"WanaCrypt0r 2.0 siber saldırı tehdidi devam ediyor"

Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanı Ömer Fatih Sayan, 74 ülkeyi etkileyen "WanaCrypt0r 2.0" siber saldırısıyla ilgili tehdidin devam ettiğini belirterek, "Uzmanlarımız, saldırının şeklinin ve yönteminin değişebileceğini bildiriyor" dedi. 

Sayan, BTK'da Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi (BİLGEM) Yazılım Teknolojileri Araştırma Enstitüsü (YTE) tarafından düzenlenen, "Yazılımda Yüksek Olgunluk" etkinliğine katıldı.

Sayan, dünyada 74 ülkeyi etkisi altına alan "WanaCrypt0r 2.0" siber saldırısıyla oluşan zararın ortaya çıkmaya başladığını belirterek, saldırının nasıl yayıldığını anlattı. WanaCrypt0r, WannaCry, Wcry olarak bilinen zararlı yazılım siber saldırısının 2 atak vektörü bulunduğunu kaydeden Sayan, "Bunlardan ilki phishing (sahte/oltalama e-postaları) ekinde yer alan dosyalar veya e-posta içeriğinde yer alan linkin kullanıcılar tarafından açılması sonrası söz konusu bilgisayara fidye yazılımının bulaşarak dosyaları şifrelemesi. İkincisi ise zararlı yazılımın bulaştığı makineden iç ağdaki tüm sistemlere ve dış ağda rastgele makinelere kendini kopyalamasıdır. Zararlı yazılım bu yayılımı yapabilmek için güncel yamaları (güncellemeleri) olmayan Windows işletim sistemlerinin SMB servisindeki zafiyetten faydalanarak, 'doublepulsar' olarak adlandırılan bir arka kapı açıyor. Böylece iç ve dış ağdaki diğer bilgisayarlara kendini kopyalıyor." diye konuştu.

Sayan, kullanıcıların bilinçsiz şekilde phishing e-postalarını açması ve sistem yöneticilerinin Windows sistemlerini güncel tutmamasının iki önemli hata olduğunu söyledi.

Siber saldırının dünya genelindeki etkilerine işaret eden Sayan, "Belki bizim gündelik hayatımız etkilenmediği için çok farkındalığımız yok ancak burada küresel bir siber saldırıdan ve küresel ölçekte zararlardan bahsediyoruz. Dünya genelindeki siber saldırıdan en çok etkilenen ülkeler İngiltere, İspanya, ABD, Rusya, Almanya ve Çin. Umuyoruz bu tablo daha fazla derinleşmez. Bizler ülkemiz ölçeğinde her türlü çalışmaya devam ediyoruz." ifadelerini kullandı.

"Çalışmalar Türkiye'deki zararın en aza indirilmesini sağladı"

Dünya çapında etkili olan siber saldırının Türkiye'ye etkisinin yok denecek kadar az olduğuna işaret eden Sayan, şöyle devam etti:

"Uluslararası operasyonları olan Renault firmasının Fransa merkezinin etkilenmesi nedeniyle Türkiye'de de üretim biriminin cumartesi günü söz konusu saldırıdan etkilendiği ancak normal seyre döndüğü raporlandı. BTK Ulusal Siber Olaylara Müdahale Merkezi (USOM) olarak WannaCry adlı siber saldırısı öncesinde mart ve nisan aylarında Windows sistemlerinde bulunan kritik SMB zafiyetinin oluşturduğu yaygın riski öngörerek detaylı çalışmalar yaptık. İşte bu çalışma, Türkiye'de yaşanabilecek zararların en aza indirilmesini sağladı. Sistemdeki açık ve zafiyete karşı önleyici çalışmalar kapsamında 21 Mart'ta yaptığımız duyurunun ardından, Türkiye genelinde 16 milyondan fazla makineyi taradık. Bu taramalarımızda açığı tespit edilen 28 bin 79 sistemle ilgili sistem yöneticilerini ve kullanıcılarını uyardık. Bunların içinde 'doublepulsar' arka kapı (backdoor) zafiyeti bulunması nedeniyle yabancı istihbarat servislerinin ifşa olan saldırı araçlarıyla ele geçirilebileceği 400 civarında sistemi tespit ettik."

"Saldırının şekli ve yöntemi değişebilir"

Sayan, BTK USOM olarak 25 Nisan'da 665 kurumda bulunan siber olaylara müdahale ekiplerini (SOME) Microsoft Windows'daki zafiyetle ilgili, "Sistemin ele geçirilmesine neden olan bu zafiyetlerin çalıştığı servisler ve/veya işletim sistemlerinin güvenlik yamaları yapılmalıdır. SMB servisi kullanılmıyorsa kapatılmalıdır. Atak alanının azaltılması için servise internetten erişim engellenmelidir. İnternet üzerinden dosya paylaşımı için farklı ve daha güvenli yöntemler tercih edilmelidir." şeklinde uyardıklarını ve zafiyetin giderilmesini istediklerini kaydetti. Sayan, Yapılan çalışmaların, Türkiye'nin saldırıların ilk dalgasından zararsız çıkmasını sağladığının altını çizen Sayan, uzmanların tehdidin devam ettiği yönündeki uyarısına dikkati çekerek, "Uzmanlarımız, saldırının şeklinin ve yönteminin değişebileceğini bildiriyor" dedi. 

Saldırıdan korunmak için yapılması gerekenleri de sıralayan Sayan, "Sistem yöneticilerinin Windows sistemleri güncellemelerini (MS17-010) ivedilikle yapması, Windows dosya paylaşım servisi olan SMB’nin kullanılmadığı durumlarda kapatılması, kullanıcıların güncel antivirüsler kullanması, merak uyandıran phishing e-postalarına karşı dikkatli olunması ve eklerinin kesinlikle açılmaması gerekiyor." uyarısında bulundu.

Sayan, TÜBİTAK BİLGEM YTE'nin yazılım konusundaki kabiliyetinin CMMI 5 sertifikasıyla belgelendiğine de değinerek, kurumu başarısından dolayı tebrik etti.