İstanbul Üniversitesi İngilizce İşletme mezunu. Yazı işlerinde tecrübe sahibi. Yeminli tercüman olarak çalışıyor. 2017'den bu yana Siber Bülten'de editör olarak çalışıyor.
İranlı hacker grubu Black Reward, İran’ın nükleer programına ait bir dizi belge yayımladı. İran’ın gizli nükleer planlarına ilişkin önemli bilgiler barındıran belgelerde İran Atom Enerjisi Üretim ve Geliştirme Şirketi’nin yerli ve yabancı ortaklarla yaptığı sözleşmeleri yer alıyor. Ayrıca Buşehr santralinin yönetim ve işletme programları ile şirket çalışanlarının kimlik bilgileri ve maaş bordroları da bulunuyor.
“Black Reward” İran’ın Nükleer Enerji Üretim ve Geliştirme Şirketinin dahili e-posta sistemini başarıyla hacklediklerini ve 50 GB’lık dosyayı internette yayınladıklarını duyurmuştu. Grup, Instagram kanalında “Bilgileri anonim olarak “yani anonfiles” adlı çevrimiçi dosya paylaşım hizmetine yükledikten sonra önümüzdeki birkaç saat içinde indirme bağlantılarını sırasıyla yayımlayacağız.” diye yazmıştı.
Dosyalar arasında “İran Atom Enerjisi Üretim ve Geliştirme Şirketi ile ilgili “ham sürüm ve yedekler”, “Yaklaşık 100 bin e-posta mesajıyla birlikte temizlenmiş ve tarayıcıda görülebilen sürüm” ve “belge ve bilgilerin ayrılmış ve sıralanmış sürümü” yer alıyor.
PROTESTOCULAR BIRAKILMAYINCA VERİLER İFŞA EDİLDİ
Grup, 24 saat içinde İslam Cumhuriyeti’nde ülke çapında devam eden protestolar sırasında gözaltına alınan siyasi mahkumları ve protestocuları serbest bırakmazsa, “Molla rejiminin kirli nükleer projesini” sızdırmakla tehdit etmişti. Hacker grubu Twitter’da “İslam Cumhuriyeti için 24 saat başladı” diye yazmıştı.
İran’da geçtiğimiz ay, başörtüsünü düzgün takmadığı için İran’ın “tesettür polisi” tarafından yakalanan Mahsa Amini’nin ölümünün ardından hükümet karşıtı protestolar patlak vermişti.
Uluslararası Af Örgütü, güvenlik güçlerinin 30 Eylül’de güneydoğudaki Zahedan’da Cuma namazı sonrasında gerçekleştirdiği baskında en az 66 kişinin öldüğünü, Amini’nin ölümüyle alevlenen ve beş hafta süren protestolarda en ölümcül olaylardan bazılarının yaşandığını açıkladı.
Uluslararası Kriminal Polis Teşkilatı Interpol, Black Axe siber suç örgütü yönelik operasyon düzenleyerek çeteye büyük darbe vurdu.
Interpol, Black Axe (Kara Balta) adlı organize siber suç örgütüne karşı yürütülen koordineli küresel operasyon kapsamında 75 kişinin tutuklandığını açıkladı.
Kurumdan yapılan açıklamada, Black Axe ve diğer Batı Afrikalı organize suç gruplarının ulus ötesi ağlar geliştirerek mağdurları milyonlarca dolar dolandırırken, elde ettikleri kârı lüks yaşam tarzlarına ve uyuşturucu kaçakçılığından cinsel istismara kadar diğer suç faaliyetlerine kanalize ettikleri bildirildi.
Kod adı Operation Jackal olan operasyona Arjantin, Avustralya, Fildişi Sahili, Fransa, Almanya, İrlanda, İtalya, Malezya, Nijerya, İspanya, Güney Afrika, Birleşik Arap Emirlikleri, İngiltere ve ABD katıldı.
Nijerya’da 1977 yılında bir konfederasyon olarak ortaya çıkan ve daha sonra bir mafya grubuna dönüşen Black Axe, sadece cinayet ve dolandırıcılık operasyonlarıyla bağlantılı olmakla kalmamış, aynı zamanda ülkenin siyasi sistemine sızmakla da suçlanıyor.
Geçtiğimiz ayın sonlarında Güney Afrika’da tutuklanan online dolandırıcılardan ikisinin, kurbanlardan 1.8 milyon dolar kazanmalarını sağlayan çeşitli dolandırıcılık planları düzenlediğine inanılıyor.
