Vaka arşivine dön
CA-2017-007Kayda geçmiş

NotPetya saldırısı

Kiev, Ukrayna (küresel yayılım) · Haziran 2017

Konu
Siber olaylar
Kaynak
4
Son kontrol
2026-05-30

Olay özeti

NotPetya, 27 Haziran 2017'de Ukraynalı muhasebe yazılımı M.E.Doc'un güncelleme sistemi üzerinden yayıldı. Fidye yazılımı gibi görünüyordu ama asıl işi verileri silmekti. Birkaç saat içinde birçok ülkedeki şirketleri durdurdu. Zararın 10 milyar doları aştığı tahmin ediliyor. ABD ve İngiltere Rus askerî istihbaratını sorumlu tuttu. Mahkeme hükmü yok.

Zaman çizelgesi

  1. 2017-06-27M.E.Doc güncellemesiyle ilk bulaşma oldu. Ukrayna'da bankalar, havaalanı ve bakanlıklar etkilendi.
  2. 2017-06-27Maersk, Merck, FedEx, TNT ve Rosneft dahil küresel şirketlere yayıldı.
  3. 2017-06-28Analizler şifrelemenin geri alınamayacağını gösterdi. Amaç fidye almak değil, veriyi yok etmekti.
  4. 2017-07-04Ukrayna polisi M.E.Doc sunucularına el koydu.
  5. 2018-02-15Beyaz Saray ve İngiltere, saldırıyı Rus ordusuna atfetti.
  6. 2020-10-19ABD Adalet Bakanlığı, GRU 74455 birimi (Sandworm) mensubu 6 subayı iddianameyle suçladı.

Kişiler, yerler ve bağlantılar

Kurum

Sandworm (GRU 74455)

Saldırıyla ilişkilendirilen birim. 2020 iddianamesinin öznesi.

Kurum

M.E.Doc

Tedarik zinciri saldırısının giriş noktası olan yazılım firması.

Nesne

EternalBlue / Mimikatz

Yayılmada birlikte kullanılan güvenlik açığı ve kimlik bilgisi aracı.

Kurum

Maersk

En görünür kurbanlardan. 4.000 sunucu ve 45.000 uç noktayı yeniden kurdu.

  • Sandworm (GRU 74455) / M.E.DocGüncelleme sunucusunun ele geçirilmesi (tedarik zinciri)
  • M.E.Doc / MaerskUkrayna ofisindeki tek kurulumdan küresel ağa yayılım

Bulgular

Her bulgunun altında kaynağı ve tarihi var. Yorumlar bu bölümün dışında tutulur.

DoğrulandıDoğrulananlar

  • İlk yayılımın M.E.Doc güncelleme kanalından geldiği bağımsız analizlerle doğrulandı.

    Kaynak: ESET, Cisco Talos ve Ukrayna polisi · 2017-07
  • Yazılım, fidye ödense bile veriyi geri getirmeyecek biçimde yazılmıştı. Sınıfı wiper.

    Kaynak: Kaspersky ve Matt Suiche analizleri · 2017-06

MuhtemelGüçlü olasılıklar

  • GRU atfı beş ülkenin ortak açıklaması ve 2020 iddianamesiyle destekleniyor. Mahkeme hükmü yok.

    Kaynak: DOJ iddianamesi · 2020-10

ÇelişkiliÇelişen bilgiler

  • Toplam zarar tahminleri (10-12 milyar $) sigorta ve şirket raporlarına dayanıyor. Kesin rakam yok.

    Kaynak: Beyaz Saray tahmini · 2018-02

Kaynaklar

Belgeler

Yerler

  • Kiev (M.E.Doc merkezi)50.45°, 30.52°
  • Kopenhag (Maersk merkezi)55.68°, 12.57°

Araştırmacı notu

Yorum

Saldırının arkasında kimin olduğunu yalnızca kod benzerliğinden söylemek zor. Altyapı, hedefler, zamanlama ve resmî soruşturmalar birlikte bakılmalı. NotPetya ilk saatlerde fidye yazılımı sanıldı. Erken haberler kesin hüküm gibi yazılmamalı.

Son kontroller

  • 2026-05-30Kaynak URL'leri kontrol edildi. NCSC atıf sayfası taşınmıştı, arşiv bağlantısı eklendi.

İlişkili dosyalar