2021`in Nisan ve Mayıs aylarında Amerika`nın en büyük petrol boru hattı şirketi Colonial, bilgisayar korsanlarının saldırısı sonrası kapatılmak zorunda kaldı.
Şirket günde yaklaşık 2.5 milyon varil yakıtı güney körfezinden doğu kıyısına taşımaktadır. Bu saldırı petrol istasyonlarında yakıt yokluğu/sıkıntısı oluşturup uzun araç kuyruklarının oluşmasına ve yakıt fiyatlarının artmasına sebep olmuştur.
Reuters’in 9 Haziran 2021 tarihli haberine göre saldırıdan sonra şirket yöneticisi Joseph Blount Amerika senatörlerine verdiği ifadede saldırganların sadece bir tane şifreyi ele geçirerek ve şirketin eski VPN sistemlerinden birisini kullanarak petrol boru hattını çökerttiğini belirtmiştir.
Peki bu kadar önemli bir sistemi çökertmek bu kadar kolay mı?
Eskiden bir ransomware saldırısında bilgisayar korsanları sistemleri kriptolayıp sistem sahibinden bir miktar ransom (fidye) talep ediyordu. Fakat son zamanlarda özellikle gelişmiş ülkelerde kişisel verilerin korunmasına yönelik alınması gereken tedbirleri yerine getir(e)mediği düşünülen organizasyonlar ya da kurumlar için çok yüksek meblağda cezai yaptırımlar olacağı kanunlaştı. Bu da bilgisayar korsanlarına hem çok iyi bir motivasyon kaynağı oldu hem de bir sistemi ele geçirmelerini zorlaştırdı.
Motivasyon kaynağı oldu, çünkü ransomware saldırısı yapılmak istendiği zaman neredeyse o sistemin her yerindeki bilgiye ulaşılabilmekte. Bu da şu demek oluyor ki o sistemin sahip olduğu bütün veriler sistemin yasal kullanıcısının istemi dışında başka yerlerde yedeklenebilir ve en sonunda da fidye istenirken bu verilerin paylaşılması ile hedefteki şirket ya da kurum daha kuvvetli bir şekilde tehdit edilebilir.
Bilgisayar korsanlarının işini zorlaştırmasının sebebi ise; şirketler siber güvenlik tehdidine karşı çok daha fazla yatırım yapmak zorunda bırakıldılar. Bu yatırımlar da eğer korsanların motivasyonu yeterince yüksek değilse onları caydırabilmekte.
SCADA (Süpervisory Control and Data Acquisiton / Merkezi Denetleme Kontrol ve Veri Toplama) / ICS (Industrial Control Systems/ Endüstriyel kontrol sistemleri) üzerinde uzmanlaşan siber güvenlik şirketi Dragos`a göre bu saldırının arkasında Rus siber suç örgütü DarkSide vardı.
Dragos`un 5 Kasım 2021`de yayımladığı bloğa göre DarkSide ve onun gibi ransomware grupları fırsatçı davranırlar. Bu gruplar kolay hedefler bulup iyi bir fidye alıp alamayacaklarını değerlendirip siber saldırı gerçekleştirirler. Ne yazık ki SCADA sistemi kullanan çoğu şirket de bu hedeflerin başında gelir.
Çünkü bu şirketler farklı lokasyonlardaki sistem ünitelerine ulaşmak istediklerinde zayıf şifrelerle güvenliği sağlanmamış ve internete açık servisler üzerinden bağlanırlar. Bazen de bu kullanılan servisler çok kritik güvenlik zafiyetlerine sahip olabilirler ki bu da bilgisayar korsanlarının bu şirketlere karşı iştahını kabartır.
Olayın detaylarına gelince, yapılan araştırmalar sadece bir tane şifrenin ele geçirilmesiyle internet korsanlarının ABD`nin bu en büyük akaryakıt şirketinin kapatılmasına neden oldukları düşünülüyor.
