SUNBURST


SUNBURST Nedir?

SolarWinds Orion Güvenlik İhlali (SolarWinds Orion Security Breach) veya bilinen diğer adıyla

SUNBURST, başta Amerika Birleşik Devletleri’ne ait devlet kurumları ve çeşitli özel sektör firmaları olmak üzere, dünya çapında diğer ülkeleri de önemli bir şekilde etkilemiş bir siber saldırıdır. Saldırının ana hedefi Amerika Birleşik Devletleri olmakla birlikte, Ticaret Bakanlığı (Department of Commerce), İç Güvenlik Bakanlığı (Homeland Security), Dışişleri Bakanlığı (Department of State) ve Hazine Bakanlığı (Department of Treasury) gibi Amerika’ya ait önemli devlet kurumları saldırıdan büyük ölçüde etkilenen yerler olmuştur.

Tedarik-Zinciri Saldırısı (Supply-Chain Attack) ismi verilen saldırı, kurum ve şirket bilgisayarlarına uzaktan bağlantı ve erişim imkanı sunan SolarWinds Orion isimli uygulamanın içerisine yerleştirilen zararlı yazılımlar vasıtasıyla gerçekleştirilmiştir. Saldırının ana amacı, Amerika Birleşik Devletleri’nin devlet sırlarını elde etmektir.

Devlet kurumları haricinde hedef olan 200’e yakın özel sektör firması bulunan bu saldırıdan Rusya destekli Turla adındaki APT (Advanced Persistent Threat) grubu sorumlu tutulurken, aynı grup yakın geçmişte gerçekleştirilen FireEye Saldırısından da sorumlu tutulmaktadır.

Saldırıya dair zaman çizelgesi bir sonraki başlıkta aktarılmaktadır.


{{ brizy_dc_image_alt uid='wp-efaac0a747d69b7239c3b43e984b2993.jpg' }}

Hazırlık Evresi ve Zaman Çizelgesi

{{ brizy_dc_image_alt uid='wp-919bc8c903fdffb7b555c9c9b7ae76c2.png' }}


Eylül 12, 2019 – Kasım 4, 2019

Tehdit aktörleri uygulama içerisine bir test kodu enjekte ettiler ve bir deneme sürümü oluşturdular.

Aralık 2019

SolarWinds CEO’su Sudhakar Ramakrishna’nın yapmış olduğu açıklamalara göre; tehdit aktörleri 2019 yılının Aralık ayında SolarWinds’e ait Office 365 hesaplarından en az bir tanesine erişim sağlamayı başarmış, sonrasında ise bu hesap üzerinden diğer kullanıcı hesaplarına geçiş yapmıştır.

Şubat 20, 2020

Tehdit aktörleri, SolarWinds Orion ürününe zararlı yazılımı enjekte etmiş ve saldırıyı başlatmışlardır.

Mart 26, 2020

Ürün müşterilerine Hotfix 5 DLL güncellemesi gönderilmiştir.

Haziran 4, 2020

Tehdit aktörleri, sanal makinelere yerleştirdikleri zararlı yazılımları temizlemişlerdir.

Aralık 8, 2020

FireEye şirketi siber saldırıya uğramış ve sızma testi operasyonlarında kullanılan kırmızı takım sızma testi araçları çalınmıştır.

Aralık 11, 2020

FireEye şirketi, SolarWinds şirketinin bir siber saldırıya uğradığını tespit etmiştir.

Aralık 12, 2020

FireEye şirketi, SolarWinds şirketinin CEO’su ile bir toplantı düzenleyerek Orion ürününün içerisinde bir zafiyet bulunabileceğini aktarmıştır. Toplantı sonrasında aynı ürünü kullanan Amerikan devlet kurumlarının da zafiyetten etkilenmiş olabileceği ihtimaline karşın Beyaz Saray Ulusal Güvenlik Konseyi (NSC White House) ile acil durum toplantısı düzenlenmiştir.


Aralık 13, 2020

Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (Cybersecurity and Infrastructure Security Agency – CISA), federal kurumlara SolarWinds Orion ürününün kullanımının acilen bırakılması gerektiğine dair bildiride bulunmuştur.

SolarWinds şirketi, Orion ürünü üzerinden gerçekleştirilen saldırıya yönelik savunma önlemleri almaya başlamıştır.

