Geçmişte, Olimpiyatlara katılan bütün ülkeler oyunlar sırasında savaşları durdurur, siyasi anlaşmazlıklarını bir kenara bırakırdı. Bugünlerde, bunun tam tersinin yaşanması daha olası. PyeongChang Kış Olimpiyatları bir skandalla başladı: Kimliği belirsiz hackerlar tam açılış merasiminden önce sunuculara saldırdılar ve birçok izleyici, biletlerini yazdıramadıklarından dolayı bu merasime katılamadı.
Olimpiyat Katili olarak adlandırılan kötü amaçlı yazılım, oyunların yayınını bozup, Olimpiyatların resmi sitesini ve stadyumdaki kablosuz internet sistemini çökertti. Organizasyon Komitesi, ciddi sıkıntılar yaşanmayacağı sözünü verdi ama bütün bu şamata azımsanacak bir durum değil. Bu yüzden, tam olarak neler yaşandığını ve saldırının arkasında kimin olduğunu bulmak ilginç olabilir.
Olimpiyat Katili nasıl çalışıyor
Yayılma mekaniğini açısından baktığımızda, Olimpiyat Katili bir ağ solucanı. Uzmanlarımız, ilk olarak ele geçirilen ve solucanı yaymak için kullanılan üç başlama noktası keşfettiler: pyeongchang2018.com, kayak merkezlerinin ağ sunucuları ve Atos’un sunucuları, son olarak da bilişim hizmeti sağlayıcısı.
Solucan, bu platformlar aracılığıyla Windows ağ paylaşımlarını kullanarak ağ içinde otomatik olarak yayıldı. Yayıldıkça, solucandan etkinlenmiş olan bilgisayardaki parolaları çalıp, kendini bunların üzerine yazarak daha da hızlandı. Olimpiyat Katili’nin nihai amacı, soluncanın ulaşabildiği ağ sürücündeki dosyaları silmek ve etkilediği sistemleri çökertmekti.
Partinin tadını kim kaçırdı?
Haberciler ve blog yazarları, Olimpiyatların açılış merasimini kimin, niye sabote etmeye çalıştığına dair söylentiler yazdılar. Kuzey Kore, oyunlar başlamadan önce bile şüpheli konumundaydı: Kuzey Korelilerin Organizasyon Komitesi’nin bilgisayarlarını gözetlediği iddia ediliyordu.
Sonrasında da doğal olarak Ruslardan şüphe duyuldu: Sonuçta Rus takımından sadece belirli kişilerin, sert kısıtlamalar altında yarışmaya katılmasına izin verilmişti ve ulusal bayrakları yasaklıydı. Ancak araştırmacılar Olimpiyat Katili ve Çinli siber suçluların yaptığı başka bir kötü amaçlı yazılım arasında benzerlikler keşfettiklerinde, şüpheler Çin’e kaydı.
Kaspersky Lab görev başında
Toplumun geneli sadece tahmin yürütürken, siber güvenlik uzmanları kanıt peşinde koştular. Kaspersky Lab de kendi incelemesini başlattı.
Başlarda, herkes gibi bizim uzmanlarımız da Kuzey Koreli siber suçlulardan, daha spesifik olarak Lazarus Grubu‘ndan kuşkulanıyordu. Olimpiyat Katili’nin bir örneğini inceledikten sonra, araştırmacılarımız doğrudan Lazarus’a işaret eden bir grup dijital parmak izi buldular.
Ancak uzmanlarımız işin daha da derinine indikçe, birçok uyuşmazlık keşfetti. Bulunan bütün “örnekleri” tekrar gözden geçirdikten ve kod üzerine çalıştıktan sonra, kesin kanıt olarak görünen şeyin aslında çok detaylı bir taklit, yani bir sahte bayrak olduğunu fark ettiler.
Bunun dışında, uzmanlarımız Olimpiyat Katili’ni incelerken, tamamen farklı bir Rus hacker grubu olan Sofacy‘e (APT28 ya da Fancy Bear olarak da biliniyor) işaret eden kanıtlar buldular. Ancak bu kanıtın da sahte olduğu ihtimalini kafamızdan silmemeliyiz. Konu üst seviye siber casusluk olduğunda, hiçbir şeyden yüzde yüz emin olamayız.