OzzTech - SolarWinds APT Teknik Satıcıları Hedefliyor

SolarWinds APT Teknik Satıcıları Hedefliyor

SolarWinds APT Teknik Satıcıları Hedefliyor

SolarWinds APT, En Son Tedarik Zinciri Siber Saldırılarında Teknik Satıcıları Hedefliyor

Rusya'nın casus ajansına bağlı Nobelium grubu, bayileri değerli alt müşterilerinin arasına sızmak için bir yol olarak kullanmayı amaçlıyor ve bunu başarıyor.

Nobelium olarak bilinen gelişmiş bir kalıcı tehdit SolarWinds APT saldırganları, bu kez hedeflerine saldırmak için teknoloji hizmetleri topluluğunu kullanarak yeni bir tedarik zinciri için izinsiz giriş dalgası başlattı.

Araştırmacılar, faaliyetin şimdiye kadar Kuzey Amerika ve Avrupa'daki kurbanları etkilediğini ve hedefin Nobelium, Rus hükümetinin SVR olarak bilinen dış istihbarat servisiyle bağlantılı casusluk olduğunu söyledi.

Yapılan analizlere göre Nobelium bir güvenlik açığından yararlanmıyor veya SolarWinds'de olduğu gibi yasal kodu truva atı olarak kullanmıyor. Bunun yerine, yasal hesap kimlik bilgilerini ve bayi ağlarına ayrıcalıklı erişim toplamak için kimlik bilgisi doldurma ve kimlik avı gibi denenmiş ve gerçek taktiklerin yanı sıra API kötüye kullanımı ve belirteç hırsızlığı kullanarak bayi ağlarına sızıyor.

Oradan, Nobelium, akış yönündeki bayi müşterilerinin ağlarının içine dönmeye ve inmeye çalışır. Araştırmacılar, bir bayi ağının içine girdikten sonra, şirketin kimliğine bürünmenin ve bayinin müşterileriyle olan güvenilir ilişkisinden yararlanmanın çok daha kolay hale geldiğini belirtti.

“SolarWinds APT tedarik zinciri saldırısı, meşru yazılıma eklenen kötü amaçlı kodları içeriyor olsa dahi bu son saldırıların çoğu, nihayetinde kuruluşların ortamlarına erişmek için Kuzey Amerika ve Avrupa'daki teknoloji çözümleri, hizmetler ve bayi şirketlerinin çalıntı kimliklerinden ve ağlarından yararlanmayı içeriyordu.

Microsoft, Mayıs ayından bu yana Nobelium'un 140'tan fazla satıcıya ve teknoloji hizmet sağlayıcısına saldırdığını gözlemlediğini ve bunların yaklaşık 14'ünün uzlaşmaya yenik düştüğünü tespit etti.

Bu saldırı sonucunda yalnızca kuruluş içi ve bulut kurbanı ortamlarına başarılı izinsiz girişler gördüğünü söyledi. Bu saldırı yolu, mağdur kuruluşların hacklendiklerini anlamalarını zorlaştırdığı gibi ayrıca tehdit aktörü tarafından gerçekleştirilen eylemleri araştırmasını çok zorlaştırıyor. Çünkü bu izinsiz girişleri araştırmak, gizlilik gerektiren kurumsal hassasiyetler nedeniyle zorlu olan birden fazla mağdur kuruluş arasında işbirliği ve bilgi paylaşımını gerektirir.

Yaklaşım özellikle Nobelium için de etkiye sahip. Bunun nedeni ise siber saldırganların son kullanıcı hedeflerinde güçlü savunma önlemleri olabilecek şeylerle uğraşmaktan kaçınmasına izin veriyor.

İlk saldırıyı, bazı durumlarda daha olgun siber savunmalara sahip kuruluşlar olan nihai hedeflerden, daha az olgun siber savunmalara sahip daha küçük teknoloji ortaklarına kaydırıyor. Saldırı başarılı olduğunda veri hırsızlığına, keşif, müşteri sistemlerinden ödün verilmesine ve daha fazlasına izin verebilir.

Teknoloji Tedarik Zincirine Sistemik Erişim

"Nobelium nihayetinde bayilerin müşterilerinin IT sistemlerine sahip olabilecekleri herhangi bir doğrudan erişim oluşturmayı hedefliyor. Bu son olay, Rusya'nın teknoloji tedarik zincirindeki çeşitli noktalara uzun vadeli, sistematik erişim elde etmeye ve şimdi veya gelecekte Rus hükümetinin ilgi duyduğu hedefleri gözetlemek için bir mekanizma kurmaya çalıştığının bir başka göstergesidir.

Yazıya göre, "Bu yıl 1 Temmuz ile 19 Ekim arasında, 609 müşteriye Nobelium tarafından 22.868 kez saldırıya uğradığını ve düşük tek haneli bir başarı oranıyla bilgilendirdik." "Karşılaştırma yapacak olursak, 1 Temmuz'dan önce müşterilerimize son üç yılda tüm ulus devlet aktörlerinden gelen saldırılar hakkında 20.500 kez bilgi vermiştik."

ABD'nin Daha Fazlasını Yapması Gerekiyor

SolarWinds saldırısı çok fazla yıkıma yol açtı. Nobelium'un SolarWinds kullanıcılarına kötü amaçlı yazılımları göndermek için platformdan meşru bir yazılım güncellemesini ele geçirerek birkaç ABD devlet kurumuna erişmesine izin verdi.

Rusya'nın bu tür faaliyetlerini vazgeçirmek için maliyetleri zorla kabul ettirmek için daha agresif adımlar atması gerekiyor. Ayrıca ABD hükümetinin ABD özel sektörüyle savunma işbirliğini genişletme ihtiyacının olduğunu da ortaya koyuyor. Hem hackerlık hem de Rusya'nın fidye yazılımı saldırılarını desteklemesi için daha önce uygulanan yaptırımların, ABD özel sektörüne karşı Rus siber faaliyetinin Rusya'nın siber saldırılarını yeterince engellemediği gözlemlendi.

Bayiler Nobelium'a Karşı Nasıl Savunma Yapabilir?

Şimdilik izinsiz giriş etkinliği devam ediyor. Araştırmacılar, kendilerini korumak için bayilerin ve hizmet sağlayıcıların ortamları için belirli güvenlik korumaları uygulamak için ortak portallarına ve diğer müşteri ilişkileri yönetimi araçlarına erişimi kısıtlama ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirme gibi birkaç temel adımı atabileceğini belirtti.

Ayrıca, devredilen ayrıcalıklı hesapları denetleyerek gereksiz yetki izinlerini kaldırmalıdır. İşletmelerde mümkünse sıfır güven kültürü kullanılmalıdır.

IT tedarik zinciri şirketleri, bir sonraki SolarWinds APTolmaktan kaçınmak istiyorlarsa şimdi harekete geçmeli. Bu saldırganların ayrıcalıklı erişim elde etmesini ve ortalığı kasıp kavurmasını önlemek için kuruluşların, önemli bilgi sistemlerine erişim alabilecek çalışanları ve bağlı kuruluşları işe alma ve işten çıkarma için sağlam süreçler benimsemesi gerekir. Ayrıcalıklı erişimi kontrol etmek ve bu yönetici ayrıcalığından yararlananları izlemek çok önemlidir.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.