ŞÜPHELİLERİN HESAPLARINDAKİ 1,2 MİLYON AVROYA EL KONULDU
Soruşturma kapsamında ayrıca 49 mülkte arama yapıldı ve 12 bin SIM kart ile bir konut, üç araba ve on binlerce nakit para dahil olmak üzere diğer lüks varlıklara el konuldu. Ayrıca şüphelilerin banka hesaplarındaki 1,2 milyon avroya el konuldu.
Ekim 2021’de, kartelin sekiz üyesi ABD Adalet Bakanlığı tarafından en az 2011’den 2021’e kadar “aşk tuzağı ve ön ödeme dolandırıcılığı planlarını içeren yaygın internet dolandırıcılığı” yapmakla suçlanmıştı.
Interpol’den Stephen Kavanagh, yasadışı finansal fonların, sınır aşan organize suçların can damarı olduğunu ve Black Axe gibi grupların çevrimiçi finansal dolandırıcılıklardan elde ettikleri parayı uyuşturucu ve insan kaçakçılığı gibi diğer suç alanlarına nasıl yönlendirdiklerine tanık olduklarını ifade etti.
Akıllı cihazların gelişimindeki önü alınmaz hız korkutucu hale gelebilir mi? Siber güvenlik firması Acronis’in kurucusu Serg Bell’e göre şimdiden geldi bile. Bell, geçtiğimiz hafta Singapur’da yayınlanan The Register gazetesine yaptığı açıklamada, kendi elektrikli süpürgesinden korktuklarını söyledi.
Elektrikli süpürgenin internete bağlı olduğunu, muhtemelen bir kamera, mikrofon ve dairenizin bir haritasına sahip olduğunu vurgulayan Bell sözlerine şöyle devam etti: “Elektrikli süpürge bu şekilde -güya- sizin yararınıza olacak şekilde tüm verileri toplayabiliyor. Ancak bu verilerin tam olarak nasıl kullanıldığını ve nihayetinde neler yapabileceğini bilmenin hiçbir yolu yok”
Siber güvenlik firmasının eski CEO’su, “Bunu düşünmek zorunda değilsiniz, ancak bu potansiyel olarak önemli bir güvenlik ve gizlilik riski.” dedi.
Bell’e göre, akıllı cihazların aniden artması söz konusu olduğunda, insanların güvenlikleri, mahremiyetleri ve emniyetleri konusunda genel bir farkındalık eksikliği bulunuyor.
Veri dünyasında, bilgisayar dünyasında ve bilgi dünyasında yaşananlar çok fazla hızlı değişimin olmasından kaynaklanıyor. Ve bu değişikliklerden biri, cihazların her yıl, her ay katlanarak daha akıllı olması ve bu değişimin katlanarak artması. İşin kötüsü bu cihazlara her geçen gün daha fazla bağımlı hale geliyoruz.
EVDEKİ AKILLI CİHAZLAR SAHTE BİR GÜVENLİK HİSSİNE YÖNLENDİRİYOR
Bell, Singapur’un merkezi iş bölgesindeki yüksek katlı ofisinde televizyondan telefona ve saate kadar odadaki tüm akıllı cihazları işaret ederek şunları söylüyor: “Bu cihazlar genellikle evlerde bulunduğu için, insanlar bu cihazlara kayıtsız kalıyor ve sahte bir güvenlik hissine kapılıyor. Daha da kötüsü, insanlık onlarsız toplumda işlev göremeyecek bir noktaya doğru gidiyor.”
Makine zekasının yetenek ve erişilebilirlik açısından daha da hızlanmasının beklendiğini ön gören Bell, metaverse yutturmacasının da abartılı olabileceğini düşünüyor, çünkü zaten içindeyiz ve bundan “bedenin altıncı hissi” olarak bahsediyor. “Dijital olarak bağlı olduğumuz için Metaverse’de yaşıyoruz.” diyen Bell, dijital sandalyelerde oturan avatarlarla temsil edilmenin henüz ana akım olmamasına rağmen, yakınlardaki bir binada alışveriş yapan nişanlısını ya da İsviçre’deki kızını anında arayabildiğine dikkat çekti.
Bell, 2021 yılında Acronis’teki CEO’luk görevini bıraktı ve şu anda şirketin baş araştırma sorumlusu ve yönetim kurulu üyesi olarak görev yapıyor ve vizyon, strateji ve yönetim kurulunu denetliyor.
