Johnson Controls ve Siber Saldırı: Genel Bakış
Johnson Controls, endüstriyel kontrol sistemleri, güvenlik ekipmanları, HVAC sistemleri ve yangın güvenlik ekipmanları geliştiren ve üreten büyük bir çok uluslu şirkettir. Şirket, dünya genelinde 150 ülkede 100.000’den fazla çalışanı ile faaliyet göstermektedir. 2024 yılı itibarıyla yıllık satışlarının 27.4 milyar dolar olduğunu raporlayan Johnson Controls, siber güvenlik alanında karşılaştığı zorluklarla da dikkat çekmektedir.
Eylül 2023’te meydana gelen büyük bir fidye yazılımı saldırısı, şirketin operasyonlarını dünya genelinde olumsuz etkilemiştir. BleepingComputer tarafından rapor edilen bu saldırının ardından, Johnson Controls, kişisel bilgileri sızdırılan bireylere bildirimde bulunmak zorunda kalmıştır.
Saldırının Tarihçesi
Johnson Controls’ı etkileyen büyük siber saldırıya dair ilk izler, Şubat 2023’te şirketin Asya ofislerinde yaşanan bir veri ihlali ile başlamıştır. Bu ihlalin ardından, saldırganlar şirketin ağında yan hareketler yaparak güvenlik boşluklarını değerlendirmiştir. Şirketin resmi bildirimine göre, 1 Şubat 2023 ile 30 Eylül 2023 tarihleri arasında yetkisiz bir aktör, Johnson Controls sistemlerine erişim sağlamıştır.
Şirket, siber saldırının ardından, yetkisiz erişimi engellemiş ve yaşanan durumu çözmek için üçüncü taraf siber güvenlik uzmanlarını görevlendirmiştir. Ayrıca, olayı yetkililere ve kamuoyuna bildirmiştir.
Saldırının Etkileri
Siber saldırı sonucunda Johnson Controls, BT altyapısının büyük bölümlerini kapatmak zorunda kalmıştır. Bu durum, şirketin global operasyonları ve müşteri odaklı sistemleri üzerinde ciddi bir etkide bulunmuştur. Ocak 2024 tarihinde yapılan bir SEC raporuna göre, saldırı sırasında fidye yazılımı çetesi tarafından sistemlerden belgelerin çalındığı doğrulanmıştır. Ancak, şirket bu saldırıyı belirli bir fidye yazılımı grubuna atfetmemiştir.
Araştırmalara göre, bu siber saldırı Dark Angels isimli fidye yazılımı grubuyla bağlantılıdır. Bu grubun, saldırı sırasında kullanılan bir VMware ESXi şifreleyicisinden elde edilen bir örnekle ilişkilendirildiği belirtilmektedir.
Fidye İsteği ve Maddi Zarar
Saldırganlar, Johnson Controls’tan 51 milyon dolar fidye talep etmiş ve veri şifreleyici çözümlerini sağlamayı önermiştir. Şirketin altyapısında kullanılan VMware ESXi sanal makineleri, saldırı sırasında şifrelenmiş ve bunun sonucunda 27 TB’dan fazla kurumsal veri çalındığı iddia edilmiştir. Olayın ardından, Johnson Controls, olay yanıtı ve düzeltme ile ilgili maliyetlerin 27 milyon dolara ulaştığını belirtmiş, ancak bu miktarın ilerleyen süreçte artmasının beklendiğini ifade etmiştir.
Dark Angels Grubuna Genel Bakış
Dark Angels, Mayıs 2022’de faaliyete geçen bir fidye yazılımı operasyonudur. Bu grup, dünya genelinde çift zorbalık saldırıları gerçekleştirmekte olup, bu tür saldırılarda hassas verileri çalarak mağdurları tehdit etmekte ve bu verileri çevrimiçi olarak yayınlama tehdidinde bulunmaktadır. Saldırılar sırasında, Windows domain denetleyicisine erişim sağladıktan sonra tüm cihazları şifreleyerek, geniş çaplı bir veri kaybına neden olmaktadır.
Saldırılarda kullanılan Windows ve VMware ESXi şifreleyicileri ise, sızdırılmış Babuk fidye yazılımı kaynak koduna dayanmaktadır. Ancak, siber güvenlik uzmanı MalwareHunterTeam, Johnson Controls’a yönelik saldırıda kullanılan Linux şifreleyici ile 2021 yılından bu yana Ragnar Locker fidye yazılımında kullanılan şifreleyicilerin aynı olduğunu belirtmiştir.
Sonuç
Johnson Controls’ı etkileyen bu siber saldırı, büyük ölçekli şirketlerin karşılaştığı ciddi güvenlik tehditlerine dikkat çekmektedir. Verilerin korunması için şirketlerin proaktif önlemler alması ve siber güvenlik konusunda daha fazla yatırım yapmaları gerekmektedir. Gelecekte benzer olayların yaşanmaması adına, hem teknolojik hem de insani boyutta çözüm arayışları kaçınılmazdır.
