M&S’nin Siber Saldırı Deneyimi
M&S, büyük bir perakende şirketi olarak, geçtiğimiz günlerde yaşadığı ciddi bir siber saldırı ile gündeme geldi. Bu saldırının başlangıcı, gelişmiş bir sosyal mühendislik tekniği ile oldu. Şirketin başkanı Archie Norman, Birleşik Krallık Parlamento’sundaki İş ve Ticaret Alt Komitesi toplantısında bu durumu açıkladı. Yapılan impersone saldırısı, M&S ağının savunmasını aşarak, bir ransomware saldırısına yol açtı. Saldırının cinayeti, şirketin 50,000 çalışanından birinin kimliğini kullanarak üçüncü bir kuruluşun üzerinden gerçekleşti.
Sosyal Mühendislik ve Gelişmiş Yöntemler
Norman, yapılan saldırının detaylarına girmese de, sosyal mühendislik olarak adlandırılan bu tür bir saldırının oldukça karmaşık olduğunu belirtti. Sosyal mühendislik, genelde saldırganların kurbanını manipüle ederek hassas bilgilere ulaşmaları için kullanılan bir tekniktir. Bu durumda, saldırganlar M&S çalışanı gibi davranarak bir üçüncü şahsı, çalışanlarının şifresini sıfırlamak için kandırdılar.
“Saldırının başlangıcı 17 Nisan’da gerçekleşti. Bunun çok karmaşık bir impersonasyon saldırısı olduğunu belirtmeliyim. Saldırganlar, gizlilik ve şirket bilgileri ile bu süreci yürüttüler.” diye ekledi Norman. Böylece, sistemin içine sızmak için gerekli olan ilk adımı attılar.
Tata Consultancy Services İlişkisi
M&S’nin teknoloji hizmetleri sağlayıcısı olan Tata Consultancy Services, olayın ardından durumu araştırmaya başladı. Tata, M&S için yardım masası desteği sağladığı için saldırıda dolaylı olarak yer almış olabileceği düşünülüyor. Saldırganların, Tata’nın yardım masası personelini manipüle ederek bir çalışanın şifresini sıfırlatıp M&S ağını ihlal ettikleri düşünülüyor.
DragonForce Ransomware Operasyonu
M&S’nin maruz kaldığı saldırının bir diğer önemli noktası, DragonForce adıyla bilinen ransom yazılımı grubunun varlığıdır. Norman, bu grubun muhtemel saldırgan olarak Asya merkezli olduğunu belirtti. Ancak, Türkiye’deki bazı medyalarda cyber hacktivist gruplar ile DragonForce Malaysia isimli gruplar arasında yanlış bir ilişki kurularak, hayranlıkla takip edilen bu hacktivist grubun M&S ile ilişkilendirilmesi ciddi bir hata olarak değerlendiriliyor.
Bu durumun yanı sıra, saldırının arkasında Scattered Spider adlı bir grup olduğu ve bu grubun DragonForce ransomware yazılımını kullandığı bildirildi. M&S, siber saldırının yayılmasını önlemek adına tüm sistemlerini kapatmak zorunda kaldı; ne yazık ki, bu karar alınmadan önce birçok VMware ESXi sunucusu şifrelenmiş ve yaklaşık 150GB veri çalınmıştı.
Çifte Tehdit: Verilerin Çalınması ve Yayılması
DragonForce’ın kullandığı çifte extorsion taktiği, sadece cihazları şifrelemekle kalmayıp, aynı zamanda çalınan verilerin yayımlanacağı tehdidi ile de çalışıyor. M&S’nin yaşadığı bu güncel saldırıda, çalınan verilerin yayınlanıp yayınlanmayacağı da merak konusu. BleepingComputer tarafından sağlanan bilgilere göre, DragonForce şu an için çalınan verileri yayımlamış değil. Bu durum, M&S’nin bir fidye ödemiş olabileceği gerçeğine dikkat çekiyor.
Ransomware ile İletişim Stratejisi
Norman, güvenlik uzmanları ile iletişim kurmak için aldıkları kararları da açıkladı. M&S’nın, saldırganlarla doğrudan temas kurmama kararı aldığını belirtti. “Saldırganlarla doğrudan iletişim kurmama kararı verdik. Bu konuda deneyimli profesyonellerle çalışmanın en iyisi olduğuna inanıyorduk.” dedi. Böylelikle, fidye görüşmeleri için uzman şirketlerin devreye girmesi sağlandı.
M&S yetkilileri, özellikle fidye talepleri hakkında kamuya açık bir şekilde bilgi vermekten kaçınıyor. Norman, bu konunun kamu yararına olmadığına inandığını belirtti ve durumu ilgili otoritelerle paylaştıklarını vurguladı.
Tahminler ve Sonuçlar
Siber güvenlik alanında yaşanan bu gelişmeler, perakende sektörü için önemli bir uyarı olarak değerlendiriliyor. Ransomware gruplarının genellikle fiili bir ödeme almadan harekete geçmeyeceğini unutmamak gerekiyor. Eğer çalınan veriler yayınlanmadıysa, ya bir ödeme yapılmış ya da M&S hâlâ müzakere aşamasındadır.
Sonuç olarak, M&S’nin yaklaşımı ve saldırıya verdikleri reaksiyonlar, diğer şirketler için önemli bir rehber olabilir. Bu durum, siber güvenliğin önemine ve çalışanların bilgilendirilmesine yönelik stratejilerin geliştirilmesi gerekliliğine de dikkat çekiyor.
