SolarWinds Vaka Analizi

Home  /  Yazılar

SolarWinds Orion Network Monitoring platformuna yapılan saldırı sonucunda birçok kuruluşun ve ABD’ nin devlet kurumlarının büyük ölçüde etkilendiği tespit edilmiştir. Bu saldırı tarihin en büyük beş siber saldırısından biri olarak değerlendirilmektedir.

SolarWinds 1998 yılında temellerini atmış, işletmelerin ağlarını, sistemlerini ve bilgi teknoloji altyapılarını yönetmelerine yardımcı olacak yazılımlar geliştiren Amerika’ lı bir şirkettir. Hem özel ve devlet kurumlarıyla çalışan SolarWinds’ in merkezi Austin, Texas’ta olup, Amerika Birleşik Devletleri’ nde ve diğer bazı ülkelerde çeşitli yerlerde satış ve ürün geliştirme ofisleri bulunmaktadır. Şirket, Mayıs 2009’dan 2015’in sonuna kadar ve yine Ekim 2018’den itibaren halka açık olarak işlem gördü. Aynı zamanda, Loggly Pingdom ve Papertrail gibi bazıları hala orijinal adlarıyla faaliyet gösteren birçok şirketi de satın alarak bünyesine kattı. Neredeyse tüm Fortune 500 şirketleri ve çok sayıda federal kurum da dahil olmak üzere Aralık 2020 itibarıyla yaklaşık 300.000 müşterisi vardır. 33 bine yakını ise Orion müşterisidir.

SolarWinds saldırısında, saldırganlar tarafından hedef alınan Orion yazılımı baz alınarak yapılan saldırı, “Supply Chain Attack (Tedarik Zinciri Saldırısı)” olarak tarihe geçmiştir. Ürünün güncellemelerinin oluşturulması ve güncelleme sunucularına yüklenmesi süreçlerine nüfus eden saldırganlar bu sayede ürün güncellemelerinin içine kendi zararlı yazılımlarını gizleme imkanı elde ettiler. Bu güncellemeyi yükleyen şirket veya kurumların ağlarındaki sunucularında bulunan bilgiler ve yetkileri saldırganların eline geçti. Saldırganlar sunuculara erişerek, Amerika’nın pek çok noktasındaki kritik ağlara yüksek yetkilerle sızmış oldular. Bir nevi resmi bir uygulama içerisinde backdoor (arka kapı) oluşturuldu.

Saldırıda kullanılan backdoor saldırı vektörüne, teknoloji şirketleri farklı isimler vermeyi tercih etti. FireEye’ın “SUNBURST” olarak adlandırdığı saldırı vektörüne, Microsoft “SOLORIGATE” ismini vermeyi seçti; fakat medyada saldırı, SolarWinds saldırısı olarak anılmıştır.

Saldırının en can alıcı noktasının yeni yapılan bir saldırı olmadığı yani uzun süredir istismar edilen bir saldırı olduğu birçok son kullanıcıda yapılan analizde ortaya çıkmıştır. Mart 2020’den bu yana yayımlanan güncellemelerde zararlı yazılım tespit edildi. Aradan geçen süre zarfında saldırganların bu erişimi hangi amaçlarla kullandığını, ne yaptığını ve yol açtığı hasarın boyutu uzmanlar tarafından açıkça paylaşılmamıştır. Milli Güvenlik Konseyi toplantısının hemen ardından ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (Cybersecurity and Infrastructure Security Agency-CISA) yayınladığı acil genelge ile ABD kamu kurumlarına, tüm SolarWinds Orion sistemlerinin kapatılması talimatını verdi.

Saldırı Adımları

8 Aralık 2020’de, siber güvenlik firması olan FireEye, kırmızı takım araçlarının Rus devleti destekli APT (Sürekli Gelişmiş Tehdit) grubu olan APT29 olduğuna dair yorumlar yapılmıştı. FireEye’ın kendi ihlalini ve Red Team araçlarının hırsızlığını araştırırken SolarWinds tedarik zinciri saldırısını keşfetti. FireEye bu saldırıyı keşfettikten sonra, durumu hemen NSA bildirdi.

Fireye başlattığı araştırmalar ile UNC2452 adı verilen, küresel ölçekte bir sızma kampanyası keşfedildi. Etkilenen sürümlerin, Mart 2020 ile Haziran 2020 arasında yayınlanan versiyonları 2019.4 ile 2020.2.1 HF1 arasında olduğu tespit edildi. FireEye, kötü amaçlı yazılımın SUNBURST, Microsoft ise Solorigate adını verdi. Rus Dış İstihbarat Servisi için çalışan APT29, diğer adıyla Cozy Bear’ın 2020 saldırısının arkasında olduğu bildirildi.

DNS verilerini kullanarak ve Orion ikili dosyaların ters mühendisliğini kullanarak SolarWinds saldırısının sonraki analizi, saldırganın zaman çizelgesi hakkında ek ayrıntıları ortaya çıkardı. Microsoft’ a göre, yasal bir kitaplıkta bulunan Hash bilgisi b91ce2fa41029f6955bff20079468448 olan ve SolarWinds.Orion.Core.BusinessLayer.dll dosya adına sahip arka kapı bulundu.

SolarWinds.Orion.Core.BusinessLayer.dll, üçüncü taraf sunuculara HTTP yoluyla iletişim kuran bir arka kapı içeren Orion yazılım çerçevesinin SolarWinds dijital olarak imzalanmış bir bileşenidir. Dijital imza da Symantec tarafından imzalanmıştır. SolarWinds Orion eklentisinin truva atı haline getirilmiş sürümünü SUNBURST olarak görüyoruz.

Saldırganların üç adımlı eylem planlarında, zararlı kodu oluşturma sistemi tehlikeye atma, kendi kodlarını enjekte etme ve imzalı paketlerinin beklendiği gibi istemci tarafında görüneceğini doğrulamak yer almaktadır. Bu hedeflere ulaşıldığında ve saldırganlar tedarik zincirinin tehlikeye atılabileceğini kendilerine kanıtladıktan sonra, gerçek saldırı yükünü planlamaya başladıkları tahmin ediliyor.

OrionImprovementBusinessLayer sınıfı kasıtlı olarak seçilmiş. Koda uyum sağlamanın yanında aynı zamanda yazılım geliştiricilerini veya ikili dosyaları denetleyen herkesi kandırmak için kullanılmış. Bu sınıf ve kullandığı yöntemlerin çoğu, diğer Orion yazılım kitaplıklarında bulunabilir, hatta bu kitaplıklarda bulunan kodla tema olarak uyumludur. Buradan anlamamız gereken saldırganın gerçekten sessiz kalma niyetinin olmadığı ve kod tabanına oldukça aşina oldukları anlaşılıyor.

Sınıfları, üyeleri ve değişkenleri uygun şekilde adlandırma örüntüsü arka kapının her yerinde görülmektedir. Orion Client kütüphane kodu tarafından kullanılan CollectSystemDescription ve UploadSystemDescription adlı bir yöntem kullanıldığı kesinleşmiştir. Tıpkı bir IOrionImprovementBusinessLayer arayüzü olduğu gibi saldırganlar arka kapıyı yerleştirdikleri sınıfın adı için taklit ettiler; ancak, kütüphaneye eklenen herhangi bir kod durduk yere kendi kendini çalıştırmaz. Saldırganların bir şekilde onu aramaları gerekiyor ve bu da risklidir.

Saldırganların arka kapıyı SolarWinds’e enjekte etmelerini Microsoft, raporunda, saldırganların SolarWinds’e ait dahili yapı veya dağıtım sistemlerini tehlikeye atmış olabileceğini, bunun da bir arka kapı yerleştirmelerine izin verdiğini öne sürdü.

Yukarıdaki görsel işaretli olan kod alanı, saldırganların yerleştirdiği ek işlevselliktir. ‘Try catch’ kullanarak yapılması uzun süredir devam eden arka plan görevleriyle ilgilenmektedir. Saldırgan tarafından enjekte edilen bu küçük kod bloğu, Orion yazılımı arka plan araç kontrollerini gerçekleştirirken arka kapıyı çalıştıran yeni bir iş parçacığı oluşturur.

