Açıklama: Yeni bir araç seti kullanılarak ABD'de büyük bir siber saldırı
ABD devlet kurumlarını ve özel şirketleri hedef alan en büyük siber saldırılardan biri olan 'SolarWinds hack' olası bir küresel çaba olarak görülüyor. Nasıl gerçekleştirildi ve ne tür veriler tehlikeye atıldı? ABD hükümet yetkilileri ve politikacıları neden Rusya'yı seçti?

Yakın zamanda Amerika Birleşik Devletleri'nde keşfedilen bir siber saldırı olan 'SolarWinds hack', bunlardan biri olarak ortaya çıktı. gelmiş geçmiş en büyük ABD hükümetine, ajanslarına ve diğer bazı özel şirketlere karşı hedef alındı. Aslında, muhtemelen küresel bir siber saldırıdır.
İlk olarak ABD siber güvenlik şirketi FireEye tarafından keşfedildi ve o zamandan beri her gün daha fazla gelişme ortaya çıkmaya devam ediyor. ABD Hazinesi, İç Güvenlik Bakanlığı, Ticaret Bakanlığı ve Pentagon'un bazı bölümlerinin etkilendiğine inanılsa da, siber saldırının tam ölçeği bilinmiyor.
içinde görüş parçası için yazılmış New York Times Başkan Donald Trump'ın İç Güvenlik Danışmanı olan Thomas P Bossert, saldırı için Rusya'yı seçti. SolarWinds saldırı noktalarında, ticari zanaatları dünyanın en gelişmişleri arasında yer alan SVR olarak bilinen Rus istihbarat teşkilatına kanıt yazdı. Kremlin müdahaleyi yalanladı.
Peki, bu 'SolarWinds hack' nedir?
Siber saldırıyla ilgili haberler, teknik olarak ilk kez 8 Aralık'ta, FireEye'ın sistemlerine yönelik bir saldırı tespit eden bir blog yayınlamasıyla patlak verdi. Firma, birkaç büyük özel şirketin ve federal devlet kurumunun güvenlik yönetimine yardımcı olur.
FireEye CEO'su Kevin Mandia bir blog yazısında, şirketin son derece sofistike bir tehdit aktörü tarafından saldırıya uğradığını söyleyerek, Rusya'yı isimlendirmese de devlet destekli bir saldırı olarak nitelendirdi. Saldırının üst düzey saldırı yeteneklerine sahip bir ülke tarafından gerçekleştirildiğini ve saldırganın öncelikle belirli devlet müşterileri ile ilgili bilgileri aradığını söyledi. Ayrıca saldırganların kullandığı yöntemlerin yeni olduğunu söyledi.
Ardından 13 Aralık'ta FireEye, Kampanya UNC2452 adını verdiği siber saldırının şirketle sınırlı olmadığını, dünya çapında çeşitli kamu ve özel kuruluşları hedef aldığını söyledi. Gönderi, kampanyanın muhtemelen Mart 2020'de başladığını ve aylardır devam ettiğini söyledi. Daha da kötüsü, saldırının ölçeğinin hala keşfedildiği göz önüne alındığında, çalınan veya tehlikeye atılan verilerin kapsamı hala bilinmiyor. Sistemler tehlikeye girdikten sonra yanal hareket ve veri hırsızlığı gerçekleşti.
ŞİMDİ KATIL :Ekspres Açıklamalı Telegram KanalıBu kadar çok ABD devlet kurumu ve şirketi nasıl saldırıya uğradı?
Buna 'Tedarik Zinciri' saldırısı deniyor: Bilgisayar korsanları, doğrudan federal hükümete veya özel bir kuruluşun ağına saldırmak yerine, kendilerine yazılım sağlayan üçüncü taraf bir satıcıyı hedef alıyor. Bu durumda hedef, Teksas merkezli SolarWinds şirketi tarafından sağlanan Orion adlı bir BT yönetim yazılımıydı.
Orion, SolarWinds'in 33.000'den fazla şirketi içeren müşterileri ile baskın bir yazılımı olmuştur. SolarWinds, 18.000 müşterisinin etkilendiğini söylüyor. Bu arada, şirket resmi web sitelerinden müşteri listesini sildi.
Google'ın Web Arşivlerinden de temizlenen sayfaya göre, listede ABD'nin en büyük 10 telekom operatörü olan Fortune 500'de 425 şirket yer alıyor. Bir New York Times raporu, Pentagon, Hastalık Kontrol ve Önleme Merkezleri, Dışişleri Bakanlığı, Adalet Bakanlığı ve diğerlerinin bazı bölümlerinin etkilendiğini söyledi.
Microsoft, üretim hizmetlerine veya müşteri verilerine erişim kanıtı bulunmadığını veya sistemlerinin başkalarına saldırmak için kullanıldığını eklemesine rağmen, sistemlerinde kötü amaçlı yazılım olduğuna dair kanıt bulduğunu doğruladı. Microsoft başkanı Brad Smith, şirketin 40'tan fazla müşteriye saldırganların daha kesin bir şekilde hedef aldığını ve tehlikeye girdiğini bildirmeye başladığını söyledi.
