Spor sektörüne yönelik 10 siber saldırı özeti, güvenlik duruşu söz konusu olduğunda her takımın neden gözünü toptan ayırmaması gerektiğini gösteriyor.
Olimpiyat Oyunları, FIFA Dünya Kupası ve Super Bowl, profesyonel spor endüstrisinin küresel önemini ortaya koyan ikonik spor etkinliklerinden sadece birkaç örnektir.
Ancak profesyonel sporlar taraftarlar arasında tutku ve duygu uyandırırken, siber suçlular sporun rekabetçi yönlerini veya topluluk hissini daha az önemsemezler. Bunun yerine, ceplerini haksız kazançlarla doldurmak amacıyla sektörün erişimini ve kaynaklarını acımasızca sömürmeye çalışırlar.
Bu çarpıcı gerçeklik verilere de yansımaktadır. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) için 2020 yılında yapılan ve bizim de burada yer verdiğimiz bir ankete göre, spor kuruluşlarının %70 gibi şaşırtıcı bir oranı en az bir siber olay ya da zararlı siber faaliyet yaşamıştır. Bu oran, Birleşik Krallık’taki genel işletmelerin oranının (%32) çok üzerindedir. Avrupa spor endüstrisi tek başına kıtanın GSYİH’sinin %2‘sinden fazlasını oluşturduğundan, riskler yadsınamayacak kadar yüksektir.
Paris’te düzenlenecek 2024 Yaz Olimpiyatları için beklentiler artarken, spor organizasyonlarının siber saldırı kurbanı olduğu 10 vakaya göz atalım.
1. BEC oyun kitabı
Yukarıda bahsi geçen NSCS raporu, spor kuruluşlarına yönelik en büyük tehdit olarak İş E-postası Tehlikesi (BEC) dolandırıcılığını göstermiştir. Bu noktaya dikkat çekmek için adı açıklanmayan bir Premier Lig kulübünün genel müdürüne ait e-posta hesabının 1 milyon sterlinlik (1,3 milyon ABD doları) bir oyuncu transferi görüşmesi sırasında ele geçirildiği bir olay ayrıntılı olarak anlatılmıştır.
Mızraklı kimlik avı saldırısı kurbanı sahte bir Office 365 oturum açma sayfasına çekerek oturum açma kimlik bilgilerini bilmeden teslim etmesini sağladı. Suçlular daha sonra yukarıdaki meblağ değerinde bir BEC dolandırıcılığı gerçekleştirmeye çalıştı ancak neyse ki banka on birinci saatte devreye girdi ve planı engelledi.
Fakat bir başka önde gelen futbol kulübü olan İtalya’nın Lazio Roma takımı daha az şanslı görünüyordu. 2018’deki raporlara göre Lazio, dolandırıcıların kontrolündeki bir banka hesabına 2,5 milyon dolar değerinde bir transfer ücreti ödemesi için kandırıldı.
2. Fidye yazılımı tarafından diz çöktürüldü
Kasım 2020’de Manchester United, kulübün dijital operasyonlarını sekteye uğratan bir fidye yazılımı saldırısının kurbanı oldu. Fidye yazılımı saldırılarında yaygın olduğu üzere, suçlular verilerin şifresini çözmek ve kulübün bilgisayar sistemlerine erişimi yeniden sağlamak karşılığında bir fidye ödemesi talep etti.
Man U, hasarı azaltmak ve fidye yazılımının ağda daha fazla yayılmasını önlemek için sistemlerini hızla çevrimdışı hale getirdi. Ayrıca olayı araştırmak ve kapsamını belirlemek için siber güvenlik uzmanları ve kolluk kuvvetleriyle de iletişime geçtiler. Sonunda Man U saldırıyı kontrol altına aldı ve fidye ücreti ödemeden sistemlerini geri yükledi.
Fidye yazılım saldırıları konusuna değinecek olursak, NFL’in en popüler kulüplerinden biri olan San Francisco 49ers, 2022 yılında 20.000 çalışanının ve taraftarının hassas bilgilerinin o yılın başlarında bir fidye yazılım saldırısı sırasında ele geçirildiğini duyurdu. İlginç bir şekilde, kuruluş mağdurlara tazminat ödemeyi kabul etti.
3. Olimpik kötü amaçlı yazılım
Güney Kore’nin Pyeongchang kentinde düzenlenen 2018 Kış Olimpiyatlarının açılış töreni beklenmedik bir misafir olan Olympic Destroyer kötü amaçlı yazılımı tarafından çökertildi. Kötü amaçlı yazılım etkinliğin BT altyapısını vurarak tören sırasında operasyonları aksattı ve seyirciler için kaosa neden oldu. Diğer şeylerin yanı sıra, Wi-Fi bağlantı noktalarını ve televizyon yayınlarını kapattı ve seyircilerin etkinliğe katılmasını engelledi.