InventoryManager sınıf kaynak kodu düzeyinde değiştirilmiş ve dosya sonuçta düzenli Orion yazılım oluşturma sistemi ile oluşturulmuş. Bu, arka kapılı ikili programın zaman damgalarına, aynı paketteki diğer kitaplıklara ve bunları teslim eden yama dosyasına bakılarak doğrulanabilir.

PE dosya başlıkları ile CodeViews arasındaki zaman damgaları mükemmel şekilde eşleşmiştir. Bu, yenilenme numarası 1’e ayarlandığında, dosyanın yalnızca bir kez derlendiği veya temiz bir yapı olduğu anlamına gelir. Dosya imzalandığından ve zaman damgası için çapraz imzalandığından, üstbilgilerdeki zaman damgaları güvenilir şekilde doğrulanabilir. Çapraz imzalama zaman damgası, oluşturma ortamının dışında bulunan ve değiştirilemeyen uzak bir sunucu tarafından kontrol edilir.

İmza, kütüphane derlemesinden sonra bir dakika içinde gerçekleşir. Bu, saldırganların derleme sistemini izleyebilmeleri, meta dataları buna mükemmel şekilde uyacak şekilde değiştirebilmeleri için zaman bırakmaz. Tüm bu zaman damgası yapılarının mükemmel şekilde hizalanmasının en basit yolu, saldırgan tarafından kodun doğrudan kaynağa enjekte edilmesi ve ardından mevcut derleme ile imzalama sisteminin Orion yazılım geliştiricileri tarafından tanımlanan derleme ve yayınlama işlemlerini gerçekleştirmesidir.

MSP yama dosyası, kitaplık için yerel son değiştirilme zamanını koruyan bir CAB arşivi içerir. Derleme sisteminin GMT+1 saat diliminde çalıştığını varsayarsak, dosyanın en son imzalama sırasında değiştirildiğini de doğrular.

Aynı isim alanına ait olan arka kapılı kitaplığı çevreleyen dosyalar da aynı anda derlenir. Birbirlerine bağlı olmadıkları için, aynı anda oluşmazlar. MSP düzeltme eki dosyası imzalandığından ve imzalama süresi paketin içeriğiyle eşleştiğinden, düzeltme ekinin, yapının geri kalanıyla aynı makinede oluşturulduğunu doğrular.

Olayı yorumlamak gerekirse; dijital imzalama sistemi güvenilmeyen kodu imzalamak zorunda kaldı. Şu anda SolarWinds sertifikalarının diğer kötü amaçlı kodları imzalamak için kullanıldığına dair bir kanıt yok; ama bu derleme sisteminde kullanılan tüm sertifikalar ve anahtarlar iptal edilmelidir.

FireEye’a göre kötü amaçlı yazılım, ağ trafiğinde SolarWinds’e ait olan Orion’un yerel protokolü, OIP veya Orion iyileştirme programı olarak gizleniyor. Verileri, eklenti yapılandırma dosyalarında depolar. Bu da aktivitesini gizlemesine izin verir. Arka kapı işlemler, hizmetler ve sürücüler olarak çalışan adli inceleme ve antivirüs araçlarını tanımlamak için birden çok gizlenmiş engelleme listesi kullanır.

2020 yılının Mart ve Mayıs ayları arasında zararlı yazılım olan truva atı uygulanmış birden fazla güncellemeyle dijital olarak imzalandı ve bu güncellemeler SolarWinds tarafından indirilmesi için web sitelerine linkleri koyuldu. Bu güncelleme indikten sonra exe dosyaları sistem yapılandırılmasına bağlı olarak yüklendi. Yani DLL Hijacking adlı saldırı gerçekleşti.