Birçok finans kuruluşu, çevrimiçi bankacılık uygulamalarında belirli özelliklerin etkinleştirilmesi için çevrimiçi video doğrulamasını şart koşuyor. Peki, müşterinin güvenliği için yapılan bu işlem bizzat müşterinin zararına kullanılabilir mi? Söz konusu deepfake teknolojisi ise bu çok mümkün.
Mevcut bir görüntü veya videoda yer alan bir kişinin, yapay sinir ağları kullanarak bir başka kişinin görüntüsü ile değiştirildiği bir medya türü olan deepfake dolandırıcılar tarafından son zamanlarda oldukça sık kullanılan bir araç haline geldi.
Deepfake saldırılarının giderek daha fazla ortaya çıkması, kurumlar, finans kuruluşları, ünlüler, siyasi figürler ve hatta sıradan insanlar için tehdit ortamını önemli ölçüde yeniden şekillendiriyor. Deepfake kullanımı, ticari e-postaların ele geçirilmesi (BEC) ve kimlik doğrulama atlatma gibi saldırıları yeni boyutlara taşıyor. Birçok finans kuruluşu güvenlik adına müşterilerden görüntülü arama yoluna başvurabiliyor bu da suçlular için deepfake
Bu saldırıların başarılı olmasının birçok nedeni bulunuyor. Ancak en önemlisi kamuya açık görüntülerin sayısının, kötü niyetli aktörlerin deepfake teknolojilerini kullanarak milyonlarca sahte kimlik oluşturması için yeterli olması olarak görülüyor. Ayrıca Deepfake üretimi için kaynak kodu herkese açık durumda ve isteyen herkes tarafından kullanılabiliyor.
Suç çeteleri mevcut kara para aklama ve para kazanma planlarının etkinliğini artırmak için deepfake teknolojilerinin kullanımına başvurabiliyor.
Haber ve sosyal medya sitelerinde şüpheli SEO (arama motoru optimizasyonu) kampanyalarında (arama motoru optimizasyonu) ünlü kişilerin resimlerine rastlamak oldukça yaygın bir eğilim haline geldi. Reklamların bir şekilde seçilen ünlünün uzmanlığıyla ilgili olarak kamuya sunulduğu ve kullanıcıları yemlemek ve görsellerin altındaki linklere tıklamalarını sağlamak üzere özel olarak tasarlandığı hepimizin malumu.
DARK WEB FORUMLARININ POPÜLER TARTIŞMA KONUSU: DEEPFAKE
Bir takım reklam grupları bu tür medya içeriklerini yıllardır farklı para kazanma planlarında bir araç olarak kullanmakta. Ancak son zamanlarda bu reklamlarda ilginç gelişmelerin yanı sıra bu kampanyaları mümkün kılan teknolojilerde de bir değişim görülmekte.
Son dönemde birçok dijital medya ve SEO grubu, ünlü kişilerin deepfake modellerini oluşturmak için herkese açık olarak paylaşılan medya içeriğini kullanıyor. Bu gruplar ünlülerin ve fenomenlerin kişiliklerini onların rızası olmadan kullanmakta ve deepfake içerikleri farklı tanıtım kampanyaları için dağıtmaktadır.
Deepfake konusu yeraltı forumlarında oldukça popüler. Bu tartışma gruplarında birçok kullanıcının çevrimiçi bankacılık ve dijital finans doğrulamasını hedeflediği dikkat çekmekte. Bu hizmetlerle ilgilenen suçlular muhtemelen kurbanların kimlik belgelerinin kopyalarına hali hazırda sahipler, ancak hesapları çalmak veya oluşturmak için kurbanların videolu görüntülerine de ihtiyaç duyuyorlar. Bu noktada devreye Deepfake giriyor. Bu hesaplar daha sonra kara para aklama veya yasadışı finansal işlemler gibi kötü niyetli faaliyetler için kullanılabiliyor.
DEEPFAKE UZMANLARI ARANIYOR!
Doğrulama araç ve tekniklerini kullanan yeraltı suç saldırılarında kayda değer bir artış görülmekte. Örneğin, hesap doğrulama hizmetlerinin uzunca bir süredir mevcut olduğu biliniyor. Bununla birlikte, e-ticaret kimlik doğrulama için modern teknoloji ve çevrimiçi sohbet sistemlerini kullanarak geliştikçe, suçlular da tekniklerini geliştiriyor ve bu doğrulama planlarını atlamak için yeni yöntemler geliştiriyor.