FireEye şirketi, gerçekleştirilmiş olan bu Tedarik-Zinciri Saldırısın’dan sadece Amerika’nın değil, ürünü kullanan dünya çapındaki bütün ülkelerin bu saldırıdan etkilendiğini duyurmuştur.

Aralık 15, 2020

Saldırıda Amerikan devlet kurumlarının hedef alındığı görülmüştür.

SolarWinds, Orion ürünü için bir güncelleme yayınlamıştır.

Aralık 17, 2020

Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (Cybersecurity and Infrastructure Security Agency – CISA) tarafından ikinci bir bildiri yayınlanmıştır.

Bildiride; Bilgi Teknolojisi Servis Sağlayıcılarının, Amerikan Nükleer Ajansı’nın ve Microsoft’un hedef alındığı belirtilmiştir.

Aralık 19, 2020

Dönemin güncel Amerikan Başkanı Donald Trump tarafından saldırının Rusya destekli olduğu ifade edilmiştir.

Aralık 21, 2020

Amerikan Hazine Bakanlığı’nın gizliliği bulunmayan bazı sistemlerinin saldırıdan etkilendiği, ancak sistemler üzerinde herhangi bir zarar bulunmadığı bildirilmiştir.

Aralık 22, 2020

Amerikan Hazine Bakanlığı’nın e-posta yazışmaları sızdırılmıştır.

Aralık 24, 2020

SolarWinds, Orion ürünü için son bir güncelleme yayınlamıştır.

Aralık 31, 2020

Microsoft, Rus saldırganların şirketin bazı yazılımlarının kaynak kodlarına eriştiğini, ancak bu kodlar üzerinde herhangi bir değişiklik yapamadıklarını ve herhangi bir Microsoft ürününe yönelik bir saldırı gerçekleştiremediklerini bildirmiştir.


Teknik Analiz

Geçtiğimiz 2020 yılının Aralık ayında, Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (Cybersecurity and Infrastructure Security Agency – CISA) gelen istihbarat ile birlikte SolarWinds Orion platformuna ait belirli sürümlerde tedarik zincirine yönelik bazı güvenlik ihlallerinin gerçekleştirildiği bildirilmiştir.

Bu güvenlik ihlalini gerçekleştiren söz konusu tehdit aktörleri, SolarWinds Orion platformunun birçok sürümünde bulunan Orion Plugin modülüne yerleştirilen Arka Kapı (Backdoor) adı verilen zararlı yazılımın yardımıyla Amerika Birleşik Devletleri’ne ait devlet kurumlarına, kritik altyapı kuruluşlarına ve bazı özel sektör kuruluşlarına sızmayı başarmışlardır.

Tehdit aktörlerinin sahip olduğu tek atak vektörü bu olmamakla birlikte, saldırganların bazı durumlarda da hedefledikleri sisteme ilk erişimi parola tahmin etme, password spraying ve zayıf güvenlik yapılandırmasına sahip yönetici kullanıcı giriş bilgileriyle uzaktan erişime açık servisler ile sağladıkları da yapılan Olay Müdahalesi (Incident Response – IR) sırasında tespit edilmiştir.

Elde edilen ilk erişimin sonrasında saldırganlar sistemlere bulunan Çok Faktörlü Kimlik Doğrulaması (Multi-Factor Authentication – MFA) korumasını atlatarak Microsoft bulut tabanlı sistemler üzerine yanal hareket gerçekleştirmişlerdir.

Gerçekleştirilen yanal hareket sonrasında sahte token oluşturmak için Golden SAML (Security Assertion Markup Language) adı verilen tekniği kullarak Active Directory Federation Service (ADFS) içerisinde bulunan token imzalama görevi gören sertifikayı çalmışlardır. Bu teknikle saldırganlar Microsoft 365 sistemlerine herhangi bir parola veya MFA ihtiyacı kalmadan erişim sağlamışlardır.

Ek olarak, Azure AD (Active Directory) içerisinde kayıtlı güvenilir alan adları listesi üzerinde de değişiklik yapan saldırganlar, bu teknikle Azure AD üzerinde yanal hareket gerçekleştirmişlerdir.

Yukarıda belirtilen tekniklerle Bulut Sistemlere erişim sağlayan tehdit aktörleri, Uygulama Programlama Arayüzü (Application Programming Interface – API) üzerinde Kalıcılığı Sürdürme (Persistence) mekanizmaları kullanarak Veri Sızıntısı (Data Exfiltration) gerçekleştirmişlerdir.