İlk olarak, solarwinds.businesslayerhost UNC2452, dizinin bir hash değerini hesaplayarak ve sonucu 64 bitlik sayı ‘17291806236368054941’ ile karşılaştırarak bu dizeyi doğrudan kaynak koduna dahil etmediler. Hash değeri, 64 bit numarası ‘6605813339339102567’ ile ek bir XOR ile standart bir FNV-1A 64-bit hash olarak hesaplanır. XOR operasyonu, kötü amaçlı yazılım analistlerini hash ön görüntüsünü zorlamak için özel araçlar geliştirmeye zorlar.

İki hafta içerisinde, zaman damgası denetimi başarısız olursa, arka kapı, meşru ve yinelenen bir arka plan görevi tarafından çağrıldığında daha sonra rastgele bir zamanda yeniden çalıştırılır. Eşik onaylandığında, arka kapının yalnızca bir örneğinin çalıştığından emin olmak için ‘583da945-62af-10e8-4902-a8f205c72b2e’ adlı UID oluşturur. Adlandırılmış kanal varsa, kötü amaçlı yazılım çıkar.

SUNBURST, yapılandırmasını yasal SolarWinds.Orion.Core.BusinessLayer.dll.config dosyasında depolar . Bu iki var olan ayarlar repurposes appsettings:

  • ReportWatcherRetry,
  • ReportWatcherPostpone’ dir.

Başlatma sırasında, arka kapı ReportWatcherRetry ayarının 3 değeri olup olmadığını belirler. Bu değer, kötü amaçlı yazılımın devre dışı bırakıldığını ve artık herhangi bir ağ etkinliği gerçekleştirmeyeceğini gösterir. Hatta UNC2452 arka kapıya kendisini devre dışı bırakması için komut verebilir. Bu özellik, operatör kurbanın ilgilenmediğini veya görevini tamamladığını belirlediğinde kullanılabilir.

Arka kapı ayrıca sistemin bir Active Directory (AD) etki alanına katılıp katılmadığını belirler ve eğer öyleyse etki alanı adını alır eğer almadıysa yürütmez. SUNBURST, AD alan adını bir engelleme listesine göre kontrol eder ve aşağıdaki değerlerden birini içeriyorsa yürütmeyi hemen durdurur.

Yukarıda paylaştığımız değerler SolarWinds’in içindeki zararlı yazılımın kaçınmak istediği değerler olabileceği söz konusudur. SUNBURST, api.solarwinds.com DNS adını çözebilmesini sağlayarak sistemin internet bağlantısı olduğunu doğrular. Aksi takdirde yukarıda da dediğimiz gibi, yürütme durur ve daha sonra rastgele bir zamanda yeniden dener.

SUNBURST’ün güvenlik araçlarını tespit etmek için kullanılan dizeleri saklamak için, UNC2452 her dize için bir hash değeri hesaplar ve ardından da gömer. Arka kapının bir hash işlem adının varlığını kontrol etmesi önemsiz olsa da bir hash değerin hangi dizeye hash aracılığıyla karşılık geldiğini belirlemek, hesaplama açısından biraz zahmetlidir. Saldırganlar, hash’leri başarılı bir şekilde bruteforce (kaba kuvvet) saldırısına zorladı. SUNBURST, sistemdeki her şeyin hash’ini hesaplamak için yukarıda bahsettiğimiz FNV-1A artı XOR algoritmasını kullanır.

Engellenen bir işlem veya sürücü adı bulunursa, SUNBURST durur ve daha sonra tekrar dener. Arka kapı, yalnızca engelleme listesindeki hiçbir işlem veya sürücü olmadığında bu denetimi geçmeye devam eder.

Daha detaylı anlatılacak olursa, engellenen bir hizmet bulunduğu zaman SUNBURST, Windows kayıt defterindeki hizmet yapılandırmasını değiştirerek engellenen hizmeti devre dışı bırakmaya çalışır.

  • HKLM \ SYSTEM \ CurrentControlSet \ services \ <service_name> \ Start

Kayıt değerini SERVICE_DISABLED’e karşılık gelen 4 değerine ayarlar. Sonuç olarak, engellenenler listesindeki hizmet bir sonraki güç döngüsünde devre dışı bırakılır. Bu, güvenliği ihlal edilmiş bir ana bilgisayarda engellenen listede bulunan bir hizmetin varlığının, sistemi SUNBURST’e bağışık hale getirmediği anlamına gelir.

Kayıt defteri değişikliğinden sonra SUNBURST, devre dışı bıraktığı hizmeti yansıtmak için ReportWatcherPostpone yapılandırma değerini günceller. Ardından, arka kapı işlemi ve hizmet engelleme listesi denetimlerini daha sonra duraklatır ve yeniden dener.

Sonraki hizmet engelleme listesi kontrolleri, ReportWatcherPostpone yapılandırma anahtarında zaten mevcut olan hizmetleri atlar. SUNBURST, devre dışı bıraktığı hizmetleri artık engelleme listesinin üyeleri olarak görmeyecektir. Bu nedenle, bir olay yanıtı sırasında, adli inceleme ekipleri, SUNBURST’ ün hangi hizmetleri devre dışı bırakmaya çalıştığını çözümlemek için bu yapılandırma anahtarını kurtarmayı ve kodunu çözmeyi düşünmelidir.

İki hafta kadar sessiz kalacağını yukarıda bahsedilmişti. Bu süreden sonra, avsvmcloud[.]com’ un bir alt alanını çözmeye çalışacaktır. DNS yanıtı bir C2 (Komut ve Kontrol Sunucusu) etki alanına işaret eden bir CNAME kaydı döndürür. Kötü amaçlı etki alanlarına yönelik C2 trafiği, normal SolarWinds API iletişimlerini taklit edecek şekilde tasarlanmıştır. Çözüldüğünde, C2 iletişimlerini gerçekleştirmek için bir CNAME kaydı iade edilecektir. Bu, aşağıdaki dört tanesinden biri olabilir:

  • .appsync-api.eu -west-1 [.] avsvmcloud [.] com
  • .appsync-api.us -west-2 [.] avsvmcloud [.] com
  • .appsync-api.us -east -1 [.] avsvmcloud [.] com
  • .appsync-api.us -east -2 [.] avsvmcloud [.] com

İlk erişim sağlandıktan sonra, tehdit aktörü grubu çeşitli teknikler kullanarak, bir kurbanın ortamına erişim için yasal kimlik bilgilerine bağlı kalarak ve uzaktan erişim kullanarak yanal hareket gerçekleştirmeye çalışacaktır.

Bu tür olayların birinde, daha önce hiç görülmemiş, BEACON ve TEARDROP, kobalt saldırısı işaretini yerleştirme operasyonunun bir parçası olarak kullanılmıştır. Teardrop ve Beacon, bir hizmet olarak çalışan, bir iş parçacığı oluşturan ve yük indirme ve yürütme için steganografiye dayanan “gracious_truth.jpg” dosyasından okuyan, bir bellek diyebiliriz.

Yük bir kez yürütüldüğünde, var olup olmadığını kontrol edecek HKU\\SOFTWARE\\Microsoft\\CTF, özel dönen bir XOR algoritması kullanarak gömülü bir yükün kodunu çözecek ve özel bir PE benzeri dosya formatı kullanarak gömülü bir yükü belleğe manuel olarak yükleyecektir.

Kötü amaçlı yazılım parçası, bir hatanın işlenmesi durumunda 1-3 dakika, 30-120 dakika ve 420-540 dakikaya kadar rastgele aralıklarla iletişim için etki alanları oluşturmaya çalışır (DGA).

Kötü amaçlı yazılım oluşturulduktan sonra iletişim için güncellenmiş bir A kaydı etki alanı için sabit kodlanmış IP’lerle karşılaştırır.

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 224.0.0.0/3
  • fc 00 :: – fe00 ::
  • fec 0 :: – ffc0 ::
  • ff 00 :: – ff00 ::
  • 20.140.0.0/15
  • 96.31.172.0/24
  • 131.228.12.0/22
  • 144.86.226.0/24

CNAME DNS yanıtı aldıktan sonra, iletişim kurmak için yeni bir ana bilgisayarla SUNBURST, HttpHelper.Initialize yöntemini yürütmek için yeni bir iş parçacığı başlatır . Bu yöntem, C2 iletişiminden ve dağıtımından sorumludur. HTTP iş parçacığı, SetTime komutu tarafından kontrol edilen yapılandırılabilir bir süre kadar geciktirilerek başlar. HTTP iş parçacığı, belirtme çizgileri arasında en az bir dakika gecikir. Kötü amaçlı yazılım, HTTP GET veya POST isteklerini kullanır.