Saldırı, etkilenen Windows sistemlerindeki kritik bilgileri sistematik olarak sildi. Dahası, kötü amaçlı yazılım daha fazla yayılmak için ağ konumlarını aradı ve bağlı cihazlardaki hasarı artırdı. Buna ek olarak Olympic Destroyer, şifreleri gizlice ele geçirmek için tasarlanmış sofistike bir yazılım yükleme yeteneğine sahipti.
Sandworm ve Fancy Bear APT gruplarına atfedilen saldırı, öncelikle etkinliğin resmi web sitesini, Olimpiyat yarışmalarına ev sahipliği yapan kayak merkezlerinin sunucularını ve etkinliğin teknik altyapısını yöneten iki BT hizmet sağlayıcısını hedef aldı. Sonuçta bu saldırı, yüksek profilli spor etkinliklerinin siber tehditlere karşı savunmasızlığını keskin bir şekilde ortaya koydu.
4. Tıbbi geçmişiniz artık herkese açık
Olympic Destroyer, bir siber casusluk grubunun önde gelen bir uluslararası spor kuruluşunu hedef aldığı tek vaka değildir. 2016 yılında Dünya Anti-Doping Ajansı (WADA), bir dizi küresel spor şahsiyetinin tıbbi bilgilerini açığa çıkaran ciddi bir veri sızıntısına maruz kalmıştır.
Kurbanları arasında tenisçiler Venus ve Serena Williams ile jimnastikçi Simone Biles’in de bulunduğu olay, sporcuların meşru tıbbi durumlarını tedavi etmek için reçete edildikleri sürece yasaklı madde veya yöntemleri kullanmalarına izin veren Tedavi Amaçlı Kullanım İstisnalarını (TAKİ) ifşa etti.
WADA, saldırıyı Fancy Bear grubuna atfetti ve ihlalin yalnızca WADA’nın TAKİ programının bütünlüğüne zarar vermekle kalmadığını, aynı zamanda ajansın sporun adilliğini ve temizliğini koruma konusundaki daha geniş misyonunu da tehdit ettiğini söyledi.
5. Bir sepet dolusu veri
Mart 2023’te Ulusal Basketbol Birliği (NBA), harici posta hizmeti sağlayıcılarından birinde meydana gelen ve taraftarların isimlerinin ve e-posta adreslerinin çalınmasıyla sonuçlanan bir veri ihlali hakkında bir uyarı yayımladı. NBA’in sistemleri tehlikeye girmemiş olsa da bu olay üçüncü taraf hizmet sağlayıcılarının siber tehditlere karşı savunmasızlığının altını çizdi.
Olayla ilgili yapılan açıklamada, alıcılara çalınan bilgileri istismar edebilecek potansiyel kimlik avı ve sosyal mühendislik saldırılarına karşı dikkatli olmaları tavsiye edildi. NBA, kullanıcılara kullanıcı adları ve parolalarının ele geçirilmediği konusunda güvence verdi. Bununla birlikte, kuruluş olay müdahale protokollerini etkinleştirdi ve olayı daha fazla analiz etmek için kapsamlı bir soruşturma yürüttü.
NBA’nin kendi sistemleri ihlal edilmemiş olsa da üçüncü taraf bir haber bülteni hizmet sağlayıcısının tehlikeye girmesi, insanların bilgilerinin çalınmasına yol açtı. Bu ihlal, bir kurumun ekosistemindeki tüm bileşenlerin güvenliğinin yanı sıra harici hizmet sağlayıcıların güvenlik duruşunun sağlanmasının önemini vurgulamıştır. Siber güvenlik önlemlerinin güçlendirilmesi ve olayların izlenmesi ve bunlara müdahale edilmesi için sağlam protokollerin oluşturulması, bu tür ihlallerin kuruluşlar ve müşterileri üzerindeki etkisinin azaltılması için gereklidir.
6. Houston, bir sorunumuz var.
“Houston, bir sorunumuz var” şeklindeki ikonik ifade, Nisan 2021’de Houston Rockets‘ın Babuk fidye yazılımının arkasındaki çetenin elinde bir siber saldırıya kurban gitmesiyle yeniden ortaya çıktı.
Bu saldırı NBA’nin en önde gelen takımlarından biri için ciddi sonuçlar doğurmuş ve saldırganlar oyuncu sözleşmeleri, müşteri kayıtları ve finansal detaylar gibi hassas veriler de dahil olmak üzere 500 GB’tan fazla gizli bilginin sızdırılmasından sorumlu olduklarını iddia etmişlerdir.
Babuk fidye yazılımı en sofistike fidye yazılımı türleri arasında yer almasa da etkisi önemliydi. Saldırı, sağlık ve lojistik dahil olmak üzere diğer sektörlerdeki kuruluşlar için de risk oluşturmaya devam etti. Bu tür olaylar, siber tehditlerin ayrım gözetmeyen doğasını ve tüm sektörlerde sağlam siber güvenlik önlemlerine duyulan acil ihtiyacı vurgulamaktadır.