Son olarak, tehdit aktörleri yukarıda belirtilen atak vektörlerini başarılı bir şekilde uygulayabilmek için Komuta Kontrol (Command & Control – C2) iletişimlerinde ileri seviye karmaşıklaştırma (obfuscation) yöntemleri, sistem üzerindeki aktivitelerin oluşturduğu trafiği sistemde halihazırda kayıtlı olan kullanıcılar üzerinden aktarma ve API örneğinde olduğu gibi tespit edilmesi oldukça zor olan sistemde kalıcılığı sürdürme teknikleri uygulamışlardır.

Ocak 8, 2021

SolarWinds, eski CISA ve Facebook Güvenlik Takım Liderleri olan Chris Krebs ve Alex Stamos’u güvenlik danışmanı olarak işe aldığını duyurmuştur.

Ocak 11, 2021

Kaspersky şirketi, SolarWinds Orion saldırısının Turla isimli APT grubunun izlerini taşıyan bir zararlı yazılım kullanılarak gerçekleştirdiğini belirtti.

Ocak 20, 2021

Microsoft, bu saldırıda yer alan atak vektörleri olan Solarigate, Sunburst, Teardrop ve Raindrop ile ilgili bilgilendirici bir blog yazısı paylaştı.

Ocak 26, 2021

Kaspersky şirketi, saldırıdan etkilenen özel sektör firmalarıyla ilgili bilgiler paylaştı.

Şubat 2, 2021

SolarWinds saldırısının içerisinde sadece Rusya’nın değil, aynı zamanda Çin’in de bu saldırıda yer almış olabileceği bildirildi.

Şubat 4, 2021

Saldırıda SolarWinds sistemlerine sağlanan ilk erişimin Microsoft ürünleri üzerinden olmadığı tespit edilmiştir.

Şubat 26, 2021

Microsoft ve FireEye tarafından yürüyülen SolarWinds soruşturmasının devamında, saldırının şuana kadar tespit edilen hedeflerle sınırlı kalmadığı, çok daha fazla hedefin bu saldırıdan etkilenmiş olduğu bildirilmiştir.

Mart 4, 2021

Microsoft ve FireEye, gerçekleştirilen saldırıda tespit edilenden daha fazla zararlı yazılımın kullanıldığını bildirmiştir.

Mart 17, 2021

CISA tarafından saldırıda kullanılan Taktikler, Teknikler ve Prosedürler (Tactics, Techniques & Procedures – TTPs) yayınlanmıştır.

Mart 29, 2021

Bazı Rus saldırganların, Trump yönetimindeki İç Güvenlik Bakanlığı Başkanı’na ve bakanlıkta çalışan siber güvenlik çalışanlarına ait e-posta adreslerine erişim sağladığından şüphelenildiği bildirilmiştir. SolarWinds Orion saldırısının bir parçası olarak nitelendirilen bu olayın sonucunda bu olaydan Rusya’nın sorumlu tutululduğu bildirilmiştir.


3.A Zararlı Yazılımlar

Saldırıda kullanılan zararlı yazılımlar genellikle Dynamic-link Library (.dll) dosyaları olup, detaylı bilgiler aşağıdaki tablolarda gösterilmektedir.

{{ brizy_dc_image_alt uid='wp-8e4c8f1f85024e2385defe0166239b60.png' }}

Tablo #1 (Zararlı Yazılım)

{{ brizy_dc_image_alt uid='wp-d0ded9fddc5fa7cf743510bb1dc34ae8.png' }}
{{ brizy_dc_image_alt uid='wp-154dcd0bfc1ed9340a8713225befb156.png' }}

Tablo #3 (Zararlı Yazılım)

{{ brizy_dc_image_alt uid='wp-0ac058379ce26ddc0f39137294409100.png' }}
{{ brizy_dc_image_alt uid='wp-15aa0c0963cf682a3b3a0cab9a7912c1.png' }}


Tablo #4 (Zararlı Yazılım)

3.2 İstismar Edilen Zafiyetler

Saldırıda zincirlenerek Uzaktan Komut Çalıştırma (Remote Code Execution – RCE) zafiyetine sebebiyet veren 3 farklı zafiyet tespit edilmiştir.

