Etiket arşivi: Orion

Siber Saldırılar

ABD’yi sarsan SolarWinds saldırısının faili bulundu: Zayıf parola belirleyen stajyer

Yorum yapın

Siber güvenlik araştırmacıları, “tedarik zinciri saldırısı” olarak bilinen SolarWinds siber saldırısını araştırmaya devam ederken, Teksas merkezli yazılım firmasının üst düzey yöneticileri, saldırının zayıf parola kullanan bir stajyerden kaynaklandığını duyurdu.

“solarwinds123” şeklindeki söz konusu parolanın yanlış yapılandırmanın ortaya çıkarıldığı 22 Kasım 2019 tarihinden önce 17 Haziran 2018’den bu yana bir GitHub deposu aracılığıyla kamuya açık olduğuna inanılıyordu. Ancak geçtiğimiz cuma günü Senato’da düzenlenen oturumda SolarWinds’in CEO’su Sudhakar Ramakrishna, parolanın 2017’nin başından beri kullanımda olduğunu ifade etti.

Saldırı ile ilgili ön soruşturma, casusluk kampanyasının arkasındaki saldırganların, ‘Sunburst’ kötü amaçlı yazılımı yüklemek için Ekim 2019’da SolarWinds Orion platformunun yazılım oluşturma ve kod imzalama alt yapısını ele geçirmeyi başardığını ortaya çıkarırken, Crowdstrike’ın saldırıya müdahale ekipleri, 4 Eylül 2019’da SolarWinds ağına ilk sızmayı tespit eden revize edilmiş bir zaman çizelgesine işaret etti.

EN AZ 9 DEVLET KURULUŞU HEDEF ALINDI

Bugüne kadar, en az dokuz devlet kurumu ve 100 özel şirkete, müşterilerin gizliliğini ihlal etme amacıyla düzenlenen saldırı, Orion Software Platform’a kötü amaçlı yazılımın yüklenmesini içeren gelmiş geçmiş en sofistike ve iyi planlanmış operasyonlardan biri olarak tanımlanıyor.

ABD Temsilciler Meclisi’nin Kaliforniya Temsilcisi Katie Porter, “Çok fazla Youtube izlemelerini engellemek için çocuklarımın tabletlerine koyduğum parola bile ‘solarwinds123’ den daha güçlü” şeklinde açıklama yaptı.

ABD’nin IŞİD’i hackediği operasyon: Teknolojiyle Psikolojik Harbin birleşimi: Glowing Symphony

 

PAROLA POLİTİKALARIMIZI İHLAL ETTİLER

Ramakrishna, Porter’a cevaben yaptığı açıklamada “Bunun, 2017’de bir stajyerin güvenlik ekibimize bildirilir bildirilmez kaldırılan ve sunucularından birinde kullandığı bir parola olduğuna inanıyorum” dedi. Eski CEO Kevin Thompson da Ramakrishna’nın ifadesini tekrarladı.  Thompson,” Bir stajyerin yaptığı hatayla ilgili bir sorun yaşadık. Parola politikalarımızı ihlal ettiler ve bu parolayı kendi özel GitHub hesabına gönderdiler ” dedi. 

Güvenlik araştırmacısı Vinoth Kumar, geçtiğimiz aralık ayında şirketi halka açık bir GitHub deposu konusunda uyarmıştı. Söz konusu GitHub deposu şirketin indirme web sitesinin FTP kimlik bilgilerini sızdırıyordu. Bu da bir hackera  zararlı bir çalıştırılabilir dosya yükleme ve bunu bir SolarWinds güncellemesine ekleme imkanı veriyor. Saldırının açığa çıkarılmasını takip eden haftalarda, SolarWinds’e Ocak 2021’de toplu dava açıldı. Davanın gerekçesi şirketin 2020’nin ortalarından bu yana, SolarWinds Orion takip ürünlerinin hackerlara bu ürünlerin çalıştığı sunucuyu ele geçirmesine izin veren bir güvenlik açığına sahip olması ve “SolarWinds güncelleme sunucusunun solarwinds123 gibi kolayca erişilebilen bir parolaya sahip olması idi. 

NASA VE FAA DA HEDEF ALINDI

Operasyonun arkasındaki tehdit aktörünün hedeflerini dikkatli bir şekilde seçmiş olsa da SolarWinds’in 18 bine yakın müşterisinin truva atı haline getirilmiş Orion güncellemesi aldığına inanılıyor. Saldırganların Microsoft, FireEye, Malwarebytes, CrowdStrike ve Mimecast ağlarına sızmanın yanı sıra, Solarwinds’i Ulusal Havacılık ve Uzay Dairesi (NASA) ve Federal Havacılık Dairesi’ne (FAA) sızmak için bir atlama noktası olarak kullandığı belirtiliyor. Gizliliği ihlal edilen diğer yedi kurumun Adalet, Ticaret, İç Güvenlik, Enerji, Hazine bakanlıkları ile Ulusal Sağlık Enstitüleri olduğu açıklandı.

