Siber Saldırıların Evrimi (1986 – 2017)

Günümüzde yaygınlaşan siber saldırılar yıllardır devam etmektedir. Bu yazıda, siber saldırıların belirli periyotlarda öne çıkan (ilgili zaman dilimi içerisinde yaygın olan veya çok ses getiren) örneklemleri ve saldırılarda rol alanların amaç/yetkinlik durumları incelenmiştir.

1970’lerden günümüze doğru, hızlı bir gelişme göstererek gelen siber saldırılar/ataklar temel ifade ile; bir sistemin güvenlik politikasını ihlal etmeye yönelik kasıtlı bir girişimden (özellikle bir yöntem veya teknik kullanılması ile) kaynaklanan sistem güvenliğine yönelik bir saldırı olarak tanımlanmaktadır. Detaylandırmak gerekirse; bilgi sistemi kaynaklarını veya bilginin kendisini toplamaya, bozmaya, işlevselliğini aksatmaya veya yok etmeye çalışan her türlü kötü amaçlı etkinlik şeklinde belirtilebilir.

Günümüzde kapsamına ordularında dahil olduğu özel ve kamu sektörlerinden oluşan modern toplumun, iletişim ağlarına olan bağımlılığı artmaktadır. Bu duruma, bilgi teknolojilerinde yaşanan yeniliklerin/gelişmelerin de eklenmesi sonucu, siber saldırılar çeşitlenerek artmıştır. Çoğunluk algısında siber saldırı, siber güvenlik vb. tanımlar yeni bir vektör olarak görülse de tarihine bakıldığında bilgisayarların yaygın kullanımı olmadığı zamanlarda da çeşitli siber vakalar görülmüştür. Başlangıçta geleneksel yöntemli saldırılar ve vur-kaç taktiği izleniyor iken; bu saldırılar günümüzde gittikçe yüksek motivasyonlu,hedefli, daha hasar verici (zararlı) ve karmaşık yapıya bürünmektedir. Siber saldırıların, bugün kapsam içerisine yapay zeka, nesnelerin interneti ve diğer pek çok teknolojik gelişmelerin de eklemesi ile etkisini artırarak devam etmesi beklenmektedir.

Siber saldırılarda rol sahipleri, sahip oldukları amaç ve yetkinlik bakımından çeşitli sınıflara ayrılmaktadırlar. Bu sınıflardan en önemli olanlar

• Siber saldırlarda kullanılmak üzere özel geliştirilen araçlar olmadan belirli saldırıları gerçekleştirme becerisine sahip olmayanlar (Script kiddies),
• Sistemleri tarayarak zafiyet arama, kurbanlara e-posta aracılığı ile kötü amaçlı bağlantı/yazılım gönderimi gibi yöntemler ile açıklıkları sömürerek iç yapıya ulaşmayı amaçlayanlar (Güvenlik açıklarını arayan saldırganlar)
• Yüksek motivasyona sahip olup devlet destekli gruplardır. Çok farklı saldırı yöntemleri ile bir ağa agresif ve başarılı bir şekilde nüfuz etmek ve daha sonra varlığını gizleyip hedeflenen yapıda geniş bir yayılım sergileyerek kalıcı olmayı amaçlayanlar (APT grupları)

…şeklinde belirtilebilir.

 