2020’de ve 2021’in başlarında, bazı yeraltı forum kullanıcılarının kripto borsası ve kişisel hesaplar için “deepfake uzmanları” aradığı dikkat çekmişti.
Aslında, deepfake üretimi için bazı araçlar bir süredir çevrimiçi olarak, örneğin GitHub’da mevcut. Ayrıca deepfake ve deepfake tespiti için kullanılan araçların yeraltı forumlarında da dikkat çektiğini görüyoruz.
Kısa bir süre önce, kripto para borsası sitesi Binance’de bir iletişim yöneticisinin deepfake’i hakkında bir haber yayınlandı. Deepfake, Zoom görüşmelerinde kripto para birimi projelerinin temsilcilerini kandırmak için kullanıldı.
Ünlüler, üst düzey hükümet yetkilileri, tanınmış kurumsal figürler ve çevrimiçi olarak çok sayıda yüksek çözünürlüklü görüntü ve videoya sahip olan diğer kişiler en kolay hedef alınanlar arasında bulunuyor. Bu kişilerin yüzlerini ve seslerini kullanan sosyal mühendislik dolandırıcılıklarının halihazırda yaygınlaştığı görülmekte.
Araçlar ve mevcut deepfake teknolojisi göz önüne alındığında, ses ve video sahteciliği yoluyla kurbanları manipüle etmeyi amaçlayan daha fazla saldırı ve dolandırıcılık görmeyi bekleyebiliriz.
Peki Deepfake mevcut saldırıları, dolandırıcılıkları ve para kazanma planlarını nasıl etkileyebilir?
Trendmicro.com’dan Vladimir Kropotov, Fyodor Yarochkin, Craig Gibson ve Stephe Hilt deepfake kullanılarak yapılan mevcut saldırıların hem de yakın gelecekte bekleyebileceğimiz saldırıların bir listesini hazırladı:
Messenger dolandırıcılığı: Bir yatırım uzmanını taklit etmek ve para transferi için aramak yıllardır popüler bir dolandırıcılık türü ve artık suçlular görüntülü aramalarda deepfake kullanabiliyor. Örneğin, birinin kimliğine bürünüp arkadaşlarıyla ve ailesiyle iletişime geçerek para transferi talep edebiliyor ya da telefon bakiyelerine basit bir yükleme yapılmasını isteyebilirler.
BEC: Bu saldırı deepfake olmadan da oldukça başarılıydı. Artık saldırganlar aramalarda sahte videolar kullanabiliyor, yöneticilerin veya iş ortaklarının kimliğine bürünebiliyor ve para transferi talep edebiliyor.
Hesap açma: Suçlular kimlik doğrulama hizmetlerini atlamak ve çalıntı kimlik belgelerinin kopyalarını kullanarak başkaları adına bankalarda ve finans kurumlarında, hatta muhtemelen devlet hizmetlerinde hesaplar oluşturmak için deepfake kullanabilir. Bu suçlular bir kurbanın kimliğini kullanabilir ve genellikle görüntülü aramalar yoluyla yapılan doğrulama sürecini atlayabilir. Bu tür hesaplar daha sonra kara para aklama ve diğer kötü niyetli faaliyetlerde kullanılabilir.
Hesapların ele geçirilmesi: Suçlular görüntülü arama kullanarak kimlik tespiti gerektiren hesapları ele geçirebilir. Bir finansal hesabı ele geçirebilir ve kolayca para çekebilir veya transfer edebilirler. Bazı finans kurumları, çevrimiçi bankacılık uygulamalarında belirli özelliklerin etkinleştirilmesi için çevrimiçi video doğrulamasını şart koşmakta. Bu tür doğrulamalar da deepfake saldırılarının hedefi olabilir.
Şantaj: Kötü niyetli aktörler deepfake videoları kullanarak şantaj ve gasp türü saldırılar gerçekleştirebilir. Hatta deepfake teknolojileri kullanılarak oluşturulmuş sahte kanıtlar bile yerleştirebilirler.
Dezenformasyon kampanyaları: Deepfake videoları ayrıca daha etkili dezenformasyon kampanyaları oluşturmakta ve kamuoyunu manipüle etmek için kullanılabilmekte. Pompala ve boşalt şemaları gibi bazı saldırılar, tanınmış kişilerden gelen mesajlara dayanır. Artık bu mesajlar deepfake teknolojisi kullanılarak oluşturulabilir. Bu şemaların kesinlikle mali, siyasi ve hatta itibarla ilgili yansımaları olabilir.
