2013, bir önceki yıl tavan yapan siber saldırı ve tehditleri ilk çeyrekte daha da artırdı. Hatta artık saldırıların siber korsanlar tarafından mı yoksa ordulara bağlı ekipler tarafından mı yapıldığı ayırt edilemiyor. Bildiğimiz tek şey, sürekli çok büyük siber saldırıların gerçekleştirildiği. Artık siber korsanlar tek başına hareket eden kişiler değil, konusunda uzman kişilerin bir araya gelerek oluşturduğu ekipler.
Kaspersky Lab, 2013 yılının ilk çeyreğindeki tehditlerin gelişimini analiz eden bir rapor yayınladı. Rapora göre yılın ilk üç ayı, özellikle siber casusluk ve siber silahların kullanımı açısından oldukça hareketli geçmiş durumda…
Yılın henüz başındayken Kaspersky Lab, global çapta siber casusluk operasyonlarını içeren beş yıl süreli bir çalışmanın sonuçlarını açıkladığı geniş çaplı bir rapor yayınlamıştı.
‘Kızıl Ekim’ olarak adlandırılan bu operasyonda, saldırıların çeşitli hükümet kuruluşlarını, diplomatik kurumları ve dünyanın birçok yerindeki şirketleri hedef aldığı açıklanmıştı. Kızıl Ekim, iş istasyonlarına ek olarak, aynı zamanda mobil cihazlardan ve ağ ekipmanlarından veri çalma ve USB sürücülerden dosya toplama, yerel Outlook arşivlerinden veya uzaktan yönetilen POP/IMAP sürücülerinden e-posta veritabanını çalma ve internet üzerindeki yerel FTP sunucularından dosya ayıklama yeteneklerine de sahipti.
Şubat ayında MiniDuke olarak adlandırılan zararlı yeni bir program ortaya çıktı. Adobe Reader programında daha önce bilinmeyen zayıf bir noktayı (CVE-2013-0640) kullanarak sistemleri etkisi altına aldı. Kaspersky Lab uzmanları, özellikle bu yeni zararlı programı içeren olayları Macar firma CrySys Lab ile birlikte inceleme altına aldı. MiniDuke’ün kurbanları arasında Ukrayna, Belçika, Portekiz, Romanya, Çek Cumhuriyeti ve İrlanda’daki devlet kurumları ile Macaristan’da bulunan bir araştırma firması ve ABD’de bulunan bir araştırma enstitüsü, iki bilimsel araştırma merkezi ve bir tıp merkezi bulunuyor. Bugüne kadar toplamda 23 ülkede, 59 kurban belirlendi.
Korsan mı ordu mu?
Şubat ayında Mandiant firması, APT1 isimli bir grup Çinli korsan tarafından yapılan saldırılar ile ilgili geniş çaplı bir rapor yayınladı. Mandiant raporuna göre APT1’in Çin ordusunun bir parçası olması muhtemel. Aslında Pekin’in devlet kurumları ve diğer ülkelerdeki kurumlara karşı yapılan siber saldırılarda suç ortağı olarak suçlanması bir ilk değil. Ve Çin hükümetinin Mandiant raporunda bulunan iddiaları sert bir şekilde reddetmesi de şaşırtıcı görünmüyor.
Yine şubat ayının sonlarına doğru Symantec, bilgisayar solucanı Stuxnet’in yeni tespit edilen “eski” bir sürümü olan Stuxnet 0.5 üzerine bir çalışma yayınladı. Bu sürümün 2007 ve 2009 yılları arasında etkin olan solucanın bilinen en eski değişikliği olduğu ortaya çıktı. Uzmanlar, bu bilindik solucanın daha eski sürümlerinin olduğunu (ve hala olabileceğini) tekrar tekrar belirttiler; ancak bu sürüm karşımıza çıkan ilk sağlam kanıtı oluşturuyor.
Sosyal ağlar güvenli değil!
Kaspersky Lab Zararlı Yazılım Uzman Analisti Dennis Maslennikov, “Yılın ilk üç ayı, özellikle siber casusluk ve siber silahlar açısından oldukça hareketli geçti. Anti-virüs sektöründe aylar boyu süren aralıksız inceleme gerektiren olaylarla aslında nadir olarak karşılaştığımızı söyleyebilirim. Örneğin Stuxnet’in tespiti gibi özellikle yaratıldıklarından üç yıl sonra bile karşımıza çıkan olaylar çok daha nadir” açıklamasını yaptı. Maslennikov sözlerini şöyle sürdürdü: “Stuxnet 0.5 sürümü üzerinde yapılan çalışma, bize zararlı bu programın geneli hakkında çok daha fazla bilgi sağladı. Gelecek günlerde daha da fazla bilgiye ulaşacak olmamız muhtemel. Stuxnet’ten sonra ortaya çıkan diğer siber silahlar ve siber casuslukta kullanılan kötü yazılımlar hakkında da aynı şey söylenebilir; hala bilmediğimiz çok şey var.”
Maslennikov, yılın geri kalanıyla ilgili tahminlerde de bulundu. “2011 yılında çok sayıda firmanın sistemlerine yapılan izinsiz girişlere ve kritik kullanıcı verilerinin bazılarının ele geçirildiğine şahit olduk. Bu saldırıların sonuç vermediği düşünülüyor olabilir ancak durum maalesef öyle değil!” diyen Maslennikov, siber suçluların her zamanki gibi büyük firmalar ve bu firmalar için gizli olarak sınıflandırılmış verileri ve kullanıcı bilgilerini ele geçirmek konusunda hala çok istekli olduklarını belirtti. Ayrıca, 2013’ün ilk çeyreğinde Apple, Facebook, Twitter ve Evernote da diğer birçoklarıyla birlikte kurbanlar arasında bulundu.
Mobil saldırılar çığ gibi büyüyor
2013’ün birinci çeyreğinde mobil tehdit cephesinde de birçok olay yaşandı. Ocak ayı mobil virüs yazarları için sakin geçmiş olabilir; ancak Kaspersky Lab 20 bin üzerinde yeni mobil zararlı yazılım değişiklikleri tespit etti. Bu rakamın 2012 yılında ortaya çıkan zararlı yazılım örneklerinin neredeyse yarısına eşit olduğunu ekleyelim.
Tehdit coğrafyasında da ufak tefek değişiklikler meydana geldi. Zararlı yazılım barındırma açısından Rusya (%19, -6 yüzde puan) ve ABD (%25, +3 yüzde puan) yine yer değiştirdi ve böylece ABD tekrar birinci sıradaki yerini almış oldu. Diğer ülkelerin yüzdeleri, 2012’nin son çeyreğine göre pek bir değişiklik göstermedi.
En yaygın zayıf noktaların sıralamasında da önemli bir değişime rastlanmadı. Bilgisayarların %45,26’sında tespit edilen Java zayıflıkları hala birinci sırada. Kaspersky Lab uzmanları, her korunmasız makinede ortalama sekiz farklı güvenlik ihlali olduğunu ortaya koydu.