1986 – 1997 Yılları Arasında Öne Çıkan Saldırı Türleri

• 1986 da Pakistanlı iki kardeş tarafından yazılan ilk PC virüsü olarak adlandırılan Brain virüsüdür. Disket ile iletilen bu virüsün, disket içerisindeki yazılımın olası korsan kullanıma karşı koruma amacı ile yapıldığı belirtilmiştir. Yazılım başlatıldığı zaman, virus ekranda iki kardeşin iletişim bilgilerinin görüntülenmesini sağlamıştır.
• İlk PC virüsünden 15 yıl önce, 1971’de BBN Technologies’den Bob Thomas, çoğunluğun ilk bilgisayar solucanı olarak kabul ettiği Creeper’ı yazmıştır. İnternetin öncüsü olan ARPANET’e yayılan solucan, bulaştığı makinede “I’M THE CREEPER : CATCH ME IF YOU CAN.” mesajını ekranda göstermiştir. Klasik algıdaki bilgisayar solucanlarının aksine Creeper, sistemde kendini çoğaltmayıp bir sistemden diğerine atlamıştır. Creeper, dünyanın ilk kötü amaçlı yazılımdan koruma uygulamalarından biri olan Reaper’ın geliştirilmesi noktasında yönlendirici olmuştur.
• 1981’de 15 yaşındaki Rich Skrenta tarafından yapılan bir şaka ilk virüs salgınına yol açmıştır. Programı Elk Cloner, bir oyun diskinde bulunan bir önyükleme sektörü virüsü olup Apple II işletim sistemlerini hedef almıştır. Bir oyuncu oyunu oynamaya çalıştığında, Elk Cloner’ın kısa bir şiir göstereceği 50’nci açılışa kadar makineyi tekrar başlatmıştır. Skrenta sadece arkadaşlarını hedeflemesine rağmen virüs kendi sosyal ağının ötesine yayılmıştır.
• İlk fidye yazılımı virüsü 1989 yılında Harvardlı bir biyolog tarafından oluşturulmuştur. PC Cyborg olarak da bilinen bu yazılım, AIDS Truva Atı olarak adlandırılmıştır. Dünya Sağlık Örgütü’nün uluslararası AIDS konferansına katılanlara “AIDS Bilgisi – Tanıtım Disketleri” etiketli 20.000 virüslü disket gönderilmiştir. Truva atı, basit simetrik kriptografi kullanılmış ve dosya adlarının şifresini çözmek için yakın zamanda araçlar geliştirilmiştir.
• 1988’de Cornell Üniversitesi lisansüstü öğrencisi Robert Tappan Morris tarafından yazılan Morris solucanı, internette çılgınca yayılan en eski kötü amaçlı yazılım biçimlerinden birisidir. Morris’e göre Internet’in boyutunu belirlemek için tasarlanan solucan, birkaç saat içinde 6.000 bilgisayara bulaşmıştır. Morris solucanı, bulaşmış olduğu makineleri kullanılamaz hale getirerek onarılması için İnternet bağlantıları kesilmiştir. 10 milyon dolara kadar zarar veren Morris, Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası kapsamında belirtilen ilk kişi olup, üç yıl göz hapsi, 400 saat kamu hizmeti ve 10.500 dolar para cezasına çarptırılmıştır.
• 1990’larda, çevrimiçi kanallardan geçen ve dünya genelindeki kullanıcılara virüs bulaşma sayısında bir patlama görülmüştür. Bukalemun olarak bilinen ilk polimorfik virüs de dahil olmak üzere yeni siber tehditler ortaya çıkmıştır. Buna karşılık, Symantec gibi şirketler, tüketicilere sunulan ilk anti-virüs yazılımlarından bazılarını geliştirmiştir. İlk siber güvenlik oltalamaları, halkın bilgisayar virüslerinin potansiyel tehdidi hakkındaki farkındalığının gelişmesini sağlamıştır. Örneğin “Good Times” virüsü, e-posta konu başlığında “Good Times” yazan bir e-postada bulunan kötü amaçlı bir yazılım indirildikten sonra, kullanıcının tüm sabit diskini silmiştir.
• 1995 yılında, bir bilgisayarın çalışmasını bozmayıp, bunun yerine kullanıcının etkinliğini gizlice gözetleyen yazılımlar ortaya çıkmıştır. Bu yazılımlara ilk olarak Usenet forumlarında casus yazılım(spyware) adı verilmiştir. Casus yazılımlar tasarımla gizlendiğinden, bu tür yazılımları ilk kimin oluşturup ve dağıttığı belirsiz kalmıştır. 1999’da Gibson Research’ten Steve Gibson, gizli bilgileri çalmaktan şüphelendiği reklam yazılımlarını tespit ettikten sonra OptOut adlı ilk casus yazılım önleme programını geliştirmiştir.

 

1998-2003 Yılları Arasında Öne Çıkan Saldırı Türleri

• Bir üniversite öğrencisi tarafından Antivirus topluluklarına meydan okumak için yazılan CIH virüsü, dünya çapında 60 milyondan fazla bilgisayara bulaşmıştır. Sistem sürücülerinin üzerine yazma ve BIOS’u yok etme şeklinde davranış sergileyip, milyar dolarlık hasara neden olmuştur. (1998)
• Şimdiye kadar kaydedilen ilk dağıtılmış hizmet reddi (DDoS) saldırıları, Meksika hükümetini ve Pentagon’u hedef almıştır. (1998) DDoS saldırıları İnternet’in başlangıcından bu yana gerçekleşmiş olsa da, ağırlıklı olarak 2000 yılında ön plana çıkmıştır. Aynı yılın Şubat ayında Yahoo, Amazon, eBay, CNN ve diğer büyük web siteleri, Kanadalı bir gencin düzenlediği koordineli bir DDoS saldırısı sonucu çökmüştür.
• Slammer Solucanı tarihteki en hızlı bilgisayar solucanı olarak bilinmektedir. Microsoft SQL Server’da bulunan arabellek taşması (buffer overflow) zafiyetini istismar ederek hizmet reddi (DDoS) etkisi göstermiş ve internet trafiğinin önemli ölçüde yavaşlamasına neden olmuştur. İnternette yayılmaya başladığında, her 8,5 saniyede bir iki katına çıkarak 10 dakika içinde zafiyetli ana bilgisayarların yüzde 90’ından fazlasını (75.000) etkilemiştir. Ağ kesintileri, havayolu uçuşlarının iptal edilmesi, seçimlere müdahale ve ATM arızaları gibi öngörülemeyen sonuçlara yol açmıştır. Solucanın kaynak kodunun birkaç farklı demonte versiyonu mevcuttur. (2003)

