Konuk yazarımız Özkan Erdoğan, Hazar Strateji Enstitüsü'nde Siber Güvenlik Uzmanı olarak görev yapmaktadır.
23 Aralık 2015’te Ukrayna’nın doğusunda 80 bin kişi 6 saat boyunca elektriksiz kaldı. Üstelik bu, sıradan bir elektrik kesintisi değildi. Çoğumuzun üzerinde fazla durmadığı bu gelişme, kritik altyapı siber güvenliği tarihine geçmeye aday. Zira bir şehrin elektriğinin siber saldırı ile kesilebileceğinin belki de ilk kez kanıtlandığı bu vaka, elektrik sistemleri gibi önemli kritik altyapıların siber saldırı riski altında olduğunu ve bunun da bizim hayatımızı ciddi ölçüde etkileyebileceğini ortaya koyuyor. Üstelik bu tür saldırıların şiddeti ve adedi her geçen gün artıyor.
Ukrayna’daki olaya yeniden dönecek olursak, özetle elektrik santrallerinden bir tanesi 6 saat boyunca devre dışı kaldı ve 80 bin aboneye elektrik verilemedi. Kesintiden 6 saat sonra santral çalışanları devre kesicileri tekrar aktive ederek elektriğin gelmesini sağladılar.
Nasıl saldırdılar?
Belki de kritik altyapı tarihinde karşılaştığımız en sofistike saldırılardan biri olan bu son gelişmede saldırganlar, oturdukları yerden, özel olarak seçtikleri hedefleri titizlikle ele geçirdiler ve takip ettiler. Sonra da saldırı anını belirleyip ele geçirdikleri sunucu üzerinden elektrik santralinin SCADA sistemlerine sıçrama sağlayarak, elektrik sistemi devrelerini kestiler. Bu kesintinin zararlı bir yazılım ile mi yoksa manuel olarak içeriden bir ajan vb. ile mi yapıldığı hakkında hala tam olarak bilgi sahibi olunamıyor. Bu sırada abonelerin şikâyetlerinin santrale ulaşmaması için santralin telefon sistemini de ddos saldırıları ile etkisiz hale getirdiler. Tüm bunlar yaşanırken, telafi süresini elden geldiğince geciktirebilmek için özellikle SCADA ve işletim sistemlerinin tekrar çalışmasını engelleyecek şekilde sistemleri bozdular.
Rus Black Energy’nin ilk vukuatı bu değil
Bahsi geçen siber silah, yani zararlı yazılım, Rusya kökenli birkaç yazılımcı tarafından geliştirilmiş olan ‘Black Energy’. Ukrayna’da yaşanan olay, bu kötü yazılımın ilk vukuatı değil. İlk kez 2007 senesinde karşılaşılan bu zararlı kodun etkisi büyük olsa da Aralık ayına kadar bilgi hırsızlığı dışında fiziksel bir etkisi olmadı. Ancak Black Energy’ye 2015’in son günlerinde Ukrayna’daki 3 adet elektrik santrali ve birkaç medya kuruluşunun sunucularında tekrar rastlandığında virüs biraz şekil değiştirmişti. Elbette etkileri de sadece bilgi hırsızlığı ile sınırlı kalmadı.
Black Energy nasıl çalıştı?
Sistemde tespit edilen virüs üzerinde uzmanların yaptığı tersine mühendislik çalışmaları, zararlı yazılımın işleyişi hakkında fikir edinmemizi sağlıyor. İşte bu çalışmadan çıkan bulgular:
- Zararlı yazılım; bulaştığı sistemin boot (mbr) yapısını bozuyor, sistemin reboot (tekrar çalışmasını) engelliyor.
- Bazı dosyaların üzerine yazarak (overwrite) bozuyor.
- Kritik altyapılarda kullanılan birkaç paket programın sistemde çalışan servislerini silmeye çalışıyor.
- Bulaştığı sistemde izini ustaca yok etmeye çalışıyor.
- Zararlı yazılımın içinde sisteme daha sonra tekrar arka kapıdan giriş sağlayabilecek ssh (secure shell) servisi var.
- Zararlı yazılımın etkili olduğu saatlerle aynı zamanda santralin telefon sistemlerine ddos saldırıları gerçekleştirildi.
Farkındalık için Türkçe platformlar önemli
Sonuç olarak Black Energy kritik altyapıların siber güvenliğinin ne denli önemli bir konu olduğunu ve bunun günlük hayatımıza ciddi etkileri olabileceğini gözler önüne serdi. Dünyada siber saldırılar her geçen gün artıyor. Dolayısıyla bu siber saldırıların fazlalaşacağını ve daha da büyük hedeflere yöneleceğini düşünerek her zaman hazırlıklı olmak lazım. İşte bu nedenle CIPALERT gibi farkındalığı artıran, dünyadaki en iyi örnekleri Türkçe olarak Türkiye kamuoyuna sunan platformlar önemli.
Sonuçta elektrik olmadan, ne ulaşım, ne internet, ne su arıtma, ne üretim, ne enerji, ne de bankacılıktan bahsedemiyoruz. Elektrik kesintilerinin insan hayatını nasıl etkileyebileceğini zaten hemen hemen hepimiz tahmin edebiliyoruz. Ukrayna’nın yaşadığı saldırı, artık siber silahlarla bir ülkenin elektriğinin kesilerek iletişim ve ulaşım altyapısına oldukça mühim bir darbe vurulabileceğini, o ülkenin savaş anında istihbarat vb. çok önemli özelliklerinin sekteye uğratılabileceğini gösterdi.