Siber güvenlik araştırmacıları, “tedarik zinciri saldırısı” olarak bilinen SolarWinds siber saldırısını araştırmaya devam ederken, Teksas merkezli yazılım firmasının üst düzey yöneticileri, saldırının zayıf parola kullanan bir stajyerden kaynaklandığını duyurdu.
“solarwinds123” şeklindeki söz konusu parolanın yanlış yapılandırmanın ortaya çıkarıldığı 22 Kasım 2019 tarihinden önce 17 Haziran 2018’den bu yana bir GitHub deposu aracılığıyla kamuya açık olduğuna inanılıyordu. Ancak geçtiğimiz cuma günü Senato’da düzenlenen oturumda SolarWinds’in CEO’su Sudhakar Ramakrishna, parolanın 2017’nin başından beri kullanımda olduğunu ifade etti.
Saldırı ile ilgili ön soruşturma, casusluk kampanyasının arkasındaki saldırganların, ‘Sunburst’ kötü amaçlı yazılımı yüklemek için Ekim 2019’da SolarWinds Orion platformunun yazılım oluşturma ve kod imzalama alt yapısını ele geçirmeyi başardığını ortaya çıkarırken, Crowdstrike’ın saldırıya müdahale ekipleri, 4 Eylül 2019’da SolarWinds ağına ilk sızmayı tespit eden revize edilmiş bir zaman çizelgesine işaret etti.
Kolay Erişim
EN AZ 9 DEVLET KURULUŞU HEDEF ALINDI
Bugüne kadar, en az dokuz devlet kurumu ve 100 özel şirkete, müşterilerin gizliliğini ihlal etme amacıyla düzenlenen saldırı, Orion Software Platform’a kötü amaçlı yazılımın yüklenmesini içeren gelmiş geçmiş en sofistike ve iyi planlanmış operasyonlardan biri olarak tanımlanıyor.
ABD Temsilciler Meclisi’nin Kaliforniya Temsilcisi Katie Porter, “Çok fazla Youtube izlemelerini engellemek için çocuklarımın tabletlerine koyduğum parola bile ‘solarwinds123’ den daha güçlü” şeklinde açıklama yaptı.
SolarWinds saldırısında binden fazla hackerın parmak izi var
PAROLA POLİTİKALARIMIZI İHLAL ETTİLER
Ramakrishna, Porter’a cevaben yaptığı açıklamada “Bunun, 2017’de bir stajyerin güvenlik ekibimize bildirilir bildirilmez kaldırılan ve sunucularından birinde kullandığı bir parola olduğuna inanıyorum” dedi. Eski CEO Kevin Thompson da Ramakrishna’nın ifadesini tekrarladı. Thompson,” Bir stajyerin yaptığı hatayla ilgili bir sorun yaşadık. Parola politikalarımızı ihlal ettiler ve bu parolayı kendi özel GitHub hesabına gönderdiler ” dedi.
Güvenlik araştırmacısı Vinoth Kumar, geçtiğimiz aralık ayında şirketi halka açık bir GitHub deposu konusunda uyarmıştı. Söz konusu GitHub deposu şirketin indirme web sitesinin FTP kimlik bilgilerini sızdırıyordu. Bu da bir hackera zararlı bir çalıştırılabilir dosya yükleme ve bunu bir SolarWinds güncellemesine ekleme imkanı veriyor. Saldırının açığa çıkarılmasını takip eden haftalarda, SolarWinds’e Ocak 2021’de toplu dava açıldı. Davanın gerekçesi şirketin 2020’nin ortalarından bu yana, SolarWinds Orion takip ürünlerinin hackerlara bu ürünlerin çalıştığı sunucuyu ele geçirmesine izin veren bir güvenlik açığına sahip olması ve “SolarWinds güncelleme sunucusunun solarwinds123 gibi kolayca erişilebilen bir parolaya sahip olması idi.
NASA VE FAA DA HEDEF ALINDI
Operasyonun arkasındaki tehdit aktörünün hedeflerini dikkatli bir şekilde seçmiş olsa da SolarWinds’in 18 bine yakın müşterisinin truva atı haline getirilmiş Orion güncellemesi aldığına inanılıyor. Saldırganların Microsoft, FireEye, Malwarebytes, CrowdStrike ve Mimecast ağlarına sızmanın yanı sıra, Solarwinds’i Ulusal Havacılık ve Uzay Dairesi (NASA) ve Federal Havacılık Dairesi’ne (FAA) sızmak için bir atlama noktası olarak kullandığı belirtiliyor. Gizliliği ihlal edilen diğer yedi kurumun Adalet, Ticaret, İç Güvenlik, Enerji, Hazine bakanlıkları ile Ulusal Sağlık Enstitüleri olduğu açıklandı.
Microsoft Başkanı Brad Smith, senatoda düzenlenen oturumda yaptığı açıklamada, ek olarak, diğer ülkelerdeki kamu ve özel sektör mağdurlarını belirlediklerini ve bulut göçünün Amerika Birleşik Devletleri’nde olduğu kadar gelişmiş olmadığı dünyanın diğer bölgelerinde henüz tespit edilmemiş başka mağdurların olduğuna inandıklarını ifade etti.
Rus orijinli olduğu iddia edilen tehdit grubu, UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) ve Dark Halo (Volexity) dahil olmak üzere farklı takma adlar altındatakip ediliyor.
Ulusal Güvenlik Danışmanı Yardımcısı Anne Neuberger, geçen ay Beyaz Saray’da yaptığı açıklamada, hackerların içeriden bir saldırı başlattıklarını bunun da ABD hükümetinin faaliyetlerini gözlemlemesini zorlaştırdığını söylemişti. “Bu, izlerini gizlemek için elinden gelenin en iyisini yapan sofistike bir aktör. Bu saldırıyı planlamanın ve gerçekleştirmenin aylar sürdüğünü düşünüyoruz.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz