Kedi-Fare Oyunu: Hastaneleri Hedef Alan Oltamala Saldırılarının Evrimi

Temmuz ayının ilk haftasında Mount Auburn Hastenesi’nin bilişim teknolojileri (IT) ekibi bir dizi şüpheli faaliyet tespit etti. Hemen hastanenin bilgisayar sisteminin internet erişimini kestiler ve otomatik yedekleme prosedürünü hayata geçirmek yerine bunu manuel şekilde yapmayı tercih ettiler. Hastanenin verdiği bilgiye göre, hastalara ait verileri ele geçirmeye çalışan siber korsanlar saldırıdan eli boş döndü.

ABD’nin dört bir yanındaki hastanelere yapılan saldırılar her saat başı olmasa da neredeyse her gün yaşanıyor ve her zaman Mount Auburn’da olduğu gibi zararsız şekilde sona ermiyor. Yapılan ulusal bir ankete göre ABD’deki sağlık kurumlarının yüzde 80’i siber saldırıya maruz kaldı. Yaşanan saldırıların yarısı hasta verilerini çalmaya odaklanırken, yüzde 20’si kliniklerin ve hastane operasyonlarının beş saatten fazla durmasına yol açtı. IBM X-Force ticari güvenlik araştırma ekibine göre bu saatler, “yaşam ile ölüm arasındaki farkı” temsil ediyor olabilir.

Koronavirüs salgınının baş gösterdiği günden bu yana sağlık kurumları için tablo çok daha endişe verici bir hal aldı. Hastane personellerinin azalması ve güvenlik yatırımlarının ikinci plana itilmesi, siber korsanlara adeta davetiye çıkardı.

IBM verilerine göre, Mart ve Nisan ayları arasında hastaneler başta olmak üzere şirket ve kurumların maruz kaldığı spam saldırıları yüzde 6.000 artış gösterdi. Güvenlik araştırmacıları, koronavirüs temalı saldırıların patlama yaptığı bu süreci “kedi-fare oyunu” şeklinde niteliyor.

Verilere göre, Kuzey Amerika’daki siber güvenlik saldırıları yüzde 75, Avrupa ve Ortadoğu’daki saldırılar ise yüzde 125 artış gösterdi.

Örneğin Seattle Çocuk Hastanesi’nin Mart ayında maruz kaldığı siber saldırılar iki katına çıkarken, siber korsanların kullandığı ana yöntem oltalama e-postalarıydı (phishing). Gönderilen koronavirüs temalı sahte e-postalara eklenen bağlantılara tıklayan hastane personeli, siber korsanların bilgisayar ağlarına sızmasına neden oldu.

Para hırsı…

Güvenlik araştırmacıları, koronavirüs salgını sürecinde hastanelerin bu kadar yoğun saldırı altında kalmasını tek bir sebebe bağlıyor: Para hırsı.

Bir kredi kartının bilgilerini çalmak, kart sahibinin kartı iptal ettiği ana kadar (genelde bir veya iki gün) kazanç getirirken, hastalara ait tıbbi kayıtlar çok daha karlı bir ürün olarak beliriyor.

FBI verilerine göre 2014 yılında ABD vatandaşlarına ait sosyal sigorta numaralarının dark web’de ortalama şatış fiyatı sadece 1 dolardı. Elektronik sağlık kayıtları ise günümüzde kişiye göre değişen fiyatlarla 50-1.000 dolar arasında alıcı bulabiliyor.

Elektronik sağlık kayıtlarını satın alan bir dolandırıcı, bu bilgileri kullanarak sahte sigorta başvuruları yapabiliyor, reçete yazdırıp kimlik hırsızlığı eylemleri düzenleyebiliyor. Dahası, sağlık kayıtlarının çalındığını fark etmek, kredi kartı veya diğer standart bilgilere kıyasla ortalama iki kat daha uzun vakit alıyor.

Güvenlik araştırmacılarına göre, yeni doğan bir bebeğin elektronik sağlık raporunu çalmak son derece karlı. Zira çalınan bilgiler, bebek 18 yaşına gelene kadar neredeyse önemli hiçbir işlemde öne çıkmıyor, dolayısıyla siber korsanın yakalanma riski de en aza iniyor. Siber korsanlar bu aşamada sınır tanımayarak, ölen bebeklerin bilgilerini bile çalmaya çalışıyor.

En güçlü yöntemleri ne?

Kullanıcıların siber korsanları bilgisayar ağlarına sızmaya davet ettikleri oltalama yöntemi, koronavirüs temalı saldırıların temelini oluşturuyor. Modern güvenlik yazılımları ve e-posta koruma önlemleri kötü amaçlı e-postaların önemli kısmını engellese de en önemli unsur hastane personelinin dikkatli ve uyanık olması.