Teknik destek dolandırıcılığı: Deepfake aktörleri sahte kimlikler kullanarak sosyal mühendislik yoluyla kullanıcıları ödeme bilgilerini paylaşmaya veya BT varlıklarına erişim sağlamaya yönlendirebilir.
Sosyal mühendislik saldırıları: Kötü niyetli aktörler, taklit edilen bir kişinin arkadaşlarını, ailelerini veya iş arkadaşlarını manipüle etmek için deepfake’leri kullanabilir.
Nesnelerin interneti (IoT) cihazlarının ele geçirilmesi: Amazon’un Alexa’sı ve diğer birçok akıllı telefon markası gibi ses veya yüz tanıma kullanan cihazlar, deepfake suçlularının hedef listesinde olacaktır.
PEKİ NE YAPMALI?
Trendmicro.com için söz konusu yazıyı kaleme alan teknoloji uzmanları bireysel kullanıcılar ve kuruluşlara deepfake saldırılarının etkisini ele almak ve azaltmak için ne yapmaları gerektiğine dair bir takım tüyolar da verdiler.
Kuruluşlar bir kullanıcının kimliğini üç temel faktörle doğrulamalı: kullanıcının sahip olduğu bir şey, kullanıcının bildiği bir şey ve kullanıcının olduğu bir şey. Bu sözkonusu “Bir şey” öğelerinin akıllıca seçildiğinden emin olun.
Gerçekleştirilecek personel farkındalık eğitimi ve müşterini tanı (KYC) ilkesi finans kuruluşları için olmazsa olmazdır. Deepfake teknolojisi mükemmel değildir ve bir kuruluşun personelinin araması gereken bazı kırmızı bayraklar vardır.
Sosyal medya kullanıcıları, yüksek kaliteli kişisel görüntülerinin açığa çıkmasını en aza indirmeli.
Hassas hesapların (örneğin banka veya şirket profilleri) doğrulanması için kullanıcılar, göz tanıma ve parmak izi gibi kamuya daha az açık olan biyometrik modellerin kullanımına öncelik vermeli.
Sorunu daha büyük ölçekte ele almak için önemli politika değişiklikleri gerekmekte. Bu politikalar, mevcut ve daha önce ifşa edilmiş biyometrik verilerin kullanımını ele almalı. Ayrıca siber suç faaliyetlerinin şu anki durumunu dikkate almalı ve geleceğe hazırlanmalı.
Alternatif taksi uygulaması Uber’i hedef alan ve kişisel bilgilerin sızmasına yol açan siber saldırıda MFA Fatigue (çok faktörlü kimlik doğrulaması yorgunluğu) taktiği ön plana çıktı.
1- SALDIRIDA HANGİ YÖNTEM KULLANILDI?
Genç bir hacker, Uber’in sistemlerine erişim sağladığını iddia etti ve saldırı veri ihlallerine yol açtı. Sözkonusu ihlalin boyutu tam olarak netleşmese de yöntemleri her geçen gün ortaya çıkıyor. Tehdit aktörünün ilk olarak şirkette çalışan bir kişiyi hedef aldığı ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama bildirimi göndermek suretiyle giriş yapmaya çalışan kişide oluşan “MFA Fatigue” zafiyetini istismar ettiği düşünülüyor.
Geçtiğimiz hafta araç paylaşım devi Uber “bir siber güvenlik olayına” müdahale ettiğini ve ihlalle ilgili olarak kolluk kuvvetleriyle temasa geçtiğini doğruladı. Saldırının sorumluluğunu 18 yaşında bir hacker olduğunu iddia eden bir kişi üstlendi. Saldırganın geçtiğimiz hafta perşembe gecesi Uber’in Slack kanalında “Merhaba bir hacker olduğumu ve Uber’in bir veri ihlali yaşadığını duyuruyorum” şeklinde bir paylaşımda bulunduğu bildirildi. Slack gönderisinde ayrıca, hackerın ihlal ettiğini iddia ettiği bir dizi Uber veritabanı ve bulut hizmeti de listelendi.
2-UBER’DE MEYDANA GELEN VERİ İHLALİNİN BOYUTLARI NE KADAR?
İhlali ilk olarak bildiren New York Times gazetesine göre, şirket Perşembe akşamı Slack ve diğer bazı dahili hizmetlere erişimi geçici olarak durdurdu. Cuma günü yapılan bir bilgi güncellemesinde ise şirket, “dün önlem olarak kaldırdığımız dahili yazılım araçları tekrar çevrimiçi hale getiriliyor” dedi. Uber ayrıca Cuma günü yaptığı açıklamada, geleneksel ihlal bildirim diline başvurarak, “olayın hassas kullanıcı verilerine (tarama geçmişi gibi) erişimi içerdiğine dair hiçbir kanıt olmadığını” söyledi. Ancak hacker tarafından sızdırılan ekran görüntüleri, Uber’in sistemlerinin derinlemesine ve kapsamlı bir şekilde tehlikeye atılmış olabileceğini ve saldırganın erişemediği bilgilerin fırsat bulamamaktan değil vakit sınırından kaynaklı olabileceğini ortaya koyuyor.
3-GEÇMİŞTEKİ BENZER BİR SALDIRI OLDU MU?
Ofansif güvenlik mühendisi Cedric Owens, hackerın şirkete sızmak için kullandığını iddia ettiği kimlik avı ve sosyal mühendislik taktikleri hakkında “Bu cesaret kırıcı ve Uber kesinlikle bu yaklaşımın işe yarayacağı tek şirket değil. Bu saldırıda şu ana kadar bahsedilen teknikler, ben de dahil olmak üzere pek çok Red Team üyesinin geçmişte kullandıklarına oldukça benziyor. Ne yazık ki, bu tür ihlaller artık beni şaşırtmıyor.” ifadelerini kullandı.
WIRED’ın görüşme taleplerine cevap vermeyen saldırgan, ilk olarak bireysel bir çalışanı hedef alarak ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama giriş bildirimleri göndererek şirket sistemlerine erişim sağladığını iddia ediyor. Hacker, bir saatten fazla bir süre sonra aynı hedefle WhatsApp üzerinden iletişime geçerek Uber BT çalışanı gibi davrandığını ve hedefin oturum açmayı onaylamasıyla çok faktörlü kimlik doğrulaması bildirimlerinin kesileceğini söylediğini iddia etti.
4-SALDIRI SİSTEMİ HANGİ ZAFİYETLERE AÇIK HALE GETİRDİ?
“MFA (çok faktörlü kimlik doğrulaması) yorgunluğu” veya “tükenme” saldırıları olarak bilinen bu tür saldırılar, hesap sahiplerinin rastgele oluşturulmuş bir parola oluşturmak gibi yollardan ziyade cihazlarındaki bir anlık bildirim yoluyla oturum açmayı onaylamaları gereken kimlik doğrulama sistemlerinden yararlanıyor.
MFA-istekli kimlik avları saldırganlar arasında giderek daha popüler hale geliyor. Her geçen gün daha fazla şirket iki faktörlü kimlik doğrulamasını kullandıkça hackerlar, bunu aşmak için kimlik avı saldırılarını giderek daha fazla geliştirdiler. Örneğin son Twilio ihlali, çok faktörlü kimlik doğrulama hizmetleri sağlayan bir şirketin kendisi tehlikeye girdiğinde sonuçların ne kadar korkunç olabileceğini gösterdi. Sisteme giriş için fiziksel kimlik doğrulama anahtarları gerektiren kuruluşlar, bu tür uzaktan sosyal mühendislik saldırılarına karşı kendilerini savunmada başarılı oldular.
5-SALDIRGANLAR SİSTEME SIZDIKTAN SONRA HANGİ HESAPLARA ERİŞİM SAĞLADI?
“Sıfır güven” ifadesi güvenlik sektöründe anlamsızlaşan bir moda sözcük haline gelse de Uber ihlali sıfır güvenin en azından ne olmadığının bir örneğini ortaya koymuş oldu. Saldırgan şirket içinde ilk erişimi sağladıktan sonra, Microsoft’un otomasyon ve yönetim programı PowerShell için komut dosyaları da dahil olmak üzere ağ üzerinde paylaşılan kaynaklara erişebildiklerini iddia ediyorlar. Saldırganlar, komut dosyalarından birinin erişim yönetim sistemi Thycotic’in bir yönetici hesabı için sabit kodlanmış kimlik bilgileri içerdiğini söyledi.
Saldırgan bu hesabın kontrolünü ele geçirerek Amazon Web Services, Google GSuite, VMware vSphere dashboard, kimlik doğrulama yöneticisi Duo ve kritik kimlik ve erişim yönetimi hizmeti OneLogin dahil olmak üzere Uber’in bulut altyapısı için erişim jetonu elde edebildiklerini iddia etti. Saldırgan tarafından sızdırılan ekran görüntüleri, OneLogin de dahil olmak üzere bu derin erişim iddialarını destekliyor.
