiklerine göre iletişim sunucusu da, muhtemelen yeterli düzeyde korunuyordu ve saldırıdan etkilenmemişti.
Hydro, şifrelenen verilerin geri getirilmesini ve faaliyetlerin devam etmesini sağlayabilecek yedekler oluşturmuş.
Hydro, olaydan doğacak masrafların bir kısmını karşılayacak bir siber sigortaya sahip.
Yanlışlar
Büyük ihtimalle ağ, uygun şekilde segmentlere ayrılmamıştı. Ağ segmentasyonu doğru olsaydı fidye yazılımının yayılmasını durdurmak ve saldırıyı sınırlamak çok daha kolay olurdu.
Hydro tarafından kullanılan güvenlik çözümü, fidye yazılımını yakalayabilecek kadar güçlü değildi (LockerGoga, nispeten yeni olsa da iyi bilinen bir yazılım,Trojan-Ransom.Win32.Crypgen.afbf olarak tanımlamıştır).
Güvenlik çözümü, fidye yazılımlarına karşı koruma sağlayan bir yazılımla desteklenebilirdi. Örneğin diğer güvenlik çözümlerine ek olarak kurulabilen ve sistemi her türlü fidye yazılımı, madencilik yazılımı ve diğer kötü amaçlı yazılımlardan koruyan Endpoint Detection and Response (EDR) - Endpoint Protection Platform (EPP)
Comments
Post a Comment