Kötü amaçlı yazılım, rastgele seçilen alt dizelerden HTTP GET veya POST istek URL’leri oluşturur. Bir GET isteği gönderirken kötü amaçlı yazılım, kodlanmış kullanıcı kimliğini içeren bir “If-None-Match” HTTP üst bilgisi ekler. Bu muhtemelen C2 sunucusunun, talebi hangi SUNBURST kurulumunun oluşturduğunu belirlemesine ve ayrıca C2 akışlarının tek bir sunucuda çoğullamasına olanak tanır.

Gözlemlenen trafikte C2 sunucusu, HTTP yanıt gövdeleri içindeki verileri gizlemek için steganografi kullanır ve .NET derlemeleriyle ilgili iyi karekterli XML olarak görünmeye çalışır. Komut verileri birçok GUID ve onaltılık dizeye yayılır. Çalışma moduna bağlı olarak, kötü amaçlı yazılım steganografiyi atlayabilir ve kodlanmış yanıtı bir HTTP yanıt gövdesinde gönderebilir. Komut verileri, GUID ve HEX dizeleri olarak gizlenmiş birden çok dizeye yayılır. Yanıttaki tüm eşleşen alt dizeler HEX olmayan karakterler için filtrelenir, bir araya getirilir ve HEX kodu çözülür. İlk DWORD değeri, mesajın gerçek boyutunu gösterir ve hemen ardından isteğe bağlı ek önemsiz baytlar ile mesaj gelir. Çıkarılan mesaj, mesajın ilk baytı kullanılarak tek baytlık XOR kodu çözülür ve bu daha sonra DEFLATE sıkıştırması kaldırılır. Komutlar daha sonra, aşağıda açıklanan komut değerine bağlı olarak bir JobExecutionEngine’e gönderilir. Desteklenen komutlar;

Mitre Att&Ck tarafından yayımlanan saldırganların TTP (Teknik ve Taktik)’ leri hakkında bilgi tablosu;

19 Aralık 2020’de Microsoft, SolarWinds’deki tedarik zinciri saldırılarına yönelik araştırmalarının, SUNBURST kötü amaçlı yazılımlarının Orion ikili dosyalarına yerleştirildiği saldırıdan farklı bir tedarik zinciri saldırısı teşebbüsüne dair kanıtlar bulduğunu açıkladı. İkinci saldırı SUPERNOVA olarak adlandırıldı. SUNBURST’ ten tek farkı ise SUPERNOVA’ nın dijital imzası yoktu.

SUPERNOVA kötü amaçlı yazılımının gizlice uygulandığını söyledi. SUPERNOVA, uzaktan erişim aracı olarak görev yapan bir web kabuğu uygulayarak Orion kaynak kodunda çok az sayıda değişiklik içerdiği anlaşıldı. Kabuk, SUPERNOVA uygulaması sırasında bellek içinde birleştirilerek, böylece izlerini en aza indirdi.

Saldırının Etkileri

Saldırganlar birçok kurumun ve kişilerin ağına sızdı. Rakamsal olarak 18.000’ den fazla kişi güncellemeyi kabul ederek zararlı yazılımı aktif etmiş oldu. Bu durumda birçok kişi bu saldırıyı yaşadı. Saldırıda ABD hükümetinin mail sunucuları da hedef alındı.