 

2004-2007 Yılları Arasında Öne Çıkan Saldırı Türleri

• Spam yoluyla yayılan Mydoom virüsü, kurban makineyi bir botnetin parçası olmasını sağlayarak, DDoS veya uzak bir proxy gibi farklı amaçlarda kullanmak üzere bu makinelerdeki işletim sistemlerine arka kapı eklemiştir. (2004)
• Kullanıcıların manipüle edilmesi (korku, tehdit vb.) ile kullanıcı makinelerine istenmeyen yazılımların indirilmesi şeklindeki saldırılar gerçekleşmiştir. (Kullanıcı ziyaret ettiği web sayfasının ekranına, ilgili bilgisayara zararlı yazılım bulaşmış olabileceği ve Antivirüs yazılımı yüklemesi gerektiği konusunda uyaran bir mesaj/pencere (popup) gösterilerek antivirüs dosyası adı altında kötü amaçlı yazılım/uygulama yüklemeye yönelik aldatmacalar artmıştır) (2005)

 

2008-2010 Yılları Arasında Öne Çıkan Saldırı Türleri

• Güvenilir dijital teknolojilerin kullanılması ile gerçekleştirilen saldırıların ilk örneği olan Zeus Turva Atı zararlısı, tarayıcıda tuş vuruşu ve form tutma yöntemlerini kullanarak kullanıcıların Bankacılık işlem bilgilerini çalmıştır. Ortaya çıktığı zaman aralarında BankOfAmerica.com, NASA.gov, ABC.com and Amazon.com’un da olduğu 74,000 web sayfasına bulaştığı tahmin edilmektedir. (2008)
• Microsoft Windows işletim sistemini hedefleyen Conficker bilgisayar solucanı, botnet oluşturma amacı ile bulaştığı sistemin yönetici bilgilerini ele geçirmek için yazılım hatalarını ve sözlük saldırılarını kullanmıştır. Bu saldırıda gelişmiş birçok kötü amaçlı yazılım tekniğinin birlikte kullanılması nedeniyle karşı koymakta zorlanılmıştır. Conficker, 200’den fazla ülkede hükümet, iş ve ev bilgisayarları da dahil olmak üzere milyonlarca bilgisayara bulaşmıştır. Ayrıca aynı yıl içerisinde MD5’in de sömürülebilir olduğu keşfedilmiştir (2008).
• Haziran 2010’da keşfedilen Stuxnet kötü amaçlı yazılımı, İran’ın nükleer sistemlerine (SCADA – Supervisory Control and Data Acquisition) saldırmak için oluşturulduğu belirtilmektedir. Stuxnet, o süreçte benzeri görülmemiş gelişmişlik seviyesinde olup sıfır gün istismarları, dijital sertifikaya sahip olması ve endüstriyel kontrol sistemlerini yönetmek için kullanılan Windows sistemlerine kendini yüklemek için bir iç ağdan yararlanması gibi farklı yönlemler kullanmış ve sistem içerisinde varlığı aylarca algılanmamıştır (2010).

 

