Rus Cl0p siber suç çetesinin, Progress firmasının MOVEit uygulamasındaki bir açıktan yararlanarak, Küresel vergi ve danışmanlık şirketi PwC ve EY, yüzlerce şirket ve ABD federal devlet kurumlarının bazılarından veri çaldığı kaydediliyor.
Son bir kaç haftadır Avustralya şubesinde bir vergi skandalı ile sorgulanan PwC açısından tatsız bir gelişme. Kendileri ihlalin muhtemelen “sınırlı bir etkiye” sahip olacağını söyledi. Ama 121 GB verisinin sızdığı konuşuluyor. PwC, dosyaları etkilenen işletmelerle iletişime geçtiğini açıkladı. Aynı şekilde EY de, MOVEit yazılımlarının “kritik bir güvenlik açığına” sahip olduğunun 31 Mayıs’ta farkına vardıklarını ama sistemlerinin güvenli olduğunu, etkilenmediklerini söyledi.
Ancak Progress, yayınladığı bültende şöyle yazdı :
“MOVEit Transfer web uygulamasında, kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına yetkisiz erişim elde etmesine izin verebilecek bir SQL enjeksiyon güvenlik açığı belirlendi.
Bir saldırgan, MOVEit Transfer uygulaması uç noktasına hazırlanmış bir yük gönderebilir ve bu da MOVEit veritabanı içeriğinin değiştirilmesine ve ifşa edilmesine neden olabilir.”
Rus Cl0p saldırdıkları şirketlerden fidye istemesi ile biliniyor. British Airways ve BBC’nin yanı sıra birkaç ABD devlet kurumu da siber sendika tarafından fidye için tutulanlar arasında. Ancak üst düzey ABD yetkililerinin ülkenin federal kurumlarına böyle bir talepte bulunulmadığını söylediği bildirildi.
MOVEit yazılımında CVE-2023-35708 olarak izlenen yeni açık, aynı zamanda “yükseltilmiş ayrıcalıklara ve ortama olası yetkisiz erişime yol açabilecek” bir SQL enjeksiyon güvenlik açığıyla da ilgili. Progress, güvenlik açığını 48 saat içinde düzelttiğini açıkladı. Ayrıca, etkilenen müşterilere yardım ettiğini ve müdahalesine yardımcı olmaları için dünyanın en iyi siber güvenlik şirketlerinden bazılarını görevlendirdiğini söyledi. Yine de yazılımı kullanan firmaların kendilerini korumak için 80 ve 443 numaralı bağlantı noktalarında MOVEit Transfer’e giden tüm HTTP ve HTTP trafiğini devre dışı bırakmaları isteniyor. Bulut tarafından yönetilen dosya aktarım çözümü tamamen yamalandı.
Rus bağlantılı siber suç grubu Cl0p, Mayıs ayı sonlarında dosya aktarım yazılımı MOVEit’i ABD Enerji Bakanlığı ve BBC de dahil olmak üzere hedeflerden bilgi çalmaya başlamak için kullandı. Üçüncü taraf bir transfer platformu olan MOVEit’in, PwC dahil yüzlerce kuruluşu etkileyen bir siber güvenlik saldırısına dönüştüğü kaydediliyor.
Yaygın saldırının iki hafta önce gerçekleştiği bildirildi ve geçen hafta CI0P kurbanları fidye taleplerini yerine getirmeleri için yedi günleri olduğu konusunda uyardı, aksi takdirde hangi şirketlerin saldırıya uğradığını ortaya çıkaracak ve çalınan verileri karanlık ağa sızdıracaklardı.
Eski PwC ortağı Peter Collins, İngiliz hükümetinin vergi planlarını özetleyen belgeleri firmadaki diğer personele dağıttığı, bunun Vergi Uygulayıcıları Kurulu’ndaki kaydının feshedilmesine ve çok sayıda hükümetin ve kurumlarının şirketle olan anlaşmaları fesh etmesine neden olduğu iddia ediyor.
Gelişme aynı zamanda Cl0p aktörlerinin, darknet sızıntı portalında MOVEit Transfer kusuru kullanılarak saldırıya uğradığını iddia ettiği 27 şirketin adını listelemesiyle de aynı zamana denk geliyor.CNN’den gelen bir rapora göre, buna Enerji Bakanlığı gibi birden fazla ABD federal kurumu da dahil.