Uyanıklık fazlasıyla önemli, çünkü salgın sürecinde oltalama e-postalarının açılmasını teşvik edecek yöntemler fazlasıyla gelişti. Şubat ayında beliren salgın temalı oltamala saldırılarının ilk örnekleri, sağlık yetkililerini taklit ederek hastalık hakkında bilgi sunuyordu. Mart ayında, e-postalar koruyucu maskeler ve diğer eşyalara erişim sağlayan bağlantılar içermeye başladı. Bu e-postalardaki en sıradan mesaj ise “Sizin İçin Bir Eşya Bulduk!” şeklindeydi.

Nisan ayına gelindiğinde, bu sefer “teşvik primleri için kupon ve çeklerin” nasıl elde edileceğine yönelik duyurular belirmeye başladı. Mayıs’tan itibaren tuzak, henüz keşfedilmemiş koronavirüs aşısı üzerine odaklanmaya başladı. Sahte e-postalarda, “aşı yaptırabilmek için ilk kişilerden biri olmak istiyorsanız sıraya girin” deniliyordu.

Siber güvenliğin en önemli unsuru: Daimî uyanıklık 

Güvenlik uzmanları, siber saldırıların çığırından çıktığı bir dönemde hastane ve kliniklerin kullanılan teknoloji ve yöntemler konusunda en tepe noktada olması gerektiğini kaydediyor.

Sağlık kurumlarının iki adımlı kimlik doğrulaması (2FA) kullanması, hastane personelini spam saldırılara karşı eğitmesi, en kritik verilerin çevrimdışı ortamda yedeklenmesi ve hasta bilgilerinin şifrelenmesi gerekiyor.

Kullanılan güvenlik önlemleri ne kadar çok ve gelişmiş olursa bir saldırıyı tespit etmek için de o kadar çok vakit kazanılmış olunuyor. Yine de her sağlık kurumu tehdit altında.

Kurumların sürekli “içsel uyanıklığı” koruması gerekiyor. İnternete açık kapılarla değil ama organize edilmiş güvenlik bariyerleri ile erişim sağlamak ana kural olarak beliriyor. Hastane ve klinikler için hasta kayıtlarının güvenli bir şekilde tutulması kritik önem taşıyor, zira bu kurumların sorumluluğu altında.

Fidye saldırıları tavan yapmış halde 

3 Haziran 2020’de California San Francisco Üniversitesi IT ekibi bilgisayar ağlarına iki gün önce sızıldığını tespit etti. Tıp fakültesi bünyesindeki birçok IT sistemini karantinaya aldılar ve sızıntıyı üniversitenin ağından izole ettiler.

Yapılan açıklamada hasta bilgilerinin güvende olduğu belirtildi ancak siber korsanlar, fakültenin birkaç sunucusunu şifrelemiş ve erişimi engellemişti.

FBI’ın devam eden soruşturmasında, üniversitenin talep edilen fidyenin yarısını ödediği açıklandı: Yani 1,4 milyon dolar.

Güvenlik uzmanları, sadece birkaç yıl önce yaşanan fidye yazılım saldırılarında ortalama 10.000 dolar istendiğini hatırlatıyor. Günümüzde ise bu miktar 10.000 ile 25 milyon dolar arasında. Siber suçlular para elde etmeyi garanti etmek için pazarlık seçeneğini her zaman kullanırken, aynı hedefe yeniden saldırabilmek için farklı yöntemler kullanmayı da ihmal etmiyor.

Siber suçluların en çok hedef aldığı sağlık kurumları ise dev hastane veya fakülteler değil; orta boyutlu sağlık klinikleri. Sebebi, güvenlik yatırımı kapsamlı bir IT ekibi tutmaya yeterli olmayan bu şirketlerden binlerce veriyi çalmanın daha kolay olması. Uzmanlar, güvenlik altyapısındaki her birimin çok güçlü olması gerektiğini aksi takdirde toplum güvenliğinin çökebileceği uyarısında bulunuyor.

Hedef: Nakit ve bilgi 

Siber suç örgütleri “ne yaptığını bile bilmeyen” çaylaklardan tutun, genelde Doğu Bloğu merkezli profesyonel ekiplere kadar geniş bir tecrübe ölçeğine sahip. Birçok saldırı, para kazanma hırsı ile yapılıyor. Öte yandan, Rusya veya Çin gibi ülkelerdeki siber örgütler ağırlıklı olarak ‘bilgi’ peşinde koşuyor.

Koronavirüs temalı saldırılarda devletlerin ne kadar etkin olduğu henüz bilinmiyor. Bugüne kadar elde edilen tecrübeler, Rusya ve Çin’in kurbanlarında en ufak şüphe uyandırmadan hareket etmeyi tercih ettikleri. Böylece, uzun süre hedefleri üzerinde casusluk yapabiliyorlar. Kuzey Kore ve Doğu Avrupa merkezli ülkelerde ise genelde hedef ‘fidye’ olarak beliriyor.