Microsoft Başkanı Brad Smith, senatoda düzenlenen oturumda yaptığı açıklamada, ek olarak, diğer ülkelerdeki kamu ve özel sektör mağdurlarını belirlediklerini ve bulut göçünün Amerika Birleşik Devletleri’nde olduğu kadar gelişmiş olmadığı dünyanın diğer bölgelerinde henüz tespit edilmemiş başka mağdurların olduğuna inandıklarını ifade etti. 

Rus orijinli olduğu iddia edilen tehdit grubu, UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) ve Dark Halo (Volexity) dahil olmak üzere farklı takma adlar altındatakip ediliyor.

Ulusal Güvenlik Danışmanı Yardımcısı Anne Neuberger, geçen ay Beyaz Saray’da yaptığı açıklamada, hackerların içeriden bir saldırı başlattıklarını bunun da ABD hükümetinin faaliyetlerini gözlemlemesini zorlaştırdığını söylemişti.  “Bu, izlerini gizlemek için elinden gelenin en iyisini yapan sofistike bir aktör. Bu saldırıyı planlamanın ve gerçekleştirmenin aylar sürdüğünü düşünüyoruz.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Siber Saldırılar

SolarWinds karşı atağa geçti: Şirketten iki kritik transfer

Yorum yapın

Kimi teknoloji şirketlerine göre farklı adlandırılsa da literatüre ‘SolarWinds Saldırısı’ olarak geçen, son yılların en büyük siber saldırısının ardından ABD’li yazılım şirketi SolarWinds’ten yeni hamleler geldi. Şirket, olayın yaralarını sarmak ve güvenlik açıklarını minimize etmek için eski resmi siber güvenlik yetkilisi Chris Krebs ve eski Facebook güvenlik yöneticilerinden Alex Stamos’u danışmanlık görevine getirdi.

SolarWinds’in ürettiği ağ izleme ve yönetme platformu Orion’u hedef alan hackerlar, ürün için güncelleme yazılımı sağlayan servise zararlı yazılım yerleştirerek Orion’un yeni güncellemesini yükleyen kullanıcıların ağlarına sızmayı başarmıştı.

Şirketin binlerce müşterisi söz konusu zararlı yazılımın bulunduğu güncellemeyi yükleyerek bu saldırıdan etkilenmişti. Zararlı yazılımın belli hedeflerde aktif hale gelmesi ‘hedeflenmiş bir saldırı’ olasılığını gündeme getirirken ABD’li yetkililerce olayın arkasında Rus hackerların olduğu vurgulanmıştı.

SolarWinds ŞİRKETİ YENİ TAKVİYELER YAPIYOR

Firma, ağ yönetimi yazılımının arka kapı sürümlerine izinsiz girişleri değerlendirmesi ve ileriye dönük korumasına yardımcı olması için CrowdStrike şirketiyle daha önce anlaşmıştı.

SolarWinds, gerçekleştirilen saldırıdan sonra yaralarını sararken önemli takviyeler yapmaya devam ediyor. ABD Başkanlık seçimlerinde Donald Trump’ın ‘oy sayma makinelerinde usulsüzlük yapıldığı’ iddiasını reddeden ve yaptığı açıklamayla başkan tarafından görevine son verilen eski ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Direktörü Chris Krebs ve Facebook eski baş güvenlik sorumlusu Alex Stamos, ‘danışman’ sıfatıyla şirkete rehberlik edecek.

ABD’nin IŞİD’i hackediği operasyon: Teknolojiyle Psikolojik Harbin birleşimi: Glowing Symphony

SolarWinds şirketinden yapılan açıklamada, “Bu saldırıdan ders alarak, güvenlik uygulamalarımızı, duruşumuzu ve politikalarımızı geliştirmemize yardımcı olacak, sektörde lider konuma ve güvenli bir yazılım geliştirme şirketine dönüşme yolculuğumuzda alanının en iyi rehberliğini sağlamaları için Chris Krebs ve Alex Stamos’u göreve getirdik.” ifadeleri kullanıldı.

NEDEN CHRİS KREBS VE ALEX STAMOS?

Danışmanlık görevi üstlenen Stamos ve Krebs, daha önceden de Rus hackerların arkasında olduğu saldırılara aşina. Eski bir Microsoft çalışanı olan ve daha sonra ABD siber güvenlik ekibinin başında yer alan Krebs, Rus hackerlar konusunda gayet bilgili.

2014 yılında Rus hackerların 500 milyon Yahoo kullanıcısının hesaplarını ele geçirdiği iddia edilen Yahoo’da güvenlik yöneticisi olarak görev alan Stamos’un da Rus hackerlar konusunda Krebs’ten geri kalmıyor. Halihazırda Stanford’da akademisyen olarak kariyerini sürdüren Stamos, koronavirüs salgını sonrası değişen çalışma biçimiyle hızla büyüyen video konferans şirketi Zoom’a da güvenlik konularında danışmanlık yapmıştı.

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz