Kriz, bir güvenlik açığı bildirimi şeklinde başladı.
2 Şubat 2023’te, birçok yan hastane operatörü şirketine ve Amerikan sağlık hizmeti devi Community Health Systems’in diğer bağlı kuruluşlarına hizmet sağlayan ABD merkezli yönetim şirketi CHSPSC, BT satıcısı Fortra’dan bir uyarı aldı.
28 Ocak’ta Fortra’da beklenmedik bir şey oldu — kişisel bilgilerin izinsiz olarak sızmasına yol açan bir siber olay. İnsanlar ne olduğu konusunda kafası karışmış ve endişeliydi ve kimse bunun nasıl olduğunu veya kimin sorumlu olduğunu bilmiyordu.
Ancak 30 Ocak 2023’te Fortra, olayın nedeninin dünya çapındaki kuruluşların kullandığı popüler veri aktarım yazılımı GoAnywhere’deki bir güvenlik açığı olduğunu öğrendi.
CHSPSC, bir güvenlik açığı uyarısı alan Fortra müşterileri arasında dünya çapında binlerce kişi tarafından takip edilen en eskilerden biriydi.
CHSPSC tarafından Maine Başsavcılığına sunulan bir açıklamada, “Fortra’ya göre, yetkisiz taraf, Fortra’nın sistemlerine, özellikle Fortra’nın GoAnywhere dosya aktarım hizmeti platformuna erişim sağlamak için önceden bilinmeyen bir güvenlik açığı kullandı ve Fortra’nın platformundaki dosya gruplarını tehlikeye attı” dedi. ABD, 8 Mart’ta.
Tesadüfen, Güvenlik muhabiri Brian Krebs de 2 Şubat’ta GoAnywhere güvenlik açığının ayrıntılarını bildirdi.
Fortra, sonunda 7 Şubat’ta GoAnywhere güvenlik açığı için yamalar yayınladı, ancak beş günlük boşluk, bilgisayar korsanlarının öfkeye kapılması için yeterliydi.
En büyük zararı veren grup, adını “Cl0p” olarak stilize eden Clop adlı bir fidye yazılımı çetesi oldu.
GoAnywhere ve popülerlik felaketi
Yönetilen Dosya Aktarımı (MFT) yazılımı GoAnywhere, işletmelerin dosyaları güvenli ve uyumlu bir şekilde yönetmesini ve değiş tokuş etmesini sağlar.
Web sitesine göre yazılım, 10.000’den fazla çalışanı ve en az 1 milyar dolar geliri olan büyük kuruluşlar için tasarlandı ve bu tür 3.000’den fazla kuruluşa hizmet veriyor.
“Bu kuruluşlardan bazıları, yerel yönetimler, finans şirketleri, sağlık kuruluşları, enerji şirketleri gibi hayati altyapıların parçası; ve teknoloji üreticileri. GoAnywhere istismarından kaynaklanan bir ihlal, ciddi bir tedarik zinciri saldırısına yol açacaktır,” uyarısında bulundu MalwarebytesLabs 8 Şubat’taki tehdit değerlendirme raporu.
Ana şirketi Fortra’nın web sitesinde yapılan açıklamada, “GoAnywhere, küçük şirketlerden Fortune 500 şirketlerine, ayrıca kar amacı gütmeyen kuruluşlara ve devlet kurumlarına kadar çok çeşitli bir kurulum tabanına sahiptir.”
Popülerlik hızla şirket için bir felaket haline geldi.
Fortra, müşterileri uyarmanın ve verilerinin güvende olduğundan emin olmanın yanı sıra, GoAnywhere güvenlik açığını değerlendirmek için ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı ile işbirliği yaptı. CISA, hatayı 6 Şubat’ta “yama yapılması gereken” güvenlik açıkları listesine ekledi.
“Fortra (eski adıyla HelpSystems) GoAnywhere MFT, rastgele bir saldırgan tarafından kontrol edilen nesnenin serisini kaldırması nedeniyle Lisans Yanıt Sunucu Uygulamasında ön kimlik doğrulama komut ekleme güvenlik açığından muzdariptir. Bu sorun sürüm 7.1.2’de yamalandı,” dedi CISA uyarısı.
“Bu açıktan yararlanmanın saldırı vektörü, uygulamanın yönetim konsoluna erişim gerektirir; bu konsola çoğu durumda yalnızca özel bir şirket ağından, VPN aracılığıyla veya izin verilenler listesindeki IP adreslerinden (örneğin, bulut ortamlarında çalışırken) erişilebilir. Azure veya AWS),” dedi Fortra müşterilerine verilen GoAnywhere danışma belgesi.
Ancak, internete bağlı cihazları tarayan bir motor olan Shodan’da yapılan bir arama, yaklaşık 1000 açığa çıkmış GoAnywhere yönetici paneli buldu. Bu panellerin çoğu Avrupa ve ABD’de keşfedildi.
Tehdit aktörlerinin güvenlik açığı ifşalarını takip ettikleri ve bunları hızlı bir şekilde silah haline getirdikleri bilinen bir gerçektir. Meşhur solucanı yakalayan ilk kuş Cl0p idi. Ancak bu sefer, sadece bir av değil, dünya çapında bir trol oldu.
GoAnywhere: Cl0p bunu yaptı!
Fortra’nın yamayı yayınlamasından günler sonra, Clop fidye yazılımı güvenlik açığından aktif olarak yararlandıklarını açıkladı.
Clop’a göre, güvenliği ihlal edilmiş GoAnywhere MFT sunucularından on gün boyunca 130’dan fazla kuruluştan veri çaldılar.
Ardından çete, kurbanların isimlerini vermeye başladı ve ardından açıklamalar geldi.
Siber güvenlik şirketi Rubrik, 14 Mart’ta verilerinin GoAnywhere hatası kullanılarak çalındığını kabul etti. Açıklama, Cl0p fidye yazılımı sızıntı sitesinde şirketin kurban olarak adlandırıldığı bir yazının hemen ardından geldi.
Yüksek profilli kurbanlardan biri olan Hitachi Energy, ifşasında fidye yazılımı aktörünün adını veren önceki kurbanlar arasındaydı.
Şirketten yapılan açıklamada, “Kısa bir süre önce FORTRA GoAnywhere MFT (Yönetilen Dosya Aktarımı) adlı bir üçüncü taraf yazılım sağlayıcısının, CLOP fidye yazılımı grubu tarafından gerçekleştirilen ve bazı ülkelerde çalışan verilerine yetkisiz erişimle sonuçlanabilecek bir saldırının kurbanı olduğunu öğrendik.” 17 Mart’ta açıklama
Bu da Japon çok uluslu holdingin Cl0p sızıntı sitesinde adının anılmasından ve ayıplanmasından sonra geldi.
Fidye yazılımı saldırısını ifşa eden en son kurbanlardan biri ve muhtemelen listedeki en büyük kurbanlardan biri, küresel tüketim malları devi P&G idi.
Always, Braun, Crest, Fusion, Gillette, Head & Shoulders, Mach3, Olay, Oral-B ve Pantene dahil olmak üzere yaklaşık iki düzine P&G markası milyar dolarlık satıcılardır.
The Cyber Express tarafından yapılan bir sorguya yanıt olarak P&G, Fortra’nın GoAnywhere olayından etkilenen birçok şirketten biri olduğunu doğruladı. Ancak şu anda müşteri verilerinin sorundan etkilendiğine dair bir gösterge yok.
“Bu olayın bir parçası olarak, yetkisiz bir üçüncü şahıs, P&G çalışanları hakkında bazı bilgiler aldı. Bir şirket sözcüsü, yetkisiz kişilerce elde edilen verilerin Sosyal Güvenlik numaraları veya ulusal kimlik numaraları, kredi kartı bilgileri veya banka hesap bilgileri gibi bilgileri içermediğini söyledi.
“Şubat ayı başlarında bu olayı öğrendiğimizde, sorunun niteliğini ve kapsamını, satıcının hizmetlerinin engelli kullanımını derhal araştırdık ve çalışanları bilgilendirdik. Ticari faaliyetlerimiz normal seyrinde devam ediyor” dedi.
Açıklama, elbette, sızıntı sitesinde listelendikten sonra geldi.
GoAnywhere ve Cl0p: Bağlantı kuruldu
Huntress Tehdit İstihbarat Yöneticisi Joe Slowik, GoAnywhere MFT saldırılarını, Clop fidye yazılımını dağıtmasıyla tanınan TA505 tehdit grubuyla ilişkilendirdi.
TrueBot kötü amaçlı yazılım indiricisinin konuşlandırıldığı bir saldırıyı araştırdı ve etkinliğin, aynı amaç için GoAnywhere MFT’nin fırsatçı istismarıyla birlikte fidye yazılımı dağıtmayı amaçladığına dair orta düzeyde bir olasılık olduğu sonucuna vardı.
Slowik, 8 Şubat’ta yayınlanan bir tehdit değerlendirme blogunda, “Huntress, daha fazla düşman eylemi gerçekleşmeden önce bu enfeksiyon olayını tanımlayıp kontrol altına alabilmiş olsa da, sorumlulukla ilgili bazı makul teorilere ulaşmak için yeterli bilgi parçası mevcut.”
“Daha önce belirtildiği gibi Truebot, Silence adlı bir grupla bağlantılı. Fransız CERT tarafından bildirildiği üzere Silence, 2016’dan beri bir şekilde aktiftir ve Truebot, kuruluşun operasyonları için bir ilk erişim, uzlaşma sonrası aracı olarak hizmet vermektedir.
Slowik’e göre, bağlantılar yetkili olmasa da, Truebot etkinliği ve dağıtım mekanizmalarının analizi, TA505 olarak adlandırılan bir grupla bağlantılar olduğunu gösteriyor.
Clop olarak bilinen bir fidye yazılımı ailesinin distribütörleri, Silence/Truebot etkinliğinin TA505 operasyonlarıyla bağlantılı olduğunu bildirdi.
Önceki raporlara ve gözlemlenen eylemlere dayanarak, Huntress’in gözlemlerinin, etkinliğin büyük olasılıkla fidye yazılımı dağıtmayı amaçladığını ve aynı amaç için GoAnywhere MFT’nin ek fırsatçı istismar potansiyeli olduğunu gösterdiği sonucuna vardı.
Toplamda fidye yazılımı çetesi, sıfır gün güvenlik açığından yararlanarak 130’dan fazla kurbanı vurduğunu iddia ediyor.
Kurban listesi hala genişlemektedir. Göstergelere göre, krizin yılın ikinci çeyreğine sıçraması kuvvetle muhtemel.