Giriş
Mount Royal Üniversitesi (Calgary, Kanada) tarafından yapılan resmi açıklamada, kurumun ağ altyapısına gerçekleştirilen bir siber saldırının ardından, dosya depolama sistemlerinden veri hırsızlığı ve silme işlemlerinin yaşandığı doğrulandı. Saldırganlar, üniversitenin ağına yetkisiz erişim sağlayarak hassas verileri elde etmiş ve ardından sistemdeki bazı dosyaları kalıcı olarak silmişlerdir. Bu olay, yükseköğretim kurumlarının siber güvenlik tehditlerine karşı ne kadar savunmasız olduğunu bir kez daha gözler önüne sermektedir.
Saldırı Detayları ve Etkileri
Saldırı Yöntemi
Başlangıç araştırmalarına göre, saldırganlar muhtemelen fidye yazılımı (ransomware) veya veri sızdırma saldırıları için tasarlanmış bir exploit kullanmışlardır. Yaygın olarak kullanılan saldırı vektörleri şunlardır:
- Kimlik avı e-postaları (Phishing): Üniversite personeline gönderilen sahte e-postalar aracılığıyla kullanıcı kimlik bilgileri ele geçirilmiş olabilir.
- Açık zayıflıklar (Zero-day vulnerabilities): Ağdaki sunucularda veya uygulamalarda bulunan ve henüz yamalanmamış güvenlik açıklarından faydalanılmış olabilir.
- Zayıf kimlik doğrulama: Çok faktörlü kimlik doğrulaması (MFA) kullanılmayan sistemlere saldırı gerçekleştirilmiş olabilir.
Etkilenen Sistemler ve Veriler
Saldırıdan etkilenen sistemler arasında aşağıdakiler yer almaktadır:
- Dosya depolama sistemleri: Üniversitenin merkezi dosya sunucuları ve bulut tabanlı depolama çözümleri. Bu sistemlerdeki verilerin bir kısmı saldırganlar tarafından kopyalanmış ve ardından silinmiştir.
- Kişisel veriler: Öğrenci, öğretim görevlisi ve personel bilgileri, akademik kayıtlar ve finansal veriler gibi hassas bilgiler risk altındadır.
- İç ağ altyapısı: Üniversitenin yerel ağında (LAN) bulunan diğer sistemlere de saldırının yayılmış olma ihtimali bulunmaktadır.
Saldırının Zaman Çizelgesi
Olayın gerçekleştiği tahmini zaman çizelgesi aşağıdaki gibidir:
- Başlangıç Noktası (Tahmini): Saldırganlar, üniversitenin ağına yetkisiz erişimi sağlamak için kimlik avı saldırısı gerçekleştirmiş olabilir.
- Veri Erişimi: Ağdaki zayıflıkları kullanarak dosya sunucularına erişim sağlanmış ve veriler kopyalanmıştır.
- Veri Silme: Saldırganlar, verilerin iz bırakmadan silindiğini garanti etmek amacıyla dosyaları kalıcı olarak silmişlerdir.
- Olayın Fark Edilmesi: Üniversite yetkilileri, sistemlerdeki olağandışı aktiviteleri tespit etmiş ve saldırıyı doğrulamıştır.
Alınabilecek Önlemler: Adım Adım Rehber
1. Acil Müdahale ve İzolasyon
Saldırıdan hemen sonra uygulanması gereken adımlar:
- Etkilenen Sistemlerin İzole Edilmesi:
# Linux sistemlerinde ağ bağlantısını kesmek için (örneğin eth0 arayüzü) ifconfig eth0 down # Windows sistemlerinde ağ bağlantısını devre dışı bırakmak için netsh interface set interface "Ethernet" disableUyarı: Sistemleri izole ederken, saldırganların izlerini kaybetmemek için forensik analiz yapılabilecek bir ortam oluşturulmalıdır.
- Güvenlik Duvarı Kuralları Güncelleme:
# Linux (iptables) örneği: Belirli IP'leri engellemek sudo iptables -A INPUT -s -j DROP sudo iptables -A OUTPUT -d -j DROP # Windows (Windows Defender Firewall) örneği New-NetFirewallRule -DisplayName "Block Attacker IP" -Direction Inbound -RemoteAddress -Action Block - Kullanıcı Hesaplarının Askıya Alınması:
# Active Directory kullanıcı hesabını devre dışı bırakmak Disable-ADAccount -Identity



