FireEye CEO’su Kevin Mandia, gizli bir yazılım güncellemesi yoluyla hükümete ve ticari iş ağlarına sızan bilgisayar korsanlarının yaklaşık 50 kuruluşu “gerçekten etkilediğini” söylüyor. Teksas merkezli SolarWinds tarafından inşa edilen Orion ağ izleme yazılımına bir arka kapı yerleştiren ve firmanın 18.000 müşterisine gönderilen tedarik zinciri saldırısını anlatan Mandia, bunun siber saldırılar tarihinde muhtemelen en büyük hedefli saldırı olduğunu kaydetti [1].
“Gerçek şu ki: Bunun patlama yarıçapı, bir tür huni ile açıklıyorum. 300.000’den fazla şirketin SolarWinds kullandığı doğru, ancak bu toplam sayıdan yaklaşık 18.000’e iniyorsunuz. Ve sonra bir sonraki kısma geliyorsunuz. Tehdit aktöründen gerçekten etkilenenler, muhtemelen o bölgede bir yerlerde yaklaşık 50 kuruluş veya şirkettir.”
Saldırı kampanyası ilk olarak 13 Aralık’ta kurbanlarından biri olan FireEye tarafından ortaya çıktı. Arka kapılı yazılımı “Sunburst” olarak etiketledi. Güvenlik araştırmacısı Joe Slowik saldırıyı aşağıdaki çizimle tanımladı :
Mandia sadece 50 firma etkilendi diyor ama kurbanların tam listesi bilinmiyor, arka kapılı yazılımı bulaştıran diğer kuruluşlar arasında birkaç ABD hükümet kuruluşu var: Ticaret, İç Güvenlik, Eyalet, Hazine ve Enerji Bakanlıkları ve Ulusal Sağlık Enstitüleri. Cisco, Intel, Nvidia, Microsoft ve bu sene bir kaç kere hacklenen VMware de var.
Teknoloji Firmaları Saldırıya Uğramış ama Etkilendiğini Söyleyen Yok
Microsoft geçen hafta saldırıya uğradığını açıkladı, ancak yazılımının kendi sistemine girdiğine veya başka birine bulaşmak için kullanıldığına dair hiçbir işaret bulunmadığını söyledi.
Cisco kötü amaçlı yazılımı, bazı çalışan sistemlerinde ve az sayıda laboratuvar sisteminde bulduğunu doğruladı. Şirket hala araştırıyor. Bir şirket sözcüsü, “Şu anda Cisco teklifleri veya ürünleri üzerinde bilinen bir etki yok” dedi.
Intel kötü amaçlı yazılımı indirip çalıştırmış. Bir sözcü, olayı araştırdığını ve bilgisayar korsanlarının şirketin ağına erişmek için arka kapıyı kullandığına dair hiçbir kanıt bulamadığını söyledi.
Haziran ayı sonlarında enfekte olduğu kaydedilen Deloitte, kötü amaçlı yazılımları incelemek için adımlar attığını ancak şu anda sistemlerine yetkisiz erişim belirtilerini gözlemlemediklerini söyledi.
Nvidia sözcüsü, şirketin olumsuz etkilendiğine dair kanıt olmadığını ve soruşturmanın devam ettiğini söyledi.
Bu sene Çinli hacker konferansındaki gençler tarafından da kasım başında hacklenen VMware aynı şekilde, bu tedarik zinciri saldırısının da kurbanı olduğunu söyledi. VMware yaptığı açıklamada şöyle dedi :
“SolarWinds Orion yazılımının sınırlı örneklerini kendi iç ortamımızda tespit etmiş olsak da, kendi iç araştırmamız herhangi bir istismar belirtisi ortaya çıkarmamıştır”
ABD Devlet Şirketleri de Etkilenmedik Diyor
Başka şirketlerde de bu saldırının kapsamı belirsizliğini koruyor. Saldırganlar tarafından kullanılan teknikler ve prosedürler dahil olmak üzere saldırının tam ölçeği bilinmiyor. Şu anda etkinin ne olduğu da araştırılıyor. Ama saldırıya uğrayan ABD devlet ya da ticari kuruluşlarının tamamı, “saldırıya uğradık ama bir şey olmadı” modundalar (bir nevi “acımadı ki, acımadı kii” modu).
Örneğin Pazartesi günü, Hazine Bakanı Steven Mnuchin CNBC’ye hackerların sınıflandırılmamış Hazine sistemlerini ihlal ettiğini, ancak herhangi bir sınıflandırılmış sisteme erişmemiş gibi göründüğünü söyledi. Mandia ise CNBC röportajında SolarWinds Orion kodunun Ekim 2019’da değiştirildiğini, ancak arka kapının Mart ayına kadar eklenmediğini söyledi.
Yetkililer, saldırının Rusya tarafından bir siber casusluk operasyonunun bir parçası olarak ve potansiyel olarak Moskova’nın SVR yabancı istihbarat servisi tarafından başlatıldığını iddia ediyorlar ama buna dair kanıtları ortaya koymadılar. Hacklemeden sorumlu tutulmalarının nedeni Rus hükümetinin beceri düzeyi.
