58 Nobel ödülü ve 29 Turing ödülü kazanan mezunlar yetiştirmiş, öğrencileri arasında Google kurucuları Sergey Brin ve Larry Page gibi teknoloji dahilerinin yanı sıra Condoleezza Rice ve Rishi Sunak gibi politikacılar da bulunan ABD’nin Stanford Üniversitesi, geçtiğimiz hafta Akira fidye yazılım grubu tarafından gerçekleştirilen bir saldırının ardından “bir siber güvenlik olayını araştırdığını” doğruladı. Akira, 27 Ekim’de Stanford’a saldırdığını ve ünlü eğitim kurumundan 430 GB değerinde veri çaldığını duyurmuştu.
Grup tarafından çalındığı iddia edilen veri hacmi dışında olay hakkında çok az şey biliniyor. Akira “özel bilgi ve gizli belgelere” erişimi olduğunu duyurmakla birlikte bu bilgilerin ne olduğu konusunda bir açıklama yapmıyor. Stanford Üniversitesi ise saldırının kampüs içi polis departmanı olan Kamu Güvenliği Departmanı’ndaki (SUDPS) bir sistemle sınırlı olduğunu öne sürüyor. Üniversiteden yapılan açıklamada şu ibareler yer alıyor:
“Bilgi sistemlerimizin güvenliği ve bütünlüğü en önemli önceliklerimizdir ve ağımızı korumak için sürekli çalışıyoruz. Stanford Üniversitesi Kamu Güvenliği Departmanı’nda (SUDPS) meydana gelen bir siber güvenlik olayını, etkilenmiş olabilecek unsurların kapsamını belirlemek üzere araştırmaya devam ediyoruz. Bugüne kadar yaptığımız araştırmalara dayanarak, olayın üniversitenin başka herhangi bir bölümünü etkilediğine ya da polisin acil durumlara müdahalesini etkilediğine dair bir gösterge bulunmamaktadır. Etkilenen SUDPS sistemi güvence altına alınmıştır. Gizlilik ve bilgi güvenliği ekiplerimiz, dışarıdan uzmanlarla koordineli bir şekilde bu konuyla yakından ilgilenmektedir. Soruşturma devam ediyor ve tamamlandığında daha fazla bilgi paylaşabileceğiz.”
Fidye yazılım grupları, 2021 yılında Accellion FTA’yı ele geçirerek gerçekleştirdikleri ilk saldırının ardından, Cl0p’in bu yıl Mart ayında ikinci kez Stanford’a saldırmasıyla birlikte, son yıllarda üniversiteye yönelik üç saldırı gerçekleştirdiklerini açıkladılar. Ayrıca geçtiğimiz günlerde ASVEL basketbol takımına yapılan siber saldırı, Boeing firmasına yapıldığı iddia edilen siber saldırı ve ABD Washington seçmen kütüğünün çalınması vakası göz önüne alınırsa, fidye yazılım çetelerinin faaliyetleri hızla genişlemeye devam ediyor gibi gözükmekte.
Akira ile Conti aynı fidye yazılım çetesi mi?
Akira fidye yazılım çetesi sadece Mart ayından bu yana aktif ancak güvenlik uzmanları “grubun başında son derece deneyimli ve yetenekli operatörler” olduğunu düşünüyor. Trend Micro ve Arctic Wolf’a göre Akira grubu ile Kosta Rika hükümetini felç eden bir saldırı da dahil olmak üzere bir dizi yüksek profilli saldırıdan sorumlu olan Conti grubunun arkasında aynı kişiler yer alıyor olabilir. Conti’nin Ryuk fidye yazılımı grubundan üyeleri devraldığı düşünülüyor; her ikisinin de Rusya ile bağlantıları olduğuna inanılıyor ve iki grup da yüksek profilli saldırılar gerçekleştiriyor.
Akira’nın kodunu analiz eden uzmanlar, 2017’de faaliyet gösteren aynı adlı gruptan tamamen farklı olduğunu ve dize gizleme ve dosya şifreleme özellikleriyle Conti ile güçlü bir benzerlik taşıdığını söyledi. ABD enerji kuruluşlarına proje yönetimi ve personel desteği sağlayan BHI Energy’nin yakın tarihli bir raporu, bir Akira fidye yazılımı saldırısının nasıl gerçekleştiğine dair önemli ipuçları veriyor.
Bu vakada Akira, BHI Energy’nin ağına ilk izinsiz girişi yapmak için üçüncü taraf bir yüklenicinin çalınan VPN kimlik bilgilerini kullanmış ve daha sonra aynı yöntemle dahili sızma ve izleme faaliyetleri gerçekleştirmiş. Ardından, Haziran 2023’te dokuz günlük bir süre zarfında, fidye yazılımı 690 GB ve 767.035 dosya olmak üzere büyük miktarda veri çaldı ve sistemlerin bir alt kümesindeki dosyaları şifreledi. Akira’nın fidye yazılımı yükünün ayrıca birim gölge kopyalarını kaldırmak için bir PowerShell komut dosyası çalıştırdığını ve şifrelenmiş dosyalara “.akira” uzantısını eklediği görülüyor
