‘Covid-19 Aşı Geliştirme Çalışmalarına Yönelik Siber Tehditler’ başlıklı rapor, Türkiye ve dünya genelinde koronavirüs aşı geliştirme çalışmalarına ait yapılan tespit ve araştırmalardan elde edilen dataların STM’deki siber tehdit füzyon merkezinde incelenerek tahlil edilmesiyle hazırlandı. Raporda, dünya çapında 880 binden fazla kişinin vefatına neden olan koronavirüse karşı 155’ten fazla kurum, özel şirket, üniversitenin aşı geliştirme kademesinde olduğuna dikkat çekildi. Kimi aşıların, insanları hasta etmeden bir bağışıklık reaksiyonu oluşturmak için koronavirüsü taklit edecek diğer bir yaygın virüsü değiştirerek çalıştığı, Oxford ve AstraZeneca’nın araştırmasının, koronavirüsü taklit eden bir patojene dayandığına işaret edildi. Rusya Sıhhat Bakanlığı’nın da, bu patojeni taklit edecek bir aşı üzerinde çalıştığı, lakin testlerin Oxford araştırmacıları kadar ileri seviyede olmadığına vurgu yapıldı.
AŞILAR HAKKINDA İSTİHBARAT ÇALMA TEŞEBBÜSÜ
Raporda, Amerikan, İngiliz ve Kanada hükümetlerinin, bilgisayar korsanlarının koronavirüs aşısı araştırmasını çalmaya çalıştıklarını tez ettikleri hatırlatılarak, Amerika’da 2016 yılında Demokrat Parti sunucularına girme vakasına da karışan bir bilgisayar korsanının üniversitelerden, şirketlerden ve öteki sıhhat kuruluşlarından aşılar hakkında istihbarat çalmaya çalıştığı ve APT29 (Cozy Bear) olarak bilinen tehdit aktör kümesinin, koronavirüs salgınının yarattığı kaostan yararlanmaya çalıştığı argümanına yer verildi. Raporda, “Amerikan istihbarat yetkililerinin, grubun öbür ülkelerin uğraşlarını sabote etmek değil, kendi aşılarını daha süratli geliştirmek için araştırmaları çalmayı hedeflediklerini belirtirken, siber güvenlik uzmanları, global halk sıhhatine kastın az olduğunu lisana getirmektedir” denildi.
‘COZY BEAR KÜMESI, AŞI GELİŞTİREN DEVLETLERİ MAKSAT ALIYOR’
Cozy Bear tehdit aktör kümesinin, berbat maksatlı yazılım kullanarak aşı geliştirmekte olan devlet ve ona bağlı kuruluşları maksat aldığına işaret edilerek, “Saldırının kurum çalışanlarının parolalarını ve başka kimlik bilgilerini ele geçirmek için kandırmaya yönelik geçersiz e-postalar göndererek (phishing ve spear phishing) aşı araştırmasına ve tıbbi tedarik zinciriyle ilgili bilgilere erişim sağlamak için yapıldığı düşünülmektedir. Bunlara ek olarak Cozy Bear kümesinin elinde bulunan aşikâr başlı statik IP’lere zafiyet taraması yaptığı ve bulduğu açıklıkları sömürme çalışmaları yaptığı da görülmüştür. Taarruzların gönderilen geçersiz e-posta ve zafiyet sömürülerinden sonra saldırganlar tarafından ele geçirildikleri düşünülen parolalar ile ilgili kuruluşların ağlarına sızılarak ‘WellMess’ ve ‘WellMail’ zararlılarının çalıştırılması halinde gerçekleştirildiği değerlendirilmiştir. Kelam konusu zararlıların içinde bulundurdukları ziyanlı kodlar ile uzaktan komut çalıştırma yeteneğine, bilgi alma ve gönderebilme yeteneğine ve elde ettiği bilgileri komuta denetim sunucusuna gönderme yeteneğine sahip olduğu görülmüştür” tabirleri kullanıldı.
‘COZY BEAR’IN AMACINDA OXFORD DA VAR’
Cozy Bear tehdit aktör kümesinin maksadında İngiltere’de Oxford Üniversitesi ve aşı üzerinde ortaklaşa çalışan AstraZeneca şirketinin de olduğuna dikkat çekildi. Araştırmacıların, koronavirüs aşısı geliştiren 17 şirketin maruz kaldığı siber güvenlik ihlallerini ortaya çıkartan bir çalışma ile 25 adet sistemde spam gönderimi ve olağandışı istekler gerçekleştirildiğini, ayrıca 17 şirketin 14’ünde sömürülmeye açık zafiyetler tespit ettiğine dikkat çekildi. Yine bu şirketlere ilişkin 30 adet web sunucusu zafiyeti keşfedildiğine de işaret edilerek, “Bu zafiyetler sömürülerek sunuculara hakikat gerçekleştirilen trafiğin izlenebilir; parola, ferdî bilgi, kurum bilgilerinin ele geçirilebilir olabileceği tespit edilmiştir” denildi.