ABD Dışişleri Bakanı Mike Pompeo Cuma günü bir radyo röportajında ”Ruslar olduğunu oldukça net bir şekilde söyleyebiliriz” dedi. Ancak cumartesi günü Başkan Donald Trump, Pompeo’nun sözlerinin aksine –yine kanıt göstermeden– olaydan Çinlilerin sorumlu olduğuna dair sözler söyledi.
Siber güvenlik blog yazarı Brian Krebs, saldırganların şirketin 3 Aralık’ta yamaladığı bir VMware kusurundan ( CVE-2020-4006) yararlanmış olabileceğini bildirdi. Ajans, 7 Aralık’ta bir güvenlik uyarısı yayınladı :
“Rus devlet destekli kötü niyetli siber aktörler, VMware Access ve VMware Identity Manager ürünlerindeki bir güvenlik açığından yararlanarak aktörlerin korumalı verilere erişmesine izin veriyor ve federe kimlik doğrulamasını kötüye kullanıyor.”
avsvmcloud.com Ele Geçirildi
Çarşamba günü, FireEye, Microsoft ve kayıt kuruluşu GoDaddy, saldırganların çalışan sistemlerle iletişim kurmak için C2 adresi olarak kullandığı avsvmcloud [.] Com alan adını ele geçirerek, en azından bazı uç noktalara saldırganların erişimini başarıyla engellediklerini söyledi.
Çinli RedDrip Team’deki araştırmacılar, Sunburst’u çalıştıran 1.700’den fazla ana bilgisayar adına uzanan kısmi bir organizasyon listesini ortaya çıkaran C2 bilgilerinin bazılarının şifresini çözebilen bir araç geliştirdiler. Kuruluşlar arasında Belkin, Cisco, Intel ve NVidia’nın yanı sıra bir ABD devlet kuruluşu ve telekomünikasyon şirketi bulunmaktadır.
Arka kapılı Orion güncellemesi yüklendikten sonra, yayınlanan bir analize göre, yazılım bir C2 sunucusuyla iletişim kurmak için sabit kodlanmış bir IP adresine “eve telefon et” girişiminde bulunmadan önce rastgele bir süre – ancak tipik olarak yaklaşık iki hafta – bekledi. Güvenlik firmaları artık, saldırıların ilk aşamasının bir parçası olarak sadece C2 sunucusuna telefon etmekle kalmayan, aynı zamanda saldırganlar için daha fazla ilgi duydukları için ikinci aşama saldırıların odak noktası olan sistemlerin işaretlerini arıyorlar.
Microsoft 40 veya Daha Fazla Mağduru Sayıyor
Geçen hafta günü Microsoft Başkanı Brad Smith, saldırganların 40’tan fazla müşterisini hedeflediğini ve ek ve gelişmiş önlemlerle tehlikeye atıldığını” belirlediklerini söyledi. Smith, bu Microsoft müşterilerinin yaklaşık% 80’inin ABD merkezli olduğunu, ancak şirketin şimdiye kadar “yedi ek ülkede kurbanları tespit ettiğini söyledi ; Kuzey Amerika’da Kanada ve Meksika; Avrupa’da Belçika, İspanya ve İngiltere ve İsrail ve Orta Doğu’da BAE. Ve kurban sayısının kesinlikle artmaya devam edeceğini de düşünüyorlar.
Microsoft saldırıya uğrayan 40’tan fazla müşterisinin neredeyse yarısının, genellikle müşterilerinin ağlarına geniş erişime sahip bilgi teknolojisi hizmeti şirketleri olduğunu buldu. Bu nedenle müşteri çalınması da bir başka endişe.
Rus güvenlik firması Kaspserky ise, yaklaşık 100 müşterisinin Truva Atı haline getirilmiş Orion yazılım güncellemesini indirdiğini ve ardından C2 sunucularına ev sahipliği yaptığını söyledi. Ancak hiçbirinin ikinci aşama kötü amaçlı yazılım saldırısının hedefi olmadığını belirtti.
Saldırıya uğrayan şirketlerin hemen hepsi, saldırganların verileri çalıp çalmadığı veya kurumsal ağlarda tespit edilmeden kalmakla neler yaptığı konusunda endişeliler.
Bilgisayar korsanlarının çeşitli kuruluşlar içinde ne yaptıkları veya çoğu şirket için arka kapıları kullanıp kullanmadıkları henüz bilinmiyor. Ancak araştırmacılar ve güvenlik uzmanları, iç iletişim ve diğer devlet sırlarının yanı sıra, bilgisayar korsanlarının şirket yöneticilerinin e-postalarını, geliştirilmekte olan hassas teknolojilerle ilgili dosyaları ve daha sonra daha fazla sistemi tehlikeye atmanın başka yollarını aramış olabileceğini söylüyor.
[2] Transcript: Kevin Mandia on “Face the Nation,” December 20, 2020
[3] A moment of reckoning: the need for a strong and global cybersecurity response
Kaynak : 