e
sv

Microsoft SolarWinds İhlallerine Karşı Agresif Önlemler Alıyor

microsoft solarwinds ihlallerine karsi agresif onlemler aliyor | Tekno Deha
avatar

Ali Akpoyraz

  • e0

    Mutlu

  • e0

    Eğlenmiş

  • e0

    Şaşırmış

  • e0

    Kızgın

  • e 0

    Üzgün

Microsoft SolarWinds İhlallerine Karşı Agresif Önlemler Alıyor

Bu haftanın başında, ABD’nin istihbarat kurumları da dahil birçok değerli kurumuna hizmet veren SolarWinds isimli şirketin ihlal edilmesinin üst üste yapılan zincirleme siber hücumlara neden olduğuna dair haberler ortaya çıktı. FireEye isimli siber güvenlik şirketinin, ABD bakanlıklarının ve çeşitli istihbarat kuruluşlarının da ihlal edilmesinde SolarWinds tarafından piyasaya sunulan Orion isimli yazılımın güncelleme sunucularının saldırganlar tarafından ele geçirilmesinin tesiri oldu. Bu yaşanan olayda ise firmaların vermiş olduğu ani tepkiler ortasında en çarpıcı olanını Microsoft verdi. Akından çabucak sonraki dört gün boyunca Microsoft tüm hukuk gücünü ve Windows üzerindeki denetim yeteneğini yaşanan en gelişmiş siber ataklardan birisini bertaraf etmek için kullandı. Bu durumda da Microsoft SolarWinds ‘in ihlallerine karşı önlem almak zorunda kaldı.

Ne olmuştu?

SolarWinds isimli yazılım şirketi tarafından sunulan Orion isimli izleme, takip ve idare aracının güncelleme sunucularının bir kısmı saldırganlar tarafından ele geçirildi. Evvel FireEye isimli siber güvenlik şirketine, yakın vakitte ise zincirleme bir halde üst üste kritik ABD bakanlıkları ile orta doğu coğrafyasında bulunan devlet kurumlarına bu güncelleme sunucularıyla dağıtılan truva atları kullanılarak yüksek profilli taarruzlar düzenlendi. İhlallerde sadece kurum ve kuruluşların değil, 18 bin SolarWinds müşterisinin de etkilendiği söyleniyor.

Hücumun ardındaki kümenin APT29, nam-ı öbür Fancy Bear ile ilişkili Cozy Bear olduğu düşünülüyor. Küme, ABD Demokratik Ulusal Komitesine karşı yapmış olduğu hücumlarla biliniyor. Yeniden de tam manasıyla saldırıyı kimin düzenlediği hakkında kesin bir bilgi bulunmuyor.

Yaşanan büyük çaplı siber atak hakkındaki detaylar gün geçtikçe ortaya çıkarken, zincirleme halinde yapılan bu tedarik zinciri (supply chain) saldırısı tahminen de yüksek profilli ve maksat odaklı yapılan en büyük taarruzlar ortasında.

Hücum nasıl gerçekleşti?

Akının en başında zayıf halka olarak Microsoft’un yer aldığı tez ediliyor. Argümana nazaran saldırganlar tarafından Microsoft Office 365 yazılımında yer alan bir güvenlik açığı kullanılarak SolarWinds’e ilişkin olan e-postalar tehlikeye atıldı. Bu halde şirket ağında yer alan başka kıymetli datalara erişim sağlandı.

SolarWinds’in Orion yazılımına ilişkin güncelleme sunucularından biri saldırganlar tarafından ele geçirildi ve güncellemeler yoluyla çeşitli özel maksatlara, bilhassa de istihbarat kurumları ve bakanlıklara sızma hedefiyle Solorigate yahut Sunburst kod ismiyle bilinen truva atları (trojan) dağıtıldı. Bu yolla saldırganların birçok kamu ve özel kuruluşa erişim sağladığı biliniyor.

SolarWinds’e nazaran ilgili makus emelli yazılımlar, 2020 yılının Mart ve Haziran aylarında yayınlanan güncellemelerle bir arada truva atı halinde amaçları ihlal etti. Bu, trojan içeren güncellemeleri edinmiş tüm SolarWinds müşterilerinin de birebir vakitte makûs maksatlı yazılımdan etkilendiğini ortaya koyuyor. Saldırganlar ise ziyanlı yazılımın ulaştığı müşterilerin tamamı üzerinde değil, geniş ve kapsamlı olan kritik kurumlara kapsamlı akın yapmak için kullandı.

 

solarwindssaldiridiyagram | Tekno Deha
SoloriGate saldırısının nasıl yapıldığına dair diyagram. Görsel kaynağı: Microsoft TechCommunity

Microsoft Akına Karşı 4 Agresif Adım Attı

Üst üste yaşanan bu ihlaller sonrası Microsoft tarafından alınan çarpıcı önlemler ise hem dikkat cazip hem de Microsoft’un gerek hukukî gerek de Windows üzerinde ne derece denetime sahip olduğunu ortaya koyuyor.

