Hedef; Ukrayna’da elektrik dağıtım sistemi oldu
23 Aralık 2015 tarihinde Ukrayna’nın Ivano-Frankivsk bölgesinde 700 bin kişi, enerji dağıtım şirketlerine yönelik siber saldırı sonucu saatlerce elektriksiz kaldı. ESET, bu saldırıda, daha önceki saldırılarda tespit edilen BlackEnergy truva atının kullanıldığını belirledi. Ancak analizlere göre BlackEnergy bu kez yalnız çalışmıyor, KillDisk truva atı ile işbirliği yapıyor.
Aralık ayında Ukrayna’nın elektrik dağıtım şirketleri, eş zamanlı olarak siber saldırılara maruz kaldılar. ESET uzmanlarına göre bu saldırılar, bilgisayarların yeniden başlatılmasını engelleyen kötü amaçlı KillDisk yazılımı kullanılarak gerçekleştirildi. Saldırganlar, KillDisk’i hedeflenen bilgisayarlara yükleyebilmek için ise BlackEnergy truva atından faydalandı.
BlackEnergy ve KillDisk işbirliği (!)
BlackEnergy truva atı, belirli görevler için yüklenebilir farklı bileşenleri bulunan modüler bir yazılım olarak öne çıkıyor. 2015 yılında Ukrayna’nın yüksek profilli firmalarına, devlet kurumlarına ve haber ajanslarına karşı yapılan siber saldırılarda kullanılmıştı. Elektrik dağıtım şirketlerine yönelik son saldırılarda ise daha önce BlackEnergy truva atı bulaşmış sistemler üzerinde KillDisk yazılımı, ölümcül etki görevini üstlendi.
BlackEnergy ve KillDisk arasındaki bağlantı ilk olarak Kasım 2015’te, Ukrayna’nın siber güvenlik ajansı CERT-UA tarafından raporlandı. Rapor, 2015 yılında yapılan Ukrayna’daki yerel seçimlerde medya şirketlerinin bu saldırılardan etkilendiğini ve saldırı sonucu çok sayıda video ve dokümanın tahrip olduğunu bildiriyor.
Farklı yazılım fonksiyonları, tehlikeyi artırıyor
KillDisk yazılımının türevleri, Ukrayna elektrik dağıtım şirketlerine karşı yapılan siber saldırıda kullanılırken, yazılımın farklı fonksiyonlar içerdiği de gözlemlendi. Sistemin yeniden başlatılmasına engel olmak için sistem dosyalarını silmesinin yanı sıra yok edici truva atı olarak çalışıyor ve özellikle endüstriyel sistemleri sabote etmek için belirli kodlar içeriyor. ESET Zararlı Yazılım Araştırmacısı Anton Cherepanov’un da dikkat çektiği gibi, bildiğimiz KillDisk fonksiyonlarına ek olarak, yazılım ayrıca endüstriyel kontrol sistemlerinde kullanılan süreçleri durdurmaya çalışıyor. Yani bu işlemler hedef sisteme ulaşırsa, truva atı sadece süreçleri durdurmak ile kalmıyor, sistemin restorasyonunu daha zor hale getirmek için sabit diskteki yürütülebilir dosya içerisine rastgele şekilde veri de yazıyor. Cherepanov, “Bu yazılımın ayrıca kritik sistemleri kapatabilme yeteneği de var“ uyarısını da paylaştı.