Şirketin web sitesinde gururla açıkladığı, ancak olayın fark edilmesinin sonra hemen sildiği kısmi müşteri listesinin bir kısmı;

  • ABD Savunma Bakanlığı, Dışişleri Bakanlığı, Adalet Bakanlığı, Silahlı Kuvvetleri, NSA ve Hazine ve Maliye Bakanlığı gibi devlet kurumları,
  • Microsoft,
  • FireEye,
  • Cisco,
  • Intel,
  • Nvidia,
  • Belkin,
  • Vmware,
  • US Fortune 500 listesinde yer alan şirketlerden 425 adedi,
  • Lockheed Martin ve General Dynamics gibi ABD savunma sanayisinin devleri,
  • ABD’nin en büyük 10 telekom şirketi,
  • ABD’nin en büyük 5 muhasebe şirketi,
  • New York Times, CBS, Time Warner ve The Economist gibi medya kuruluşları,
  • Finans kuruluşları, danışmanlık şirketleri, hastaneler ve eğitim kuruluşları vb.

Bu örnek verdiğimiz kurumların önemine ve aldıkları önlemlere göre saldırı boyutunun ne kadar ciddi ve güçlü olduğunu anlayabiliriz.

SolarWinds’in Orion ağ izleme platformuna yönelik manuel tedarik zinciri saldırısı, şüpheli görülen Rus saldırganların, ABD devlet kurumlarına, kritik altyapı kuruluşlarına ve özel sektör kuruluşlarına erişim elde etmesiyle dünya çapında büyük etkiler yarattı.

Mart ve Haziran 2020 arasında Orion’a kötü amaçlı kodun enjekte edilmesi, Rus istihbarat servisi veya APT29′ da olduğuna inanılan bilgisayar korsanlarının Microsoft ve FireEye ile ABD Savunma, Devlet, Hazine, İç Güvenlik ve Ticaret Bakanlığı’nı vb. önemli kurumlarını tehlikeye atmasına izin verdi.

Bu saldırıyı bu kadar etkili yapan, SolarWinds Orion ürününün popülerliği oldu. 2020 senesinin ilk 9 ayı için SolarWinds’in toplam gelirinin %45’i olan 343 Milyon $’ ı Onion ürününden sağlandı. Ürünün dünya çapında 300.000 müşterisi var; ancak SolarWinds’ in tahminine göre saldırıdan etkilenen müşterilerin sayısı sadece 18.000.

Microsoft tarafından açıklanan verilere göre etkilenen müşterilerin %44’ü bilişim sektöründe, %18’i ağırlıkla finans, milli güvenlik, sağlık ve telekomünikasyon alanlarında çalışan kamu kurumları, %18’i STK’lar, %9’u ağırlıkla savunma sanayi yüklenicileri ve geri kalan %11’lik dilim muhtelif kuruluşlardan oluşuyor. Etkilenen şirketlerin coğrafi dağılımına bakıldığında ise %80 ile büyük çoğunluğunun ABD’ de yer aldığını görüyoruz. ABD dışında etkilenen toplam 7 ülke var. Bunlar Kanada, Meksika, Belçika, İspanya, Birleşik Krallık, İsrail ve Birleşik Arap Emirlikleri.

Microsoft da bu saldırıdan etkilenen şirketlerin arasındadır. Microsoft müşteri sayısına ve kullanıcı profillerine bakılacak olursa saldırı yaşaması birçok kişiyi hatta ülkeleri etkilemiş olabilir. Bu saldırı Microsoft ürünleri kullanan birçok kişinin bilgilerine erişilmesine olanak sağlayabilir.

Saldırganlar, Microsoft ürünlerinde, hizmetlerinde ve yazılım dağıtım altyapısındaki açıklardan yararlandı. Microsoft bulut hizmetlerinin bir bayisinin güvenliği ihlal edilerek, saldırganların bayinin müşterileri tarafından kullanılan Microsoft bulut hizmetlerine erişmesine olanak tanıyan bir tedarik zinciri saldırısı oluşturuldu.

Bunun yanı sıra, Microsoft kimlik doğrulama protokolü NetLogon’daki bir güvenlik açığı olan “Zerologon”, saldırganların ihlal ettikleri her Microsoft ağındaki tüm geçerli kullanıcı adlarına ve parolalara erişmesine olanak sağladı. Bu sayede, e-posta hesaplarını tehlikeye attı. Microsoft’ un Outlook web uygulamasındaki zafiyet, saldırganların çok faktörlü kimlik doğrulamayı atlamasına izin vermiş oldu.