Bloomberg`te yayımlanan 4 Haziran 2021 tarihli makaleye göre korsanlar şirketin ağına 29 Nisan 2021`de şirket çalışanlarının da ağa girmek için kullandıkları sanal özel ağdan (VPN) faydalanmışlar. Saldırı sırasında kullanılmamasına rağmen bu VPN Colonial`ın ağına erişimi sağlayabiliyormuş.
Bu hesabın şifresi hem yasal hem de yasa dışı uygulamalar için kullanılan dark web denilen ortamda bir grup şifrenin sızması ile beraber sızdığı ortaya çıkmıştır. Bu da şu demek oluyor, çok büyük ihtimalle şirket işçilerinden biri başka bir platformda kullandığı şifreyi, şirket için ayrı olması önerilen hesap için de kullanmış olmalı.
Bununla birlikte saldırı hakkında göze çarpan başka bir detay da şirket VPN`inin günümüzün olmazsa olmaz güvenlik katmanlarından multifactor authentication (MFA) (çok faktörlü kimlik doğrulama) olmaksızın çalışmasıdır. Bu da saldırganların ağa erişimini daha da kolaylaştırmış. Ayrıca şunu da not etmekte fayda var şirketin ağına girmek için sadece şifreyi bilmek yeterli değil. Bununla birlikte bir de kullanıcı adı lazım ki korsanların bunu nasıl belirlediği henüz bilinmiyor.
Şirketin boru hattını kapatması olayına gelince, 7 Mayıs 2021`de işçilerden biri sabah saat 05.00`e doğru bilgisayar ekranında kripto para istendiğine dair bir fidye notu görüyor. Şirket operasyon müdürüne haber verilmesiyle birlikte boru hattı kapatılmaya başlanıyor ve saat 06:10`da petrol boru hattı tamamen kapatılmış oluyor.
Yapılan araştırmalar sonucunda saldırının sadece şirketin bilişim sistemleri ile sınırlı olduğu kanısına varılmış ve şirketin SCADA sistemlerine zarar verilmediği düşünülmüştür.
Saldırıyı yapanlar yaklaşık 100 gigabyte büyüklüğünde veriyi çalarak ayrıca Colonial yönetiminin fidyeyi ödemesi yönünde tehditlerini oldukça kuvvetlendirmişler. Şirket de 4.4 milyon dolar fidye ödemiştir.
Olayın faillerine gelince, ödenen fidye kripto para olduğu için tam olarak kime ve nereye gittiği bilinmiyor. Bundan dolayı, olayın failleri de büyük ihtimalle yeni hedefler tespit etmekle meşguldürler.
Başlıktaki sorunun cevabına gelince, bu sistemlere sızıp onları işlevsiz hale getirmek imkânsız değil, hatta bazen çok da kolay olabilmekte. Nihayetinde bu sistemleri insanlar kullanıyor. Ve bugüne kadar yapılan siber saldırılara baktığımızda genelde sistemin içine ilk önce insani zafiyetlerden yararlanılarak girildiğini ve saldırının etki alanının tespit edilerek zafiyet üzerinden genişletildiğini görmekteyiz.
Diğer taraftan teknolojik olarak da SCADA/ICS sistemleri basit siber saldırılara karşı henüz yeterince güvenli değiller. Çünkü bu sistemler ilk başta ortaya çıktıklarında sistemin gerektirdiği işlevi yerine getirmek üzere geliştirildiler, ancak bu sistemlerin güvenlik boyutları ikinci plana atılmıştır.
Sonuç olarak SCADA sistemlerinin kullanıldığı barajlar, petrol boru hatları, su arıtma sistemleri gibi azami güvenlik gerektiren ulusal altyapı projeleri ortaya çıktıklarında siber güvenlik konusu birinci plana alınmalıdır. Burada çalışacak görevlilere gerekli güvenlik bilincini kazandırmaya yönelik eğitimler ihmal edilmeden verilmelidir.
