SolarWinds APT, En Son Tedarik Zinciri Siber Saldırılarında Teknik Satıcıları Hedefliyor
Rusya’nın casus ajansına bağlı Nobelium grubu, bayileri değerli alt müşterilerinin arasına sızmak için bir yol olarak kullanmayı amaçlıyor ve bunu başarıyor.
Nobelium olarak bilinen gelişmiş bir kalıcı tehdit SolarWinds APT saldırganları, bu kez hedeflerine saldırmak için teknoloji hizmetleri topluluğunu kullanarak yeni bir tedarik zinciri için izinsiz giriş dalgası başlattı.
Araştırmacılar, faaliyetin şimdiye kadar Kuzey Amerika ve Avrupa’daki kurbanları etkilediğini ve hedefin Nobelium, Rus hükümetinin SVR olarak bilinen dış istihbarat servisiyle bağlantılı casusluk olduğunu söyledi.
Yapılan analizlere göre Nobelium bir güvenlik açığından yararlanmıyor veya SolarWinds’de olduğu gibi yasal kodu truva atı olarak kullanmıyor. Bunun yerine, yasal hesap kimlik bilgilerini ve bayi ağlarına ayrıcalıklı erişim toplamak için kimlik bilgisi doldurma ve kimlik avı gibi denenmiş ve gerçek taktiklerin yanı sıra API kötüye kullanımı ve belirteç hırsızlığı kullanarak bayi ağlarına sızıyor.
Oradan, Nobelium, akış yönündeki bayi müşterilerinin ağlarının içine dönmeye ve inmeye çalışır. Araştırmacılar, bir bayi ağının içine girdikten sonra, şirketin kimliğine bürünmenin ve bayinin müşterileriyle olan güvenilir ilişkisinden yararlanmanın çok daha kolay hale geldiğini belirtti.
“SolarWinds APT tedarik zinciri saldırısı, meşru yazılıma eklenen kötü amaçlı kodları içeriyor olsa dahi bu son saldırıların çoğu, nihayetinde kuruluşların ortamlarına erişmek için Kuzey Amerika ve Avrupa’daki teknoloji çözümleri, hizmetler ve bayi şirketlerinin çalıntı kimliklerinden ve ağlarından yararlanmayı içeriyordu.
Microsoft, Mayıs ayından bu yana Nobelium’un 140’tan fazla satıcıya ve teknoloji hizmet sağlayıcısına saldırdığını gözlemlediğini ve bunların yaklaşık 14’ünün uzlaşmaya yenik düştüğünü tespit etti.
Bu saldırı sonucunda yalnızca kuruluş içi ve bulut kurbanı ortamlarına başarılı izinsiz girişler gördüğünü söyledi. Bu saldırı yolu, mağdur kuruluşların hacklendiklerini anlamalarını zorlaştırdığı gibi ayrıca tehdit aktörü tarafından gerçekleştirilen eylemleri araştırmasını çok zorlaştırıyor. Çünkü bu izinsiz girişleri araştırmak, gizlilik gerektiren kurumsal hassasiyetler nedeniyle zorlu olan birden fazla mağdur kuruluş arasında işbirliği ve bilgi paylaşımını gerektirir.
Yaklaşım özellikle Nobelium için de etkiye sahip. Bunun nedeni ise siber saldırganların son kullanıcı hedeflerinde güçlü savunma önlemleri olabilecek şeylerle uğraşmaktan kaçınmasına izin veriyor.
İlk saldırıyı, bazı durumlarda daha olgun siber savunmalara sahip kuruluşlar olan nihai hedeflerden, daha az olgun siber savunmalara sahip daha küçük teknoloji ortaklarına kaydırıyor. Saldırı başarılı olduğunda veri hırsızlığına, keşif, müşteri sistemlerinden ödün verilmesine ve daha fazlasına izin verebilir.
Teknoloji Tedarik Zincirine Sistemik Erişim
“Nobelium nihayetinde bayilerin müşterilerinin IT sistemlerine sahip olabilecekleri herhangi bir doğrudan erişim oluşturmayı hedefliyor. Bu son olay, Rusya’nın teknoloji tedarik zincirindeki çeşitli noktalara uzun vadeli, sistematik erişim elde etmeye ve şimdi veya gelecekte Rus hükümetinin ilgi duyduğu hedefleri gözetlemek için bir mekanizma kurmaya çalıştığının bir başka göstergesidir.
Yazıya göre, “Bu yıl 1 Temmuz ile 19 Ekim arasında, 609 müşteriye Nobelium tarafından 22.868 kez saldırıya uğradığını ve düşük tek haneli bir başarı oranıyla bilgilendirdik.” “Karşılaştırma yapacak olursak, 1 Temmuz’dan önce müşterilerimize son üç yılda tüm ulus devlet aktörlerinden gelen saldırılar hakkında 20.500 kez bilgi vermiştik.”
ABD’nin Daha Fazlasını Yapması Gerekiyor
SolarWinds saldırısı çok fazla yıkıma yol açtı. Nobelium’un SolarWinds kullanıcılarına kötü amaçlı yazılımları göndermek için platformdan meşru bir yazılım güncellemesini ele geçirerek birkaç ABD devlet kurumuna erişmesine izin verdi.
Rusya’nın bu tür faaliyetlerini vazgeçirmek için maliyetleri zorla kabul ettirmek için daha agresif adımlar atması gerekiyor. Ayrıca ABD hükümetinin ABD özel sektörüyle savunma işbirliğini genişletme ihtiyacının olduğunu da ortaya koyuyor. Hem hackerlık hem de Rusya’nın fidye yazılımı saldırılarını desteklemesi için daha önce uygulanan yaptırımların, ABD özel sektörüne karşı Rus siber faaliyetinin Rusya’nın siber saldırılarını yeterince engellemediği gözlemlendi.
Bayiler Nobelium’a Karşı Nasıl Savunma Yapabilir?
Şimdilik izinsiz giriş etkinliği devam ediyor. Araştırmacılar, kendilerini korumak için bayilerin ve hizmet sağlayıcıların ortamları için belirli güvenlik korumaları uygulamak için ortak portallarına ve diğer müşteri ilişkileri yönetimi araçlarına erişimi kısıtlama ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirme gibi birkaç temel adımı atabileceğini belirtti.
Ayrıca, devredilen ayrıcalıklı hesapları denetleyerek gereksiz yetki izinlerini kaldırmalıdır. İşletmelerde mümkünse sıfır güven kültürü kullanılmalıdır.
IT tedarik zinciri şirketleri, bir sonraki SolarWinds APTolmaktan kaçınmak istiyorlarsa şimdi harekete geçmeli. Bu saldırganların ayrıcalıklı erişim elde etmesini ve ortalığı kasıp kavurmasını önlemek için kuruluşların, önemli bilgi sistemlerine erişim alabilecek çalışanları ve bağlı kuruluşları işe alma ve işten çıkarma için sağlam süreçler benimsemesi gerekir. Ayrıcalıklı erişimi kontrol etmek ve bu yönetici ayrıcalığından yararlananları izlemek çok önemlidir.