{{ brizy_dc_image_alt uid='wp-17a375df0e0d5309a6d1bc321e70f51e.png' }}

Tablo #1 (Birinci Zafiyet)

{{ brizy_dc_image_alt uid='wp-56fe67ac2a343ee006f6be3fcc98f92d.png' }}

Figür #1 (Birinci Zafiyet)

{{ brizy_dc_image_alt uid='wp-4d3fdc071ba2d960a5ec91c7cf9be06c.png' }}

Tablo #2 (İkinci Zafiyet)

{{ brizy_dc_image_alt uid='wp-680106e98a31576ace29e18e9f109dec.png' }}
{{ brizy_dc_image_alt uid='wp-899739ce723662a2f81dfdb100e89857.png' }}

Tablo #3 (Üçüncü Zafiyet)

3.3 Proof-of-Concept (PoC)

Bahsetmiş olduğumuz zafiyetlere ait Proof-of-Concept (PoC) incelemeleri aşağıda gösterilmektedir.

{{ brizy_dc_image_alt uid='wp-a623bd9b5907be67052901d6b378cdc8.png' }}

Figür #1 (Giriş Ekranı)

{{ brizy_dc_image_alt uid='wp-c00799f99103d677cc1ec43c11822561.png' }}

Figür #2 (Güncel dosya dizini)

Sömürülecek zafiyetteki temel amaç, Figür #2 de gösterilmiş olan güncel dosya dizininde uzaktan bağlantı sağlayarak bir dosya oluşturup sisteme yetkisiz erişim sağlamaktır.

{{ brizy_dc_image_alt uid='wp-9cb7b4f8ffba39a36c27475941f5cefd.png' }}

4. Etkilenen Kurumlar

17 Şubat 2021 tarihinde Beyaz Saray’da, Siber ve Gelişen Teknolojiden sorumlu Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger tarafından yapılan basın açıklamasında;

Hem federal hem de özel sektörde kullanılan ağ yönetimi yazılımı SolarWinds’in, Rus Dış İstihbarat Servisi (SVR) ile yakın ilişkili olan Gelişmiş Kalıcı Tehdit (Advanced Persistent Threat) APT29 (Cozy Bear) tarafından yapıldığından şüphelendiklerini, son duruma göre 9 fedaral kurum ve yaklaşık 100 özel sektör firması ile birlikte 18.000 müşterinin etkilendiğini belirtti.

Tehdit aktörlerinin kurbanları arasında Cisco, SAP, Intel, Cox Communications, Deloitte, Nvidia, Fujitsu, Belkin, Amerisafe, Lukoil, Rakuten, Check Point, Optimizely, Digital Reach ve Digital Sense ve Microsoft gibi önemli isimler bulunmaktadır.

{{ brizy_dc_image_alt uid='wp-330d1604d21122eb136c10e42cfb6b5d.png' }}

5. Uluslararası Denklem

SolarWinds operasyonu ile ilgili temel soru, Amerika Birleşik Devletleri’nin egemenliğinin ihlal edip edilmediğidir. Öncelikle, halen siber operasyonlar için geçerli bir egemenlik kuralı olup olmadığı konusunda devam eden bir tartışma bulunmaktadır. Birleşik Krallık böyle bir kuralın geçerli olmadığı görüşündedir, ancak bu konuda kendilerini ifade eden diğer tüm devletler tam tersi bir tutum sergilemektedir. Bolivya, Çin, Çek Cumhuriyeti, Finlandiya, Fransa, Almanya, Guatemala, Guyana, İran, Hollanda, Yeni Zelanda, Kore Cumhuriyeti ve İsviçre‘nin yanı sıra, Amerika Birleşik Devletleri bugüne kadar bu konuda herhangi bir aksiyon almamıştır.

Bir hukuk meselesi olan egemenlik kuralının varlığını incelediğimiz takdirde, egemenlik iki şekilde ihlal edilebilir. İlk olarak bölgesel dokunulmazlığa dayalı bir ihlal meydana gelebilir. Bir egemenlik hakkını çiğnemek isteyenler, hedef haline gelmiş devletin topraklarına zarar vermek için o devlete siber uzayda hasar vermenin yettiği konusunda hemfikirdir. SUNBURST saldırısının bu tür sonuçlara neden olmadığı görülmektedir.

