1- SALDIRIDA HANGİ YÖNTEM KULLANILDI?
Genç bir hacker, Uber’in sistemlerine erişim sağladığını iddia etti ve saldırı veri ihlallerine yol açtı. Sözkonusu ihlalin boyutu tam olarak netleşmese de yöntemleri her geçen gün ortaya çıkıyor. Tehdit aktörünün ilk olarak şirkette çalışan bir kişiyi hedef aldığı ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama bildirimi göndermek suretiyle giriş yapmaya çalışan kişide oluşan “MFA Fatigue” zafiyetini istismar ettiği düşünülüyor.
Geçtiğimiz hafta araç paylaşım devi Uber “bir siber güvenlik olayına” müdahale ettiğini ve ihlalle ilgili olarak kolluk kuvvetleriyle temasa geçtiğini doğruladı. Saldırının sorumluluğunu 18 yaşında bir hacker olduğunu iddia eden bir kişi üstlendi. Saldırganın geçtiğimiz hafta perşembe gecesi Uber’in Slack kanalında “Merhaba bir hacker olduğumu ve Uber’in bir veri ihlali yaşadığını duyuruyorum” şeklinde bir paylaşımda bulunduğu bildirildi. Slack gönderisinde ayrıca, hackerın ihlal ettiğini iddia ettiği bir dizi Uber veritabanı ve bulut hizmeti de listelendi.
2-UBER’DE MEYDANA GELEN VERİ İHLALİNİN BOYUTLARI NE KADAR?
İhlali ilk olarak bildiren New York Times gazetesine göre, şirket Perşembe akşamı Slack ve diğer bazı dahili hizmetlere erişimi geçici olarak durdurdu. Cuma günü yapılan bir bilgi güncellemesinde ise şirket, “dün önlem olarak kaldırdığımız dahili yazılım araçları tekrar çevrimiçi hale getiriliyor” dedi. Uber ayrıca Cuma günü yaptığı açıklamada, geleneksel ihlal bildirim diline başvurarak, “olayın hassas kullanıcı verilerine (tarama geçmişi gibi) erişimi içerdiğine dair hiçbir kanıt olmadığını” söyledi. Ancak hacker tarafından sızdırılan ekran görüntüleri, Uber’in sistemlerinin derinlemesine ve kapsamlı bir şekilde tehlikeye atılmış olabileceğini ve saldırganın erişemediği bilgilerin fırsat bulamamaktan değil vakit sınırından kaynaklı olabileceğini ortaya koyuyor.
3-GEÇMİŞTEKİ BENZER BİR SALDIRI OLDU MU?
Ofansif güvenlik mühendisi Cedric Owens, hackerın şirkete sızmak için kullandığını iddia ettiği kimlik avı ve sosyal mühendislik taktikleri hakkında “Bu cesaret kırıcı ve Uber kesinlikle bu yaklaşımın işe yarayacağı tek şirket değil. Bu saldırıda şu ana kadar bahsedilen teknikler, ben de dahil olmak üzere pek çok Red Team üyesinin geçmişte kullandıklarına oldukça benziyor. Ne yazık ki, bu tür ihlaller artık beni şaşırtmıyor.” ifadelerini kullandı.
WIRED’ın görüşme taleplerine cevap vermeyen saldırgan, ilk olarak bireysel bir çalışanı hedef alarak ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama giriş bildirimleri göndererek şirket sistemlerine erişim sağladığını iddia ediyor. Hacker, bir saatten fazla bir süre sonra aynı hedefle WhatsApp üzerinden iletişime geçerek Uber BT çalışanı gibi davrandığını ve hedefin oturum açmayı onaylamasıyla çok faktörlü kimlik doğrulaması bildirimlerinin kesileceğini söylediğini iddia etti.
4-SALDIRI SİSTEMİ HANGİ ZAFİYETLERE AÇIK HALE GETİRDİ?
“MFA (çok faktörlü kimlik doğrulaması) yorgunluğu” veya “tükenme” saldırıları olarak bilinen bu tür saldırılar, hesap sahiplerinin rastgele oluşturulmuş bir parola oluşturmak gibi yollardan ziyade cihazlarındaki bir anlık bildirim yoluyla oturum açmayı onaylamaları gereken kimlik doğrulama sistemlerinden yararlanıyor.
MFA-istekli kimlik avları saldırganlar arasında giderek daha popüler hale geliyor. Her geçen gün daha fazla şirket iki faktörlü kimlik doğrulamasını kullandıkça hackerlar, bunu aşmak için kimlik avı saldırılarını giderek daha fazla geliştirdiler. Örneğin son Twilio ihlali, çok faktörlü kimlik doğrulama hizmetleri sağlayan bir şirketin kendisi tehlikeye girdiğinde sonuçların ne kadar korkunç olabileceğini gösterdi. Sisteme giriş için fiziksel kimlik doğrulama anahtarları gerektiren kuruluşlar, bu tür uzaktan sosyal mühendislik saldırılarına karşı kendilerini savunmada başarılı oldular.
5-SALDIRGANLAR SİSTEME SIZDIKTAN SONRA HANGİ HESAPLARA ERİŞİM SAĞLADI?
“Sıfır güven” ifadesi güvenlik sektöründe anlamsızlaşan bir moda sözcük haline gelse de Uber ihlali sıfır güvenin en azından ne olmadığının bir örneğini ortaya koymuş oldu. Saldırgan şirket içinde ilk erişimi sağladıktan sonra, Microsoft’un otomasyon ve yönetim programı PowerShell için komut dosyaları da dahil olmak üzere ağ üzerinde paylaşılan kaynaklara erişebildiklerini iddia ediyorlar. Saldırganlar, komut dosyalarından birinin erişim yönetim sistemi Thycotic’in bir yönetici hesabı için sabit kodlanmış kimlik bilgileri içerdiğini söyledi.
Saldırgan bu hesabın kontrolünü ele geçirerek Amazon Web Services, Google GSuite, VMware vSphere dashboard, kimlik doğrulama yöneticisi Duo ve kritik kimlik ve erişim yönetimi hizmeti OneLogin dahil olmak üzere Uber’in bulut altyapısı için erişim jetonu elde edebildiklerini iddia etti. Saldırgan tarafından sızdırılan ekran görüntüleri, OneLogin de dahil olmak üzere bu derin erişim iddialarını destekliyor.