‘VERİLER INANÇTA TUTULMALI’
Raporun sonuç kısmında aşı çalışmalarında elde edilen bilgiler, formüller, çıktılar vb. daha birçok bilgilerin saklandığı ortamların inançta tutulması gerektiğine işaret edilerek şöyle denildi:
“Yapılan araştırma aslında koronavirüs nezdinde çalışan firmalar için geçerli olsa da dünyada birçok kurumun bu ve bunlara emsal zafiyetleri bulunmaktadır. Kusurların önüne geçilmesi için şirketlerin tamamı işçisini bilgi güvenliği alanında eğitime tabi tutmalı ve bilhassa oltalama (phishing, spear phishing) bahislerinde farkındalığı arttıracak eğitimler ve programlar oluşturmalıdır. Tabi buna şirketin BT departmanında çalışan şahıslar de dahildir. Güvenlik duvarında yapılandırılmış yanlış bir siyaset ile kritik sunucu ve servisler, istenmeden de olsa internetten erişilebilir ve saldırganların amacı haline gelebilir. Hudut güvenliğinin faal bir biçimde sağlanması için erişim yetkileri, güvenlik aygıtlarının konfigürasyonlarının kurum siyasetlerine nazaran yapılandırıldığı belirli aralıklar ile test edilmelidir. Güvenlik duvarında uygulacak ağ segmentasyonu ile de kurumun ağ güvenliği arttırılmalıdır. DMZ, idare ağı, sunucular ve istemciler vb. ağlar oluşturularak ağ trafiği en faal formda izlenmelidir.”
‘FELAKET KURTARMA MERKEZİ OLMALI’
Belirli devirlerde yapılan sızma testlerinin yerine daima sızma testlerinin yaptırılması ve ortaya çıkabilecek zafiyetlerin kapatılması gerektiği belirtilerek, “Zafiyet ve yama idaresi süreçlerinin aktif bir formda gerçekleştirilmesi, bilinen zafiyetlerden ötürü kurumların maruz kalabileceği güvenlik tehditlerini de azaltacaktır. İş sürekliliğinin sağlanması için kıymetli sunucular ve güvenlik aygıtları yüksek erişebilirlik ile çalışmalı, sunucuların sık sık yedeği alınmalı, kritik sistem ve sunucular için felaket kurtarma prosedürleri hazırlanmalı ve en kıymetlisi kurumun öbür bir lokasyonda felaket kurtarma merkezi olmalıdır. Doğal ki kurumun bütün istemci ve sunucularına anti-virüs programlarının da yüklenmesi, bu yazılımların yeni tutulması da bilinen zararlılara karşı değerli bir savunma sağlayacaktır. Kurumun güvenlik altyapısının ve gerçekleşen hadiselerin daima izlenmesi, siber tehdit istihbaratı kaynaklarının aktif kullanımı ile WellMess ve WellMail üzere zararlılardan kurumların korunması ismine değerli adımlar olarak kıymetlendirilmektedir. Bu önlemler ile kurumların altyapıları ve Covid-19 aşı araştırmaları üzere değerli dataları saldırganlardan çok büyük ölçekte korunabilecektir” denildi.
‘SALDIRILAR DAHA ÇOK BİLGİ ELDE ETMEK İÇİN’
DHA’ya konuşan STM Güvenlik Müdürü Kadir Murat Biçer, siber ortam içinde değerli olan bilgilerin olduğu tüm ortamlara yapılan taarruzlar üzere memleketler arası aşı çalışmalarında da siber hücumların olduğuna dair bilgilere ulaştıklarını belirtti. Biçer, “Saldırılar yapılırken daha çok tekrar aldatma e-postaları ile kullanıcılara ve sistem idare yetkileri olan onların istenilen zararlıları tıklayıp kendi makinelerine indirmeleri ve bu zararlılar ile ilgili bilgi ortamını şifreleyerek bu şifreleri, bilgileri kendi istedikleri komuta denetim sunucularına gönderdiklerini tespit ettik. Bu taarruzların daha çok bilgiyi elde etmek ve bilgiyi kendi çıkarları, amaçlarına kullanmak için yapıldığını müşahede ettik. Akınlar esnasında bu usul aşı çalışmaların bilgileri değiştirilmiş olsaydı toplum sıhhatinin daha fazla etkilenme ihtimali vardı. Lakin şu anda akınlar daha çok bilgi etmek için. Tekrar bu ataklar aşı çalışmalarında gecikme meydana getirebilir ve aşı çalışmalarının sonuçlanmasını geciktirebilir” dedi.
‘GİZLİLİK, BÜTÜNLÜK, ERİŞEBİLİRLİK’
Biçer, siber güvenliğin üç temel bacağı zımnilik, bütünlük ve erişebilirliğe dikkat çekerek, “Burada kapalılık bacağına karşı yapılan taarruzlardan bahsediyoruz. Gerekli zafiyet ve risk idarelerinin yapılması ve bunlara karşı eğitimlerin yapılması çok kıymetli. Güvenlik topluluğuna söylemek istediğim zımnî datalarını, kendileri için değerli bilgileri güvenlik altına alabilmek için muhakkak kurallara uymaları ve siber güvenliği hadise olduğu an değil hadise olmadan evvel önemsemelerini öneriyorum” değerlendirmesinde bulundu.
Haber7
