Geçen hafta içinde bilişim teknolojileri yönetim şirketi SolarWinds’in muhtemel bir Rus saldırısına uğradığına ve ABD Hazine, Ticaret, Eyalet, Enerji ve Ulusal Güvenlik bakanlıklarının da bu saldırıdan etkilendiğine dair haberler çıkmıştı. Bu kuruluşlardan ikisinin e-postaları çalınmış olabilir. Diğer devlet kurumları ve birçok şirket, SolarWinds’in kapsamlı müşteri listesi nedeniyle araştırma yapıyor. Wall Street Journal ise bazı büyük teknoloji şirketlerinin de bu saldırıdan etkilendiğini öne sürüyor.
Cisco, Intel, Nvidia, Belkin ve VMware’in hepsinin ağlarında kötü amaçlı yazılım bulaşmış bilgisayarlar bulunuyor. Daha fazlası da olabilir: SolarWinds, sanki bu sayının güven verici olması gerekiyormuş gibi “18 binden az” şirketin etkilendiğini belirtmişti. Ve hatta virüs bulaşmış yazılımı kullanan müşterilerin listesini gizlemeye çalışmıştı. Çıkan son haberler SolarWinds’in bazı büyük müşterilerini “etkilenmiş olabilir” den “etkilenmiş olduğu doğrulanmış” seviyesine çıkarıyor.
Şu anda, büyük teknoloji şirketlerinin hepsi aynı hikâyeyi anlatıyor: “Araştırıyoruz, ancak bunun bizi etkilediğini düşünmüyoruz.” Ne var ki, 2016 yılında Amerikan Demokratik Ulusal Komite’nin e-postasının kesilmesi gibi durumlardan da defalarca öğrendiğimiz gibi, bir saldırının etkilerinin tam olarak fark edilmesi uzun zaman alabilir. Bilgisayar korsanlarının bir sisteme girdikten sonra, tamamen ortadan kaybolup gitmediklerini söylemek de zor olur. Bu Associated Press haberinde belirtildiği gibi, bir bilgisayar korsanı içeride bulunduktan sonra bir ağa tamamen güvenmek zor olabilir.
Bu durumda, araştırmacıların geriye dönüp inceleyebilecekleri çok fazla veri var. Saldırı aylardır ve hâlâ devam ediyor. Sorunu daha da kötüleştiren, araştırmacıların benzer bir açık kullanarak SolarWinds’e giren başka bir bilgisayar korsanlığı grubuyla karşılaşmaları oldu. Supernova olarak adlandırılan bu saldırının ilk başta ana saldırının (Sunburst olarak da bilinir) bir parçası olduğu düşünülüyordu, ancak araştırmacılar şimdi bu saldırının daha az karmaşık nitelik taşıyan ikinci bir grup tarafından gerçekleştirildiğini düşünüyor.
Bir bilgisayar korsanlığı grubunun büyük bir teknoloji şirketinin sistemlerine girmeyi istemesinin pek çok nedeni vardır. Gelecekteki ürün planlarına, satılabilecek veya fidye için tutulabilecek çalışan ve müşteri bilgilerine erişim de dahil olmak üzere, birçok bilgiyi ele geçirmek isteyebilir. Ancak, bu bilgisayar korsanlığı grupları, SolarWinds tarafından sağlanan BT yönetim sistemlerini paylaşan devlet kurumlarının peşine düştüğü için, bu şirketlerin yalnızca ikincil seviyede hasara uğraması da mümkündür. Şu anda, bu şirketlerin hiçbiri durumdan endişelenmiş gibi görünmüyor. Bunu, her federal kurumun SolarWinds sistemlerini derhal kapatması gerektiğini ilân eden ABD hükümetinin bilgisayar güvenlik organizasyonu ile karşılaştırın. Şirketlerden buna benzer bir açıklama görmedik veya çalışanlarına gönderilen bir yazışma dışarı sızmadı.