Araştırmacılar, Polonya'nın elektrik şebekesinin, Rusya devlet destekli hackerlar tarafından gerçekleştirildiği düşünülen ve daha önce görülmemiş bir 'wiper' zararlı yazılımıyla hedef alındığını duyurdu. Saldırının amacı, elektrik dağıtımını sekteye uğratmaktı.
Son zamanlarda yaşanan siber saldırı, Aralık ayının son haftasında meydana geldi. Saldırının yenilenebilir enerji santralleri ile enerji dağıtım operatörleri arasındaki iletişimi kesmeyi hedeflediği ancak bilinmeyen nedenlerle başarısız olduğu belirtildi.
'Wiper' Zararlı Yazılımlar ve Amaçları
Güvenlik firması ESET'ten yapılan açıklamada, saldırıda kullanılan zararlı yazılımın bir 'wiper' türü olduğu belirtildi. Bu tür zararlı yazılımlar, sunucularda depolanan kodları ve verileri kalıcı olarak silerek operasyonları tamamen yok etmeyi hedefler. Şirket araştırmacıları, saldırıda kullanılan taktikler, teknikler ve prosedürlerin (TTP'ler) analizi sonucunda, bu 'wiper'ın muhtemelen Rusya'ya bağlı Sandworm adlı bir hacker grubunun eseri olduğunu tespit etti.
ESET araştırmacıları, "Zararlı yazılımın ve ilişkili TTP'lerin analizine dayanarak, daha önce analiz ettiğimiz çok sayıda Sandworm 'wiper' aktivitesiyle güçlü bir örtüşme nedeniyle saldırıyı Rusya bağlantılı Sandworm APT grubuna orta derecede bir güvenle atfediyoruz. Bu saldırının sonucunda herhangi bir başarılı kesintiden haberdar değiliz." ifadelerini kullandı.
Sandworm grubu, geçmişte Rus hükümeti adına ve hedef alınan ülkelere karşı yıkıcı saldırılar gerçekleştirmesiyle biliniyor. En dikkat çekici saldırılarından biri, 2015 yılının Aralık ayında Ukrayna'da gerçekleşti. Bu saldırı, ülkenin en soğuk aylarından birinde yaklaşık 230.000 kişiyi altı saat boyunca elektriksiz bırakmıştı. Hackerlar, enerji şirketlerinin kontrol sistemlerine sızmak ve elektrik dağıtımını durdurmak için BlackEnergy adlı genel amaçlı bir zararlı yazılım kullanmışlardı. Bu olay, zararlı yazılım destekli ilk elektrik kesintisi olarak kayıtlara geçmişti.
ESET, Polonya'yı hedef alan saldırının, o olayın 10. yıldönümünde gerçekleştiğini bildirdi. Güvenlik firması, saldırıyla ilgili ayrıntıları sınırlı tutarken, kullanılan zararlı yazılımın DynoWiper olarak adlandırıldığını ekledi.
Özel olarak tasarlanmış 'wiper'lar, uzun süredir Rus hackerların tercih ettiği araçlar arasında yer alıyor. 2022 yılında, devlet destekli saldırganlar Ukrayna'da 270.000 uydu modemini devre dışı bırakmak için AcidRain adlı bir 'wiper' zararlı yazılımı kullanmışlardı. Bu, Rusya'nın komşu ülkeye müdahalesinden bu yana kullandığı yedinci 'wiper' olmuştu. ESET geçen yıl, Sandworm grubunun Ukrayna'daki üniversitelere ve kritik altyapılara yönelik birden fazla 'wiper' saldırısı başlattığını duyurmuştu.
Rusya'nın 'wiper' kullanımının en bilinen örneği ise 2017'de NotPetya'nın piyasaya sürülmesiyle yaşandı. Yıkıcı solucan, yalnızca Ukrayna'yı hedef almayı amaçlasa da, hızla dünyaya yayılarak bilgisayar operasyonlarını bozdu ve büyük bir kaosa neden oldu. Bu olayın, hükümetlere ve işletmelere tahmini 10 milyar dolara mal olduğu ve tarihteki en pahalı bilgisayar saldırısı olduğu düşünülüyor.
DynoWiper'ın neden ve nasıl başarısız olduğuna dair herhangi bir gösterge bulunmuyor. Bunun olası nedenleri arasında, Rusya'nın Polonya'nın müttefiklerini kışkırtmadan bir mesaj gönderme amacıyla saldırıyı bu şekilde planlamış olabileceği veya siber savunma sistemlerinin zararlı yazılımın amaçlandığı gibi çalışmasını engellemiş olabileceği ihtimalleri yer alıyor.
