Siber saldırganların yeni hedefi koronavirüs aşı çalışmaları
STM tarafından yayımlanan raporda, siber saldırganların hedefeinde bu kez de yeni tip koronavirüs salgınının önüne geçme amaçlı yürütülen aşı çalışmaları yer alıyor. Saldırganlar, sağlık kuruluşlarından aşılar hakkında istihbarat çalmaya çalışıyor.
STM'nin yayınladığı "Kovid-19 Aşı Geliştirme Çalışmalarına Yönelik Siber Tehditler" başlıklı rapora göre, siber saldırganların hedefi Kovid-19'a yönelik aşı çalışmaları oldu. STM açıklamasına göre, Türkiye'nin savunma sanayi ve milli teknoloji hamlesinde önemli bir rol üstlenerek yerli teknolojiler geliştiren STM Savunma Teknolojileri Mühendislik ve Ticaret AŞ, "Kovid-19 Aşı Geliştirme Çalışmalarına Yönelik Siber Tehditler" başlığıyla bir rapor yayınladı.
"SALGININ YARARTTIĞI KAOSTAN YARARLANMAYA ÇALIŞIYORLAR"
155'ten fazla kurum, özel şirket ve üniversitenin aşı geliştirme aşamasında olduğu ve aşıların yavaş yavaş insanlar üzerinde test edilmeye başlandığının belirtildiği rapor, bilgisayar korsanlarının Kovid-19 aşısı araştırmasını çalmaya çalıştıkları iddiasına yer veriyor. Buna göre, ABD'de 2016 yılında Demokrat Parti sunucularına girme olayına da karışan siber saldırganların; üniversitelerden, şirketlerden ve diğer sağlık kuruluşlarından aşılar hakkında istihbarat çalmaya ve koronavirüs salgınının yarattığı kaostan yararlanmaya çalıştığı belirtiliyor.
Raporda, Amerikan istihbarat yetkililerine göre saldırganların, kendi aşılarını daha hızlı geliştirmek için araştırmaları çalmayı hedeflediği ve kötü amaçlı yazılım kullanarak aşı geliştirmekte olan devlet ve ona bağlı kuruluşları hedef aldığı iddiası yer alıyor. Saldırının, kurum çalışanlarının parolalarını ve diğer kimlik bilgilerini ele geçirmek için kandırmaya yönelik sahte e-postalar göndererek aşı araştırmasına ve tıbbi tedarik zinciriyle ilgili bilgilere erişim sağlamak için yapıldığı düşünülüyor.
Bunlara ek olarak saldırganların, elinde bulunan belli başlı statik IP'lere zafiyet taraması ve bulduğu açıklıkları sömürme çalışmaları yaptığı da belirtiliyor. Saldırıların gönderilen sahte e-posta ve zafiyet sömürülerinden sonra saldırganlar tarafından ele geçirildikleri düşünülen parolalarla, ilgili kuruluşların ağlarına sızılarak WellMess ve WellMail zararlılarının çalıştırılması şeklinde gerçekleştirildiği değerlendiriliyor. Söz konusu zararlıların, içinde bulundurdukları zararlı kodlar ile uzaktan komut çalıştırma, veri alma ve gönderebilme ve elde ettiği bilgileri komuta kontrol sunucusuna gönderme yeteneğine sahip olduğu görülüyor.
İLK HEDEF OXFORD ÜNİVERSİTESİ
Rapor, BitSight tarafından yapılan ve aşı geliştiren şirketlerin bilgi teknolojileri altyapılarının ne kadar etkili olduğunu ölçen araştırmaya da yer veriyor. Rapora göre, BitSight araştırmacılarının Kovid-19 aşısı geliştiren 17 şirketin maruz kaldığı siber güvenlik ihlallerini ortaya çıkarttığı çalışmayla, 25 adet sistemde Malware/Bot, PuP (Potentially Unwanted Programs) spam gönderimi ve anormal istekler gerçekleştirildiği ortaya konuluyor. İncelemelerde, Telnet, Microsoft RDP, Printer, SMB, VNC portlarının ve veritabanlarının denetimsiz olarak internete açık olduğu ve dışarıdan yetkisiz erişimlere mazur kaldıklarının görüldüğü kaydediliyor. Öte yandan, 17 şirketin 14'ünde sömürülmeye açık zafiyetler tespit edildi. Son olarak bu şirketlere ait 30 adet web sunucusu zafiyeti de belirlendi.
Raporda, saldırganların hedefindeki bir diğer ülke İngiltere'de ise saldırıların birincil hedefinin, İngiltere'deki Oxford Üniversitesi ve aşı üzerinde ortaklaşa çalışan AstraZeneca şirketi olduğu iddiasına yer veriliyor.
ÖNLEMLER
STM raporunda, siber tehditlere yönelik şu önlemler sıralanıyor:
"Şirketler personelini, bilgi teknolojileri departmanında çalışanlar da dahil, bilgi güvenliği alanında eğitime tabi tutmalı ve özellikle oltalama konularında farkındalığı artıracak eğitimler ve programlar oluşturmalı. Güvenlik duvarında yapılandırılmış yanlış bir politika ile kritik sunucu ve servisler, istenmeden de olsa internetten erişilebilir ve saldırganların hedefi haline gelebilir. Sınır güvenliğinin etkin bir şekilde sağlanması için erişim yetkileri, güvenlik cihazlarının konfigürasyonlarının kurum politikalarına göre yapılandırıldığı belli aralıklar ile test edilmeli.
Güvenlik duvarında uygulanacak ağ segmentasyonu ile de kurumun ağ güvenliği artırılmalı. Belli dönemlerde yapılan sızma testlerinin yerine, sürekli sızma testleri yaptırılmalı ve ortaya çıkabilecek zafiyetler kapatılmalı. İş sürekliliğinin sağlanması için önemli sunucular ve güvenlik cihazları yüksek erişebilirlik ile çalışmalı, sunucuların sık sık yedeği alınmalı, kritik sistem ve sunucular için felaket kurtarma prosedürleri hazırlanmalı ve en önemlisi kurumun başka bir lokasyonda felaket kurtarma merkezi olmalı. Kurumun bütün istemci ve sunucularına anti-virüs programlarının yüklenmesi ve bu yazılımların güncel tutulması da bilinen zararlılara karşı önemli bir savunma sağlayacaktır."