Microsoft, “emsalsiz” bir süratte hücuma karşı dört gün boyunca dört adımla agresif ve kritik önlemler aldı.

1 – Dijital Sertifikaların İptal Edilmesi

Microsoft, 13 Aralık 2020 tarihinde yapmış olduğu açıklamada truva atının yer aldığı evraklara ilişkin dijital sertifikaların kaldırıldığını açıkladı. Saldırganlar bu sertifikalar aracılığıyla Windows’un ziyanlı belgeleri muteber olarak tanımlamasını sağladı. Microsoft ise yapmış olduğu bu kritik atakla bir arada bir gecede tüm Windows sistemlerin ilgili ziyanlı evraklara güvenmesini engelledi, muteber olmayan kategorisinde değerlendirilmesini sağlandı. Böylelikle taarruz emelli kullanılan truva atı yer alan evraklar yeni maksatları kolay kolay etkileyemedi.

2 – Windows Defender’in SoloriGate Zararlısını Tespit Edecek Formda Güncellenmesi

Sertifikaların kaldırılmasının çabucak akabinde gün içerisinde Windows’un yerleşik makus emelli yazılım engelleme tahlili Windows Defender, ihlallere neden olan ziyanlı yazılımların tespit edilmesi, ihtarların yapılması ve akının başarısız olabilmesi maksadıyla süratlice güncellendi.

3 – C2C Komuta Denetim Sunucusu Olarak Kullanılan Alan İsmine El Konulması

15 Aralık 2020 tarihine gelindiğindeyse, Microsoft öncülüğünde birtakım teknoloji ve siber güvenlik şirketleri, hücumun yönetildiği komuta denetim sunucularından olan avsmcloud[.]com alan ismine DNS Sinkhole uyguladı ve daha sonra ilgili alan isminin mülkiyetini de Microsoft’a devretti. Sinkholing, saldırganların ilgili alan ismi üzerindeki kontrolünü engellemek aracılığıyla uygulanabilen metotlardan birisidir. Bu sistemde ilgili alan isminin DNS sunucusu yanlışsız amaca değil, istenilen yanlış maksada yönlendirilir.

Ele geçirilen alan isimleri, komuta denetim merkezi iken saldırıyı durduran öldürme anahtarı olarak da kullanılabilmekte. Ele geçirilen alan isimleri kullanılarak saldırganın sistemler üzerindeki kontrolü kesilir, birebir vakitte tehlikeye atılan sistemlerin de tespiti ve ihtar maksadıyla bu alan isimlerinden yararlanılabilir. Bu Microsoft tarafından birinci kere 2008-2009 yıllarında Conficker zararlısına ve Solorigate’den evvel en son TrickBot ağına yönelik uygulanmış bir taktik/siber akın engelleme metodudur.

Microsoft SolarWinds İhlallerine Karşı Agresif Önlemler Alıyor
El konulan ve Microsoft’a devredilen alan isminin Whois bilgisi.

4 – Tüm Windows Bilgisayarlarda Defender Aksiyon Tipinin Apansız Değiştirilmesi

Microsoft tarafından 16 Aralık Çarşamba günü atılan dördüncü adımda ise, Microsoft Windows yüklü bilgisayarlarda bulunan Windows Defender’in hareket yapısının Solorigate için ikaz değil, direkt karantinaya alınacak halde değiştirildiği açıklandı. Bunun sonucunda ilgili ziyanlı yazılımın tespit edildiği sistemlerde ziyanlı yazılım derhal öldürülecek, etkisiz hale getirilecektir.

Hücuma Karşı Koyma Gücü ve Sonuç

Bu kadar yüksek profilli ve büyük zincirleme hücumun ardında her kim varsa pek de duracağa benzemiyor. Saldırganlar ihlal edilen ağlara ve sistemlere hala diğer yollarla erişebilirler. Bilişim güvenliğinde tek taraflı düşünmek yerine işin her istikameti düşünülmelidir. Bu nedenle hala araştırmalar yapılıyor ve önlemler alınmaya devam ediliyor.

Aylardır ihlal edilen sistemler hakkında geçmişe dönük yapılacak bir şey maalesef yoktur, giden bilgiler bir defa gitmiştir. Şu an yapılmaya çalışılan şey, akının mümkün tesirlerinin kaldırılması ve daha da yayılmasının engellenmesine yönelik.

Ve bu süreç bizlere Microsoft’un hukukî bölümdeki kısmına büyük bir önem verdiğini gösteriyor. Ayrıca Windows işletim sistemi üzerindeki denetiminin ne derece büyük olduğunu gösteriyor. Bir gecede tüm Windows bilgisayarları etkileyen sertifika iptalleri, yerleşik güvenlik yazılımının hareket tipinin değiştirilmesi, komuta denetim sunucusunun yer aldığı alan isminin ele geçirilmesi, bu hücumun engellenmesinde büyük hisse sahibi oldu.

okuyucu yorumlarıOKUYUCU YORUMLARI

Sıradaki içerik:

Microsoft SolarWinds İhlallerine Karşı Agresif Önlemler Alıyor