ABD eyalet hükümeti web sitelerine yönelik saldırıların hemen ardından, Rus yanlısı tehdit grubu Killnet Pazartesi günü bir dizi dağıtılmış hizmet reddi (DDoS) saldırısıyla birden fazla ABD havalimanının web sitelerini bozdu.
Ayrıca, ABD hükümetinin Rusya ile savaşında Ukrayna’ya verdiği desteği protesto eden bir kampanyanın tırmanması gibi görünen, benzer şekilde hizalanmış grupları ve bireyleri diğer ABD altyapı hedeflerine DDoS saldırıları gerçekleştirmeye çağırdı.
Killnet’in DDoS saldırılarından etkilenen havaalanı web siteleri arasında Los Angeles Uluslararası Havaalanı (LAX), Chicago O’Hare, Hartsfield-Jackson Atlanta Uluslararası Havaalanı ve Indianapolis Uluslararası Havaalanı bulunuyor. DDoS saldırıları bazı siteleri saatlerce erişilemez hale getirse de, havalimanı operasyonları üzerinde herhangi bir etkisi olmadı.
Saldırıları izleyen Mandiant araştırmacıları, toplam 15 ABD havaalanı web sitesinin etkilendiğini gözlemlediklerini söyledi.
Çoğunlukla Kısa Kesintiler
Dark Reading’e yaptığı açıklamada, LAX’teki havaalanı yetkilileri saldırıyı doğruladı.
Bir LAX sözcüsü e-postayla gönderilen bir açıklamada, “Bu sabah erken saatlerde FlyLAX.com web sitesi kısmen kesintiye uğradı” dedi. LAX yetkilileri, hizmet kesintisinin yalnızca halka açık FlyLAX.com web sitesinin bölümleriyle sınırlı olduğunu açıkladı. “Hiçbir iç havalimanı sisteminden taviz verilmedi ve operasyonel bir aksama yaşanmadı” diyen açıklamada, havalimanının BT ekibinin hizmetleri yeniden başlattığı ve havalimanının FBI ve Ulaştırma Güvenliği İdaresi’ni (TSA) bilgilendirdiği de belirtildi.
Digital Shadows kıdemli siber tehdit istihbarat analisti Ivan Righi, Killnet’in destekçilerinden havalimanı saldırılarına katılmalarını istediğini ve Telegram kanalında hedeflenecek alan adlarının bir listesini yayınladığını söyledi. Toplamda, grup ABD’deki havaalanlarına ait 49 alandan bahsetti. Killnet’in hedef listesi, California, Delaware, Florida, Georgia, Illinois, Maryland, Massachusetts ve Michigan dahil olmak üzere iki düzine eyaletteki havaalanlarını içeriyor.
Righi, “Şu anda bu saldırıların ne kadar başarılı olduğu bilinmiyor, ancak Killnet saldırılarının web sitelerini kısa süreliğine kapattığı biliniyor” diyor. Saldırılar, grubun güvenli olmadığını düşündüğü ABD sivil ağ sektörünü hedef alma motivasyonunu belirttiği O’Hare’ye bir DDoS saldırısıyla başladı.
O’Hare, yorum için bir Karanlık Okuma talebine hemen yanıt vermedi. Ancak öğle saatlerinden itibaren, merkezi saate göre, havaalanının web sitesine erişim sağlandı.
Daha Geniş Saldırı Çağrıları
Flashpoint’te küresel istihbarat ekip lideri Vlad Cuiujuclu, O’Hare Uluslararası Havalimanı’na yapılan DDoS saldırısının, Killnet’in ABD’nin sivil altyapısına ait alanlara yönelik yeni DDoS saldırı turlarını duyurmasından kısa bir süre sonra geldiğini söyledi. Cuijuclu, destekçilerini saldırmaya çağırdığı hedefler arasında deniz terminalleri ve lojistik tesisler, hava durumu izleme merkezleri, sağlık sistemleri, toplu taşıma için biletleme sistemleri, borsalar ve çevrimiçi ticaret sistemleri olduğunu söylüyor.
Killnet’in diğer Rus yanlısı grupları ABD sivil altyapısına ait alanlara DDoS saldırıları başlatmaya çağıran yazısı, Anonymous | Cuijuclu, Rusya, Phoenix ve Biz Palyaçoyuz.
Killnet, son aylarda daha aktif Rus yanlısı siber tehdit grupları arasında yer aldı. Daha geçen hafta Mississippi, Kentucky ve Colorado’nun hükümet web sitelerine yapılan DDoS saldırılarının sorumluluğunu üstlendi. Temmuz ayında grup, ABD Kongresi’nin web sitesinde kamu erişimini kısaca etkileyen bir DDoS saldırısının sorumluluğunu üstlendi.
Ağustos ayında Killnet, Ukrayna ordusunun çatışmalarda kullandığı ABD yapımı roketatarları üreten şirket olan Lockheed Martin’e saldırmayı planladığını söyledi. Grup, Lockheed Martin’in kimlik yetkilendirme altyapısını tehlikeye attığını iddia etti, ancak kampanyayı izleyen Flashpoint, bunun olduğunu söyledi. doğrulanabilir herhangi bir kanıt bulamamak sözde saldırı. Flashpoint, “Bu mümkün, ancak Killnet, şu ana kadar bir videonun ve gerçekliği belirlenemeyen çalışan verilerini içeren bir elektronik tablonun ötesinde doğrulanabilir çok az kanıt gösterdi.” Dedi.
Özellikle Aktif Bir Tehdit Aktör
Neredeyse Rusya’nın Ukrayna’yı işgalinin başlangıcından bu yana, Killnet sürekli olarak NATO üye ülkelerindeki kuruluşlara ve Ukrayna’yı çatışmada desteklediğini düşündüğü kuruluşlara yönelik DDoS saldırılarının kanıtlarını yayınlıyor. Flashpoint daha önce Killnet’i saldırılar hakkında övünerek profilini şişirmeye çalışma eğiliminde olan, medyadan anlayan bir tehdit grubu olarak tanımlamıştı. “Kilnet’in tehditleri genellikle görkemli ve iddialı olsa da, son DDoS saldırılarının somut etkileri şimdiye kadar ihmal edilebilir gibi göründü.”
Killnet’in saldırıları – ve başkalarını gerçekleştirmeye çağırdığı saldırılar – güvenlik uzmanlarının son yıllarda jeopolitik çatışmaların siber alana yayılma eğilimi olduğunu söylediği şeylerin örnekleridir. Tehdit grubunun ABD ve diğer NATO ülkelerine karşı yürüttüğü harekâtı bariz bir şekilde tırmandırması, örneğin, bir patlamanın Rusya’yı Kırım Yarımadası’na bağlayan kritik bir köprünün bir bölümünü tahrip etmesinden birkaç gün sonra geldi.
Şimdiye kadar, Rus yanlısı grupların ABD örgütlerini etkileyen siber saldırılarının çoğu, Rus gruplarının Ukraynalı varlıklara yönelik saldırıları kadar yıkıcı olmadı. Rusya’nın Kırım’ı ilhakına kadar giden pek çok saldırı da dahil olmak üzere bu saldırılardan bazıları, Rus askeri hedeflerini desteklemek için sistemleri yok etmek ve gücü ve diğer kritik altyapıyı bozmak için tasarlandı.