Bir Reuters raporu, İç Güvenlik Bakanlığı yetkilileri tarafından gönderilen e-postaların bile bilgisayar korsanları tarafından izlendiğini söyledi.
Nasıl erişim sağladılar?
FireEye'e göre, bilgisayar korsanları, SolarWinds'in Orion BT izleme ve yönetim yazılımında truva atlı güncellemeler aracılığıyla kurbanlara erişim sağladı. Temel olarak, 'Sunburst' kötü amaçlı yazılımını Orion'a yüklemek için bir yazılım güncellemesinden yararlanıldı ve daha sonra 17.000'den fazla müşteri tarafından yüklendi.
FireEye, saldırganların tespit edilmekten kaçınmak ve faaliyetlerini gizlemek için birden fazla tekniğe güvendiğini söylüyor. Kötü amaçlı yazılım, sistem dosyalarına erişme yeteneğine sahipti. FireEye'e göre, kötü amaçlı yazılımın lehine olan şey, meşru SolarWinds etkinliğiyle uyum sağlayabilmesiydi.
Kötü amaçlı yazılım yüklendikten sonra, bilgisayar korsanlarına SolarWinds müşterilerinin sistemlerine ve ağlarına bir arka kapı girişi sağladı. Daha da önemlisi, kötü amaçlı yazılım, onu algılayabilecek anti-virüs gibi araçları da engelleyebildi.
Rusya nereden geliyor?
Bossert, NYT'deki görüş yazısında, Rusya'yı ve bu tür bir ustalık ve ölçekte saldırıyı gerçekleştirme kabiliyetine sahip olan ajansı SVR'yi adlandırdı.
Microsoft, blogunda, saldırının bu yönünün, Rusya dışındaki birçok büyük ulusal başkente ulaşan, neredeyse küresel öneme sahip bir tedarik zinciri güvenlik açığı oluşturduğunu belirtiyor. Rusya'dan gelen sofistike saldırıların yaygınlaştığını eklemeye devam ediyor.
Ancak FireEye, Rusya'yı henüz sorumlu olarak adlandırmadı ve FBI, Microsoft ve adı açıklanmayan diğer kilit ortaklarla devam eden bir soruşturma olduğunu söyledi.
|Kadınlar koronavirüse izin veren protein tarafından nasıl korunuyor?SolarWinds ve ABD hükümeti hack hakkında ne dedi?
Şu anda SolarWinds, tüm müşterilerin bu kötü amaçlı yazılım için bir düzeltme eki olan mevcut Orion platformunu hemen güncellemelerini tavsiye ediyor. Bir ortamda saldırgan etkinliği keşfedilirse, kapsamlı bir araştırma yürütmenizi ve etkilenen ortamın araştırma bulguları ve ayrıntılarıyla yönlendirilen bir düzeltme stratejisi tasarlamanızı ve yürütmenizi öneririz.
Güncelleme yapamayanlara SolarWinds sunucularını izole etmeleri söylenir ve buna SolarWinds sunucularından tüm İnternet çıkışlarının engellenmesini de içermesi gerekir. Minimum öneri, SolarWinds sunucularına / altyapısına erişimi olan hesaplar için değişen şifrelerdir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), tüm federal sivil kurumların ağlarını uzlaşma göstergeleri için gözden geçirmelerini isteyen bir Acil Durum Yönergesi 21-01 yayınladı. SolarWinds Orion ürünlerinin bağlantısını hemen kesmelerini veya kapatmalarını istedi.
FBI, CISA ve Ulusal İstihbarat Direktörü ofisi ortak bir bildiri yayınladı ve hükümetin krize yanıtını koordine etmek için 'Siber Birleşik Koordinasyon Grubu (UCG)'ni duyurdu. Açıklama, bunu önemli ve devam eden bir siber güvenlik kampanyası olarak adlandırıyor.
Beyaz Saray ve Başkan Donald Trump sessiz kaldı. Senatör Mitt Romney, SiriusXM radyosundan gazeteci Olivier Knox'a yaptığı ve bu saldırıyı, ABD'nin siber savaş zayıflığını ortaya çıkaran, ülkenin dört bir yanında tespit edilmeden uçan Rus bombardıman uçaklarına benzettiği yorumlarında en iyi şekilde özetledi. Beyaz Saray'ın sessizliğinin ve hareketsizliğinin affedilemez olduğunu söyledi.
Demokrat Senatör Richard Blumenthal tweet attı: Rusya'nın siber saldırısı beni derinden endişelendirdi, hatta düpedüz korkuttu.
Cumhurbaşkanı seçilen Joe Biden yaptığı açıklamada şunları söyledi: İyi bir savunma yeterli değil; Her şeyden önce, rakiplerimizin önemli siber saldırılar gerçekleştirmesini engellemeli ve caydırmalıyız.
Arkadaşlarınla Paylaş: