SolarWinds Saldırısı ile Sızılan Ağlara Erişim Devam mı Ediyor?

Geçtiğimiz yıl dünyada yankı uyandıran SolarWinds saldırısı ile ilişkili siber suçluların sızdığı ağlara hala erişimin olabileceğini gösteren bir iddia ortaya atıldı. Bu rapora göre Amerika Birleşik Devletleri'ndeki büyük kuruluşların ağlarına sızan bilgisayar korsanları erişim olanağını hala elinde tutuyor olabilir.

SolarWinds Saldırısı Devam Ediyor Olabilir

Geçtiğimiz aylarda dünyanın en çok tanınan siber güvenlik şirketlerinden Kaspersky'ın araştırmacıları, büyük şirketleri etkileyen siber saldırı hakkında yapmış olduğu açıklamada Microsoft ile FireEye başta olmak üzere bir dizi önemli kuruluşun etkilendiği saldırının arkasındaki kişilerle ilgili çok önemli ipuçları yakalamıştı.

Araştırmacılar, siber saldırıda kullanılan yöntemlerin en az 2015 senesinden beri siber ortamda dolaşan kötü amaçlı yazılımlarda kullanılan yöntemlerle ilginç bir benzerliğe sahip olduğunu ifade etmişti. Bu benzerlikler, saldırının arkasında Rusya'nın olup olmadığını tekrardan gündeme getirmişti.

Kaspersky araştırmacıları, söz konusu saldırıda kullanılan yöntem ile ilk kez 2017'de ortaya çıkan bir kötü amaçlı yazılımın parçası olan Sunburst ve Kazuar'da kullanılan yöntemin ilginç bir benzerlik gösterdiğini bildirmişti. Kazuar, dünyanın en büyük hacker gruplarından bir tanesi olan Turla'nın bilinen araçları ile kullanılmıştı ve incelemeler sonrasında hackerların Rusça konuştuğu öğrenilmişti.

Araştırmacıların yayımladığı raporda Sunburst ve Kazuar'ın kod ve işlevsellik bakımından en az üç benzerliğe sahip olduğunun tespit edildiğine yer verilmişti. Bu benzerliklerin başında kurbanları tanımlamak için kullanılan benzersiz bir algoritma yer almıştı. Saldırıda kullanılan FNV-1a algoritmasının da bu saldırıda kullanıldığı öğrenilmişti. Kötü amaçlı yazılımı gizlemek ya da kurbanların ağına sızdıktan sonra işlem başlatmak için kullanılan algoritmanın da aynı olduğu ortaya çıkmıştı.

Yeni ortaya atılan bir iddiaya göre SolarWinds saldırısı ile bağlantısı olan hackerların saldırının gerçekleştiği ilk sıralarda sızdığı ağlara hala erişimi olabilir. CNN'in kaynakları, saldırının arkasındaki kişilerin Amerika Birleşik Devletleri'nde saldırıdan etkilenen tüm kuruluşların yoğun güvenlik çabalarına rağmen ağlara olan erişimi hala kaybetmemiş olabileceğini ileri sürdü. Kaynaklardan biri, siber suçluların erişebildiği ağ sayısı hala oldukça yüksek olduğunu söyledi.