Olayda hedef alınan kuruluş, Personel Yönetimi Ofisi (OPM) tarafından anket yönetimi için kullanılan bir veri firması olan Westat’tır.
MOVEit veri ihlali, önde gelen tüm sektör ve kuruluşlarda hasara neden oldu. Mayıs 2023’te (28 Mayıs’tan 30 Mayıs 2023’e kadar) gerçekleşen bu büyük ölçekli siber saldırıda sayısız kurban kaybedildi.
Saldırganlar, Ipswitch INC tarafından geliştirilen MOVEit Transfer adlı yönetilen dosya aktarım yazılımındaki bir güvenlik açığından yararlandı. Devlet kurumları, havayolları, eğitim ve finans kurumları ve sağlık hizmeti sağlayıcıları dahil olmak üzere birçok kuruluş bu ihlalin hedefi haline geldi ve kredi kartı numaraları gibi hassas verileri kaybetti. , PII ve SSN’ler (sosyal güvenlik numaraları).
Bloomberg, ABD Adalet Bakanlığı’nın MOVEit Transfer güvenlik açığından yararlanma çılgınlığında hedef alınan hükümet kurumları arasında yer aldığını bildirdi. Ajanslardan 632.000 çalışanın e-posta adresine erişildiği bildirildi.
Personel Yönetimi Ofisi’nin (OPM) Bilgi Edinme Özgürlüğü Yasası talebiyle elde ettiği belgelere göre, bilgisayar korsanları, bir veri firması olan Westat tarafından kullanılan MOVEit dosya aktarım programını kullanarak devlet çalışan anketleriyle bağlantılı e-posta adreslerine ve kurum içi takip kodlarına erişim sağladı. OPM anketleri yönetmek için kullanır.
Etkilenen çalışanlar çoğunlukla Hava Kuvvetleri, Ordu, Ordu Mühendisler Birliği, Savunma Bakanlığı Ofisi ve Müşterek Kurmay yetkilileri de dahil olmak üzere Savunma Bakanlığı’na mensuptu.
Hackread.com, Mayıs 2023’te gerçekleşen bir dizi siber saldırıyı takip ediyor. Rusça konuşan siber suç grubu Cl0p fidye yazılımı çetesi, bu güvenlik açığından yararlanmakla suçlanıyor. Çete, çalınan verileri kamuya açıklayarak dünya çapında yüzlerce devlet kurumunu ve işletmeyi etkiledi.
Haziran 2023’te Ulusal Öğrenci Takas Odası, 900 ABD okulunun MOVEit hackinden etkilendiğini ve bilgisayar korsanlarının hassas öğrenci kayıtlarını çaldığını bildirdi. Ekim ayında Sony, MOVEit güvenlik açığından yararlanılmasının neden olduğu veri ihlalinin önceki ve mevcut çalışanlarından veya aile üyelerinden 6791’ini etkilediğini doğruladı.
Progress (resmi olarak Ipswitch) bu güvenlik açığı için bir yama yayınladı ancak birçok kuruluş henüz yamayı uygulamadı ve siber saldırılara karşı savunmasız durumda. Mayıs ayındaki ihlalin yol açtığı hasarın tam boyutu henüz bilinmiyor ancak büyük ihtimalle bilgisayar korsanları gizli verilere erişim sağladı.
Bu son gelişme hakkında yorum yapan güvenlik farkındalığı savunucusu KnowBe4Eric Kron, Hackread’e, Cl0p fidye yazılımı grubunun MOVEit güvenlik açığından yararlanan saldırılarıyla sürekli olarak manşetlere çıktığını ve verileri şifreleme veya hizmetin kesintiye uğramasıyla uğraşmayan alışılmadık bir çete olarak ortaya çıktığını söyledi. Bu nedenle çoğu durumda veri ihlali mağdurları herhangi bir ‘açık işaret’ olmadığından habersiz kalırlar.
“Bu grup, MOVEit’e yönelik istismarları ve uyguladığı taktikler nedeniyle haber olmaya devam ediyor. Bu grubu işleten daha geleneksel fidye yazılımı çetelerinin aksine, verilerin şifrelenmesi ve ardından hizmetlerin kesintiye uğraması gibi sorunlarla ilgilenmiyor. Bu, çoğu durumda mağdurların bir ihlale maruz kaldıklarını fark edemeyebilecekleri anlamına geliyor çünkü hizmet arızaları veya sistemlerin çevrimdışı olması gibi çok belirgin işaretler yok.”
“Grup hükümetler, şehirler veya polis departmanlarıyla ilgili bilgileri silme sözü vermiş olsa da bu gruba güvenilmesi pek mümkün görünmüyor. Bu bilgileri kamuya açık bir şekilde sızdırmasalar da, Amerikan vatandaşları veya devlet kurumları hakkında istihbarat toplamak isteyen diğer ulus devletlerin büyük ilgisini çekebilir ve bilgileri bu kuruluşlara satmaya istekli olmaları halinde potansiyel olarak onlara bir gelir kaynağı sunabilir.
“MOVEit yazılımı için yamalar mevcut olduğundan kuruluşların bunların uygulandığından emin olması gerekir. Bilinen saldırılar sırasında yazılımı çalıştıran herhangi bir kuruluşun, henüz bir fidye talebiyle yaklaşılmamış olsa bile, bu güvenlik açıklarından daha önce yararlanıldığına dair hiçbir işaret olmadığından emin olması akıllıca olacaktır,” diye ekledi Kron.
İLGİLİ MAKALELER
- BT Güvenlik firması Qualys, veri ihlali sonrasında Clop çetesi tarafından gasp edildi
- Clop fidye yazılımı çetesi Jones Day hukuk firmasının verilerini karanlık ağda sızdırdı
- İnsan Hatası: Casio ClassPad Veri İhlali 148 Ülkeyi Etkiliyor
- İngiltere’den Ofcom, MOVEit için PoC istismarının yayınlanmasıyla siber saldırıyı doğruladı
- Cisco Web Kullanıcı Arayüzü Güvenlik Açığı Büyük Ölçüde Kullanıldı ve 40.000’den Fazla Cihazı Etkiledi