5. Uluslararası Denklem

SUNBURST saldırısının sonuçlarından da görülebileceği gibi; 1986’dan bu zamana kadar yapılmış devlet destekli saldırılar, uluslararası hukukun siber uzay üzerindeki davranışları için henüz geçerli olmadığının bir kanıtıdır. Her gün daha fazla teşvik edilen dijital egemenlik normlarına yönelik eğilim yakın gelecekte devlet aktörleri için empoze edilmesini sağlayacaktır. SUNBURST gibi operasyonlar siber uzay için geçerli uluslararası hukukun gelecekte kural temelli, özgürlüğe ve siber sınıra dayalı, kapsayıcı küresel internet normlarını formüle etmek için daha geniş çalışmaların yapılmasına yol açıyor. Son yıllarda yapılan çalışmaların süreci hızlandırmasında Snowden ve WikiLeaks davaları; Google, Amazon, Facebook ve Apple gibi firmaların yükseliyor olmasının payı çok yüksektir.

Çin ve Rusya’nın siber ittifakı, her iki ülkede çoğunlukla ekonomi ve güvenlik kaygıları ile ilgili olan ulusal çıkarlarını korumak için böyle bir fikri aktif olarak desteklediklerinden, dijital egemenliğin başlığına oturuyor. Çin ve Rusya ITU, ICANN, IANA gibi çok sayıda küresel internet yönetimine müdahale etmeme ilkesini desteklemekle beraber, kendi siber uzayları üzerinde daha fazla durmaktadırlar. Bu ikili ittifak, Mısır ve Suudi Arabistan tarafından da halihazırda desteklenmektedir. Avrupa Birliği’nin dijital egemenlik konusunda daha rahat olmasına karşın, yaşanan Snowden ve WikiLeaks davaları ile kamuoyunun dikkatini çekmekle başlayan süreç, şu an güvenlik ve veri koruma endişesi gibi konular Avrupa Birliği’nin dijital ekosistem gündeminin merkezi oldu.

5.A NATO

NATO yetkilisinin saldırı sonrasında verdiği demeçte, SolarWinds saldırısı hakkında aşağıdakiler belirtilmiştir:

“SolarWinds yazılımı, NATO’daki bazı kuruluşlar da dahil olmak üzere çok çeşitli hükümetler ve kuruluşlar tarafından kullanılmaktadır. Uzmanlarımız, ağlarımıza yönelik olası riskleri belirlemek ve azaltmak amacıyla şu anda durumu değerlendiriyorlar.” dedi.

NATO için siber güvenliğin önemi üzerinde duran yetkili;

“Siber güvenlik NATO için bir önceliktir ve ağlarımız 7/24 savunulmaktadır. NATO Müttefiklerine 24 saat yardımcı olmak için her zaman hazır, hızlı siber tepki ekiplerine sahiptir. NATO için siber savunma toplu savunmamızın temel bir parçasıdır.” sözleri ile verdiği demeci sonlandırdı.

5.B İngiltere

İsminin açıklanmaması koşuluyla konuşan bir İngiliz hükümet yetkilisi aşağıdakileri aktarmıştır:

İngiltere hükümeti, SolarWinds’in önemli bir müşterisi olduğunu, pazarlama materyalleri ve satın alma belgelerine göre, Orion ürününün İçişleri Bakanlığı ve bölgesel polis güçleri tarafından kullanıldığını belirtti.

“Hükümetin İngiliz ağlarına sızma derecesini değerlendirdiğini söyledi ve Temmuz 2020’de ABD ve Kanada’da geliştirilen COVID-19 aşı ve tedavilerle ilgili verileri çalmakla suçlanan, Rus hükümetine bağlı tehdit aktörü APT29 grubunun potansiyel bir şüpheli olduğunu” ekledi.

5.C Önlemler

Devlet Başkanı Joe Biden yaptığı açıklamada, Amerika Birleşik Devletleri’nin siber güvenlik alanındaki çalışmalarını iyileştirmek için, siber uzaydaki kabiliyetlerini, hazırlıklarını ve dayanıklılıklarını geliştirmek için acil bir girişim başlattıklarını belirterek, Rusya ve Çin’in kötü niyetli çabalarıyla ilgili endişe ettiklerine dikkat çekti.

tr_TRTurkish