Koronavirüs Aşısında Siber Tehdit

'Covid-19 Aşı Geliştirme Çalışmalarına Yönelik Siber Tehditler' başlıklı rapor, Türkiye ve dünya genelinde koronavirüs aşı geliştirme çalışmalarına ilişkin yapılan tespit ve araştırmalardan elde edilen verilerin STM'deki siber tehdit füzyon merkezinde incelenerek analiz edilmesiyle hazırlandı.

Raporda, dünya çapında 880 binden fazla kişinin ölümüne neden olan koronavirüse karşı 155'ten fazla kurum, özel şirket, üniversitenin aşı geliştirme aşamasında olduğuna dikkat çekildi. Bazı aşıların, insanları hasta etmeden bir bağışıklık tepkisi oluşturmak için koronavirüsü taklit edecek başka bir yaygın virüsü değiştirerek çalıştığı, Oxford ve AstraZeneca’nın araştırmasının, koronavirüsü taklit eden bir patojene dayandığına işaret edildi. Rusya Sağlık Bakanlığı'nın da, bu patojeni taklit edecek bir aşı üzerinde çalıştığı, ancak testlerin Oxford araştırmacıları kadar ileri düzeyde olmadığına vurgu yapıldı.

Raporda, Amerikan, İngiliz ve Kanada hükümetlerinin, bilgisayar korsanlarının koronavirüs aşısı araştırmasını çalmaya çalıştıklarını iddia ettikleri hatırlatılarak, Amerika'da 2016 yılında Demokrat Parti sunucularına girme olayına da karışan bir bilgisayar korsanının üniversitelerden, şirketlerden ve diğer sağlık kuruluşlarından aşılar hakkında istihbarat çalmaya çalıştığı ve APT29 (Cozy Bear) olarak bilinen tehdit aktör grubunun, koronavirüs salgınının yarattığı kaostan yararlanmaya çalıştığı iddiasına yer verildi.

Raporda, "Amerikan istihbarat yetkililerinin, grubun diğer ülkelerin çabalarını sabote etmek değil, kendi aşılarını daha hızlı geliştirmek için araştırmaları çalmayı hedeflediklerini belirtirken, siber güvenlik uzmanları, küresel halk sağlığına kastın az olduğunu dile getirmektedir" denildi.

Cozy Bear tehdit aktör grubunun, kötü amaçlı yazılım kullanarak aşı geliştirmekte olan devlet ve ona bağlı kuruluşları hedef aldığına işaret edilerek, "Saldırının kurum çalışanlarının parolalarını ve diğer kimlik bilgilerini ele geçirmek için kandırmaya yönelik sahte e-postalar göndererek (phishing ve spear phishing) aşı araştırmasına ve tıbbi tedarik zinciriyle ilgili bilgilere erişim sağlamak için yapıldığı düşünülmektedir. Bunlara ek olarak Cozy Bear grubunun elinde bulunan belli başlı statik IP’lere zafiyet taraması yaptığı ve bulduğu açıklıkları sömürme çalışmaları yaptığı da görülmüştür. Saldırıların gönderilen sahte e-posta ve zafiyet sömürülerinden sonra saldırganlar tarafından ele geçirildikleri düşünülen parolalar ile ilgili kuruluşların ağlarına sızılarak 'WellMess' ve 'WellMail' zararlılarının çalıştırılması şeklinde gerçekleştirildiği değerlendirilmiştir. Söz konusu zararlıların içinde bulundurdukları zararlı kodlar ile uzaktan komut çalıştırma yeteneğine, veri alma ve gönderebilme yeteneğine ve elde ettiği bilgileri komuta kontrol sunucusuna gönderme yeteneğine sahip olduğu görülmüştür" ifadeleri kullanıldı.

Cozy Bear tehdit aktör grubunun hedefinde İngiltere'de Oxford Üniversitesi ve aşı üzerinde ortaklaşa çalışan AstraZeneca şirketinin de olduğuna dikkat çekildi. Araştırmacıların, koronavirüs aşısı geliştiren 17 şirketin maruz kaldığı siber güvenlik ihlallerini ortaya çıkartan bir çalışma ile 25 adet sistemde spam gönderimi ve anormal istekler gerçekleştirildiğini, ayrıca 17 şirketin 14’ünde sömürülmeye açık zafiyetler tespit ettiğine dikkat çekildi. Yine bu şirketlere ait 30 adet web sunucusu zafiyeti keşfedildiğine de işaret edilerek, "Bu zafiyetler sömürülerek sunuculara doğru gerçekleştirilen trafiğin izlenebilir; parola, kişisel bilgi, kurum bilgilerinin ele geçirilebilir olabileceği tespit edilmiştir" denildi.