Microsoft’a yapılan saldırılarda, Microsoft ürünlerinin kaynak kodlarına erişildiği anlaşıldı. Çalınan bu kaynak kodunun ilerde Microsoft için çok ciddi büyük sorun olacağı apaçık ortadadır. Kaynak kodunun güvenliğine önem veren Microsoft bu sayede ABD hükümeti ve diğer ülkelerin ağlarına girmek için sıçrama tahtası olarak kullanıldı. Microsoft yetkili satıcılarının saldırıya uğradığını ve hedeflerin içindeki verimlilik programlarına erişimlerinin e-posta okuma girişimlerinden yararlandığını bildirdi. Microsoft, bazı satıcı erişiminin kötüye kullanıldığını kabul etti; ancak kaç bayi veya müşterinin ihlal edilmiş olabileceğine dair açıklamada bulunmadı.

ABD devlet kurumlarına yapılan saldırının ayrıntıları net değil; çünkü hala saldırının devam ediyor olmasından ve kesin bilgi vermemelerinden kaynaklanıyor. Bu zamana kadar olan olay değerlendirildiğinde, saldırganlar daha geniş ağa taşınmış olabilir ve verileri okuyup çalabilir; ancak değiştiremez mod da olabilecekleri görülmektedir. Bununla birlikte, saldırganların bulut özelliklerine nasıl erişmiş olabileceğine dair ortaya çıkan bazı detaylara istinaden, saldırganların daha geniş ağ üzerinde idari kontrole sahip olabilecekleri, yani hesaplar ve ağa yeni giriş yolları oluşturabilir, ayrıca verileri değiştirebilir, okuyabilir ve çalabilir mod da olabilecekleri şeklinde yorum da yapılmaktadır.

VMware, mevcut ağ saldırganlarının dönmesine ve kalıcılık kazanmasına izin veren güvenlik açıkları, 2020 yılında Rus devlet destekli saldırganlar tarafından kullanıldığından şüphelendi. 18 Aralık 2020 itibariyle, SUNBURST truva atının VMware hatalarından yararlanmak için uygun erişim sağlayacağı kesin olarak bilinmesine rağmen, saldırganların aslında bu iki istismarı zincirleme sistemde zincirleyip zincirlemediği henüz kesin olarak bilinmiyor.

Microsoft ve diğer etkilenen şirketler kullanıcılarını korkutmamak için saldırıdan çok büyük derecede etkilenmediklerini veya “ürünlerimize sızılmamış” gibi ya da “her şey kontrol altında” gibi imaj çizse de yapılan analiz raporlarına ve devam eden saldırılara göre durumun bu kadar basit olmadığı açıkça görünmektedir. Saldırının anatomik yapısına göre bu kadar uzun zamandır fark edilmemiş olması hatta bu saldırının başlangıcının tarihini 2019 yılından itibaren olduğu düşüncesi onaylanırsa yıkıcı etkisi daha da büyüktür.

Saldırının boyutları ortaya çıkar çıkmaz, ABD hükümet seviyesinde harekete geçti. Kısa bir süre sonra Ulusal Güvenlik Konseyi bir araya geldi. FBI tarafından hacklenen devlet kurumlarında araştırma başlatıldı ve basına soruşturmaya yakın kaynakların verdiği bilgiye dayanarak saldırının arkasında Rusya’nın olduğuna dair haberler sızdırıldı. Teknik olarak hangi delillere dayandırıldığı açıklanmayan bu suçlamalar yapılırken, konuyla ilgili rapor hazırlayan teknoloji firmaları da faillerin devlet destekli olduğu üzerinde durdular. Basına yansıyan bilgilerde Rusya’nın dış istihbaratından sorumlu SVR operasyonun arkasındaki kurum olarak işaret edildi. SVR, Sovyet döneminden sonra kapatılan KGB’nin yerini alan kurum olarak biliniyor. ABD Dışişleri Bakanı da saldırıdan dolayı Rusya’yı suçladı; fakat Rusya bu saldırıyı kabullenmedi.

Aleyna DÜZ