7. Kaçış yok
Bir dakikalığına basketbol dünyasını vuran siber saldırılar konusunda kalalım. Bir basketbol maçında, bir çeyreğin sonu bir zil sesiyle işaret edilir. Ekim 2023’te Fransız basketbol takımı ASVEL için farklı türde bir zil sesi duyuldu: NoEscape fidye yazılımı çetesi tarafından düzenlenen bir veri ihlalini işaret ediyordu.
Ekip saldırıyı kabul ederek, pasaport ve kimlik belgeleri, sözleşmeler, gizlilik anlaşmaları ve diğer yasal belgeler gibi oyuncu bilgileri de dahil olmak üzere 32 GB’lık hassas verinin dışarı sızmasından yakındı.
8. Gerçek bir olay
Şimdi futbola geri dönelim. Real Sociedad futbol kulübünün hem Şampiyonlar Ligi’nde hem de İspanya La Liga’da umut vaat eden beklentiler arasında sahada gösterdiği tüm denge, kulübün bir siber saldırıya kurban gittiğini duyurmak için kısa bir açıklama yayımladığı 18 Ekim 2023 tarihinde aniden bozuldu.
Bu olay, abonelerin ve hissedarların adları, soyadları, posta adresleri, e-posta adresleri, telefon numaraları ve hatta banka hesap bilgileri dahil olmak üzere hassas verileri depolayan sunucuları tehlikeye attı.
Buna karşılık kulüp, mağdurlara hesaplarını herhangi bir şüpheli faaliyete karşı takip etmelerini tavsiye etmiştir. Ayrıca, etkilenen bireylerin daha fazla yardım veya açıklama istemeleri için bir e-posta iletişim kanalı oluşturdular.
9. Boca hedefte
Arjantin’in Buenos Aires kentinde bulunan Club Atlético Boca Juniors, dünya çapında tanınırlığa sahip. Kulübün bu kadar tanınması siber suçluların kulübü hedef almasına sebep oldu.
16 Eylül 2022 tarihinde Boca Juniors, resmi YouTube hesabını tehlikeye atan bir saldırının kurbanı oldu. Saldırganlar kanalın kontrolünü ele geçirdi ve aslında oldukça tipik bir kripto para dolandırıcılığı olan Ethereum kripto para birimini tanıtan bilgileri yaymaya başladı.
İhlal karşısında Boca Juniors derhal Twitter (şimdi X) üzerinden resmi bir açıklama yayımlayarak, ele geçirilen hesap üzerindeki kontrolü yeniden sağlamak için hızlı bir şekilde harekete geçtikleri konusunda taraftarlarına ve paydaşlarına güvence verdi. Kulüp birkaç saat içinde çevrimiçi varlığını başarıyla geri getirdi.
10. Kendi kalesine mi?
Nisan 2023’te Hollanda Kraliyet Futbol Federasyonu’na (KNVB) yönelik bir saldırı, kurumun çalışanlarına ve üyelerine ait gizli verilerin çalınmasıyla sonuçlandı. Kötü şöhretli LockBit fidye yazılımı çetesine atfedilen olay, ülkenin profesyonel futbol ligleri için bir şemsiye kuruluş olan KNVB tarafından doğrulandı.
İhlal, genç oyuncuların ebeveynleri, uluslararası oyuncular, 2016-2018 yılları arasındaki profesyoneller, KNVB Spor Tıp Merkezi’nin irtibat kişileri ve 1999-2020 yılları arasında organizasyonun disiplin konularına dahil olan bireyler de dahil olmak üzere çeşitli mağdurları etkiledi.
Hepimizi avlayan dolandırıcılıklar
Aramızda sporcu olmayanların da siber suçlar için cazip bir hedef olduğunu gösteren bir dizi uyarıcı hikaye de var.
Örneğin, dört yılda bir düzenlenen FIFA Dünya Kupası dünya çapında milyarlarca izleyiciyi çekerken, dolandırıcılar bunu yeni kurbanları tuzağa düşürmek için önemli bir fırsat olarak görüyor. Şaşırtıcı olmayan bir şekilde, Dünya Kupası temalı dolandırıcılıklar, genellikle alıcıları etkinliğe bilet kazandıklarına inandıran veya onları cihazlarına kötü amaçlı yazılım indiren web sitelerine çeken yinelenen bir sorundur. Daha önce de şüphelenmeyen WhatsApp kullanıcılarını ücretsiz futbol forması cazibesiyle kandıran bir kampanyayı incelemiştik.
Sonuç
Tıpkı diğer sektörler gibi profesyonel spor da siber saldırganlar için bulunmaz bir nimettir. Burada vurgulanan uyarıcı hikayeler, günlük siber saldırı girişimlerinin sadece bir kısmını temsil etmektedir. Siber saldırganlar yeni ve giderek daha karmaşık saldırılar düzenlemekten vazgeçmeyeceğinden, spor endüstrisinin “gözünü toptan ayırmamaya” benzer şekilde tetikte olması ve çevrimiçi alandaki tehditlere karşı dikkatli olmaya devam etmesi zorunludur.