Hedefleri hep aynı: Bankalar ve telekom şirketleri

.png

Türkiye’ye yönelik olarak 27 Ekim Pazar günü öğlen saatlerinde başlayan yurt dışı kaynaklı siber saldırı, başta Garanti BBVA ve Türk Telekom olmak üzere bazı kurumların hizmetlerinin ulaşılamaz olmasına neden oldu. Saldırı dün itibariyle bertaraf edilirken, yaşanan olay siber güvenliğin önemini bir kez daha gözler önüne serdi.

Pekibankaları, telekom şirketlerini, Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve Ulusal Siber Olaylara Müdahale Merkezi'ni (USOM) alarma geçiren bu olayda yaşanan tam olarak neydi? Bu tarz yeni saldırılara karşı önlem olarak neler alınabilir? Siber güvenlik uzmanları Türkiye’nin son yıllarda karşı karşıya kaldığı bu son saldırıyı değerlendirdi.

‘TÜRKİYE YALNIZ DEĞİL’

.png

Uluslararası siber güvenlik kuruluşu Kaspersky’nin Kıdemli Güvenlik Araştırmacısı Maher Yamout, Türkiye’ye yönelik olarak gerçekleştirilen son siber saldırıyı Habertürk’e değerlendirdi. Maher Yamout, yaşanan olayla ilgili şunları söyledi:

“Türkiye yalnız değil! Yakın zamanda META bölgesinde, Asya, Orta Doğu, Latin Amerika ve Güney Afrika'da dahil olmak üzere dünya çapında benzer DDoS saldırılarının bankaları ve telekom şirketlerini hedef aldığını gördük. Şu anda görünürdeki bilgilerle yaptığımız değerlendirmeye dayanarak, finansal motivasyonla yapıldığı için doğası gereği suç olan bu saldırıların aynı yolu izlediğini söyleyebiliriz. Saldırılarda gözlemlediğimiz ortak tema; saldırganların, kurbanlara gönderdikleri tehdit e-mailiyle belirli miktarlarda parayı Bitcoin ile ödemelerini istemeleri; aksi takdirde kurbanlar, 6, 54 ve 100 Gbps gibi değişen hacimlerde bir DDoS saldırısına maruz kalıyorlar. Para ödenmezse, saldırganlar bankanın çevrimiçi hizmetlerini azaltan ve itibarlarına zarar veren daha büyük saldırılar başlatabilir.”

Kullanılan DDoS saldırısının türüne bağlı olarak, farklı önlemlerin alınabildiğini aktaran Yamout, “Ancak, yakın zamanda Türkiye'de yaşanan saldırlara benzer şekilde, teknik olarak daha büyük bant genişliğine sahip olan hedeflere yönelik büyük hacimli DDoS saldırıları söz konusu olduğunda şirketlerin, sistemin aksama/arıza sürelerinden kaçınmak için küresel ağ temizleyici (global network scrubbers) sistemlerini kullanmaları önerilir” dedi.

‘HAFTA İÇİ OLSAYDI ZARAR DAHA BÜYÜK OLURDU’

Yaşanılan saldırının arka planı hakkında bilgi veren siber güvenlik araştırmacısı Eyüp Çelik ise 27 Ekim Pazar günü saat 14:30 civarında bazı operatörlerin yurtdışı çıkışlarında performans kaybı görülmeye başlamasıyla fark edilen siber saldırının operatörlere, bankalara ve bu firmalardan hizmet alan son kullanıcıya zor anlar yaşattığı belirtti.

Birçok durumda sızma işlemini başarıyla gerçekleştiremeyen saldırganların kurum ağına zarar vermek için DDoS (Dağıtık Servis Engelleme Saldırısı) saldırıları gerçekleştirdiklerini anlatan Çelik, DDoS saldırılarından olumsuz etkilenmemek ve bu alandaki riskleri azaltmak için firmaların sürekli olarak Servis Dışı Bırakma (DoS/DDoS) testleri yaptırmalarını gerektiğini ifade etti. Aynı zamanda Privia Security’in Kurucusu olan Çelik, şunları söyledi:

“Kişisel veriler bahane edilerek ülkedeki tüm banka ve benzeri kuruluşların bulut ortamındaki sistemlerinin Türkiye’deki yerel veri merkezlerine aktarılması genelgeler ile zorunlu hale geldi. Ancak altyapılardaki eksiklik ve kapasite yetersizliği sebepleri ile maalesef ki bu ve benzeri türdeki servis dışı bırakma saldırılarına karşı savunmasız bir durumda kalabiliyoruz. Cloud sistemler, servis dışı bırakma saldırılarını engellemek için, DDoS Protection, CDN (Content Delivery Network) ve Load Balancing (Yük Dengeleme) kullanarak gelen trafik boyutuna göre yeni sunucuların devreye girmesi sağlanmaktadır. Ancak yetersiz altyapılar, yüksek maliyetler ve doğru konfigüre edilmemiş sistemler nedeni ile DDoS trafiği veri merkezlerinde sıkışarak trafiği yöneten ISP’leri zor durumda bırakabiliyor. Yaşadığımız bu saldırıda ise çok daha ciddi bir şekilde spoof (taklit) edilmiş IP adresleri ile servis dışı bırakma saldırıları gerçekleştirilmiştir.”

Eyüp Çelik, şu değerlendirmeyi yaptı:

“Türkiye dışına çıkış ve geliş trafiklerinin denetime alınmasına rağmen saldırının ülke içerisindeki bir bankanın IP adreslerinin taklit edilmesi (Spoof) sebebi ile saldırı bir süre daha Türkiye içinden Türkiye’ye doğru devam ederek sistemlerin servis dışı kalmasına sebep oldu. Tüm bunlardan da anlaşılacağı üzere, siber saldırılar sadece yurt dışından gelmemekte, sistemler Türkiye içinde de diğer ağlara içten saldırı gerçekleştirebilmektedir. Pazar gününe denk gelen bu saldırı eğer hafta içi yaşanmış olsaydı, hizmet kesintisinden kaynaklanan direk ve dolaylı zarar çok daha büyük olacaktı. Bu saldırıdan dersler çıkartılmalı ve ülkemizin güvenliğini sağlamak adına alt yapıdan başlanarak iyileştirmelerin bir an önce hayata geçirilmesi gerekmektedir.”