NotPetya saldırısı
Kiev, Ukrayna (küresel yayılım) · Haziran 2017
Olay özeti
NotPetya, 27 Haziran 2017'de Ukraynalı muhasebe yazılımı M.E.Doc'un güncelleme sistemi üzerinden yayıldı. Fidye yazılımı gibi görünüyordu ama asıl işi verileri silmekti. Birkaç saat içinde birçok ülkedeki şirketleri durdurdu. Zararın 10 milyar doları aştığı tahmin ediliyor. ABD ve İngiltere Rus askerî istihbaratını sorumlu tuttu. Mahkeme hükmü yok.
Zaman çizelgesi
- 2017-06-27M.E.Doc güncellemesiyle ilk bulaşma oldu. Ukrayna'da bankalar, havaalanı ve bakanlıklar etkilendi.
- 2017-06-27Maersk, Merck, FedEx, TNT ve Rosneft dahil küresel şirketlere yayıldı.
- 2017-06-28Analizler şifrelemenin geri alınamayacağını gösterdi. Amaç fidye almak değil, veriyi yok etmekti.
- 2017-07-04Ukrayna polisi M.E.Doc sunucularına el koydu.
- 2018-02-15Beyaz Saray ve İngiltere, saldırıyı Rus ordusuna atfetti.
- 2020-10-19ABD Adalet Bakanlığı, GRU 74455 birimi (Sandworm) mensubu 6 subayı iddianameyle suçladı.
Kişiler, yerler ve bağlantılar
Sandworm (GRU 74455)
Saldırıyla ilişkilendirilen birim. 2020 iddianamesinin öznesi.
M.E.Doc
Tedarik zinciri saldırısının giriş noktası olan yazılım firması.
EternalBlue / Mimikatz
Yayılmada birlikte kullanılan güvenlik açığı ve kimlik bilgisi aracı.
Maersk
En görünür kurbanlardan. 4.000 sunucu ve 45.000 uç noktayı yeniden kurdu.
- Sandworm (GRU 74455) / M.E.DocGüncelleme sunucusunun ele geçirilmesi (tedarik zinciri)
- M.E.Doc / MaerskUkrayna ofisindeki tek kurulumdan küresel ağa yayılım
Bulgular
Her bulgunun altında kaynağı ve tarihi var. Yorumlar bu bölümün dışında tutulur.
DoğrulandıDoğrulananlar
İlk yayılımın M.E.Doc güncelleme kanalından geldiği bağımsız analizlerle doğrulandı.
Kaynak: ESET, Cisco Talos ve Ukrayna polisi · 2017-07Yazılım, fidye ödense bile veriyi geri getirmeyecek biçimde yazılmıştı. Sınıfı wiper.
Kaynak: Kaspersky ve Matt Suiche analizleri · 2017-06
MuhtemelGüçlü olasılıklar
GRU atfı beş ülkenin ortak açıklaması ve 2020 iddianamesiyle destekleniyor. Mahkeme hükmü yok.
Kaynak: DOJ iddianamesi · 2020-10
ÇelişkiliÇelişen bilgiler
Toplam zarar tahminleri (10-12 milyar $) sigorta ve şirket raporlarına dayanıyor. Kesin rakam yok.
Kaynak: Beyaz Saray tahmini · 2018-02
Kaynaklar
Belgeler
DOJ 2020 iddianamesi
Sandworm subaylarının isim isim suçlandığı 50 sayfalık belge.
BelgeESET Telebots analiz zinciri
NotPetya'yı önceki Ukrayna saldırılarına bağlayan teknik seri.
Yayılım haritası
Ukrayna merkezli bulaşmanın 65+ ülkeye sıçrayışı.
Yerler
- Kiev (M.E.Doc merkezi)50.45°, 30.52°
- Kopenhag (Maersk merkezi)55.68°, 12.57°
Araştırmacı notu
Saldırının arkasında kimin olduğunu yalnızca kod benzerliğinden söylemek zor. Altyapı, hedefler, zamanlama ve resmî soruşturmalar birlikte bakılmalı. NotPetya ilk saatlerde fidye yazılımı sanıldı. Erken haberler kesin hüküm gibi yazılmamalı.
Son kontroller
- 2026-05-30Kaynak URL'leri kontrol edildi. NCSC atıf sayfası taşınmıştı, arşiv bağlantısı eklendi.