2011-2013 Yılları Arasında Öne Çıkan Saldırı Türleri

• Teknolojide güven sağlayıcı rolünde olan Certificate Authority(CA)’ye yapılan Diginotar olarak adlandırılan saldırı ile siber saldırıların tarihinde önemli bir noktaya gelinmiştir. Bu saldırıda, operasyon sırasında şirketin sertifika veren sunucularından sekizinin tümünü kontrol altına almıştır. 300.000 Gmail hesabına saldırı düzenlendiği bilinmektedir. Her ne kadar doğrulanmamış olsa da, saldırganın tanımlanamayan bazı sahte sertifikalar verme olasılığı da belirtilmiştir. 2012 yılında çalıntı sertifikalarla imzalanan kötü amaçlı yazılım sayısı 10 kat artması bu saldırı ile ilişkilendirilmiştir. (2011)
• Bir bilgisayardan sahte bir sertifika kullanarak aynı ağdaki diğer makinelere yayılmak üzere tasarlanan Flame, saldırganların Microsoft’un güncelleme sunucusunun kontrolünü ele geçirmesini sağlamıştır. Virüs bulaşmış bilgisayarlar güncellendiğinde, Flame isteği durdurup güncelleştirmeyi karşıdan yüklemek yerine, taktik olarak geçerli ancak sahte bir Microsoft sertifikası ile imzalanmış kötü amaçlı dosya yüklemiştir. Microsoft, sistemde Flame zararlısına karşı açıklıklar için bir yama yayınlayarak kapatırken, Flame zararlısı saldırganlar için yeni bir saldırı yöntemi olmuştur. (2012)
• Google, Ocak 2013’te google.com için verilmiş bir yetkisiz ara sertifikayı keşfetmiş ve bunun TurkTrust CA’dan yetki almış olan geçici bir sertifikadan kaynaklandığı belirlenmiştir. Konunun bilgilendirilmesi sonrasında TurkTrust, yayınlanan iki ara sertifikasında (aslında herhangi bir alan adı için sertifika oluşturabilen bir ana anahtara denir) hata yapıldığını belirtmiştir. (2013)
• Saldırganlar tarafından, dünyanın en büyük şirketlerinin neredeyse üçte birine güvenlik sağlayıcı rolündeki Bit9 firmasının, kendi şifreleme anahtarları ele geçirilmiş ve zararlı yazılımlar bu anahtarlar ile imzalanmıştır. Hasarın kapsamı halen tam olarak belirlenememiştir. (2013)
• Literatürde, bilgisayar ağına yetkisiz erişim sağlayan ve uzun bir süre boyunca algılanmayan, genellikle bir ulus devlet veya devlet destekli bir grup olup, korumalı bilgisayar sistemleri için tehdit aktörü olarak belirtilen APT grupları etkilerini artırmıştır. APT gruplarına yönelik araştırma raporlarında Mandiant, APT’lerin yüzde 100’ünün anahtarlar ve ara sertifikalar içeren güvenlik politikalarını ihlal eden (comprimised) dijital sertifikalar kullandığını belirtmiştir. (2013)

 

2014-2017 Yılları Arasında Öne Çıkan Saldırı Türleri

• 2013-2014 de istihbarat servislerinin geniş internet ve telefon dinleme/gözetmelerinin yapıldığına dair detaylar medyaya sızmıştır. (Edward Snowden)
• Yahoo, 3 milyon kullanıcı hesaplarının sızdırıldığını bildirmiştir. Sızdırılan verilerde isimlerden parolalara ve güvenlik sorusu yanıtlarına kadar pek çok bilgi bulunmaktaydı. Yahoo bu ihlali 2016’ya kadar bildiremedi ve SEC tarafından ihlali zamanında ifşa etmemesinden dolayı 35 milyon dolar para cezasına çarptırılmıştır. Ayrıca 40’tan fazla tüketici sınıfı eylem davası ile karşı karşıya kalmış, Yahoo’nun satış fiyatını yaklaşık 350 milyon dolar düşmüştür. (2014)
• ABD Personel Yönetimi Ofisi, eski ve mevcut hükümet çalışanlarının 4,2 milyon personel dosyası sızdırılmıştır. Bu veri sızıntısı, 21.5 milyon güvenlik izni arka plan soruşturma dosyasını ve 5.6 milyon parmak izini kapsamaktaydı. ABD tarihindeki hükümet verilerinin en büyük ihlallerinden biri olan bu saldırı, STK’ların veri merkezli güvenliği benimsemeleri için harekete geçirici bir unsur olmuştur. (2015)
• Bir fidye yazılımı cyrptoworm olan Wannacry, Microsoft Windows işletim sistemini çalıştıran bilgisayarları hedef almış ve şifrelenen dosyalar için Bitcoin kripto para biriminde fidye ödenmesi istenmiştir. Dünyanın gördüğü ilk kapsamlı fidye solucanı olup, bu zararlı yazılımın sadece bir günde 230.000’den fazla bilgisayara, 150’den fazla ülkeye bulaştığı bildirilmiştir. (2017) Aynı yıl içerisinde NotPetya fidye yazılımı yine Microsoft işletim sistemlerini hedef almış, aralarında enerji firmaları, bankalar, devlet kurumlarının da olduğu 12,500 bilgisayara bulaştığı bildirilmiştir. NotPetya, bulaştığı sistemlerdeki verileri şifrelemesi ile birlikte bilgisayarların birlikte çalışmasını da engellemiştir. (2017)
• Kredi bürosu Equifax,2017 yılında güvenlik açığı bulunan bir yazılıma gerekli yamayı 48 saat içinde yapmadığı için 148 milyon müşterisinin bilgileri sızdırılmıştır. Saldırganlar yaklaşık 209.000 tüketici kredi kartına erişmiş ve tarihteki en büyük kredi kartı numaraları ve bilgilerini içeren veri ihlaline yol açmışlardır. (2017)

 

Kaynaklar:

https://www.onserve.ca/evolution-of-cyber-attacks
https://www.seeker.com/30-years-of-cyber-attacks-an-ominous-evolution-1770747423.html
https://techbeacon.com/security/ransomware-rise-evolution-cyberattack
https://www.varonis.com/blog/events-that-changed-cybersecurity/