Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Güvenlik ve Değişim Komisyonu uyumluluğu (SEC)
SEC: Check Point ve Mimecast Açıklamaları SolarWinds Saldırısının Ciddiyetini Yakalayamadı
Michael Novinson (MichaelNovinson) •
22 Ekim 2024
Check Point ve Mimecast, federal düzenleyicilere, SolarWinds Orion saldırısıyla ilgili maddi yanıltıcı açıklamalar yapma suçlamalarını çözüme kavuşturmak için yaklaşık 1 milyon dolar ödeyecek.
Ayrıca bakınız: VMware Karbon Siyahı Uygulama Kontrolü
ABD Menkul Kıymetler ve Borsa Komisyonu, Check Point ve Mimecast’in kamuya yaptığı açıklamaların, SolarWinds’in işlerine yönelik ihlalinin ciddiyetini yansıtmadığını, bu durumun yatırımcıları olayların boyutu ve olası sonuçları konusunda yanılttığını iddia etti. Dijital iletişim şirketi Avaya ve BT hizmetleri devi Unisys de bu konuda SEC ile anlaşarak ceza ödemeyi kabul etti.
SEC Başkan Vekili Jorge Tenreiro, “Maddi bir siber güvenlik ihlalinin boyutunu küçümsemek kötü bir stratejidir” dedi. “Bu vakalardan ikisinde, ilgili siber güvenlik risk faktörleri, şirketlerin uyarılan risklerin halihazırda gerçekleştiğini bilmesi durumunda varsayımsal veya genel olarak çerçevelendi. Federal menkul kıymetler kanunları yarı gerçekleri yasaklıyor ve risk faktörü açıklamalarında herhangi bir istisna bulunmuyor.”
SEC, Check Point’in siber riskler hakkında genel açıklamalar yaptığını ve SolarWinds saldırısıyla bağlantılı kötü amaçlı etkinlikleri keşfettikten sonra bile kendi sistemlerine özgü maddi riskleri açıklamadığını söyledi. Mimecast, 31.000 müşterinin şifrelenmiş kimlik bilgileri ve Microsoft 365 entegrasyonuyla ilgili kaynak kodu da dahil olmak üzere, saldırının ardından veri sızıntısının boyutunu tam olarak açıklamamakla suçlandı.
Bir Check Point sözcüsü, Bilgi Güvenliği Medya Grubu’na şirketin SEC ile işbirliği yapmanın ve anlaşmazlığı çözmenin kendi çıkarına olduğuna karar verdiğini söylerken, bir Mimecast sözcüsü ISMG’ye firmanın konuyu şirketin arkasına koymak için SEC ile çözdüğünü söyledi. Ne Silikon Vadisi merkezli Check Point Software ne de Boston bölgesi Mimecast, anlaşmanın bir parçası olarak yanlış bir davranışta bulunulduğunu kabul etmedi (bkz.: Siber Dolandırıcılık Davasında Neden SEC ve SolarWinds Eye Settlement Görüşmeleri Yapılıyor?).
SEC Bölümü Direktör Vekili Sanjay Wadhwa, “Halka açık şirketler siber saldırıların hedefi haline gelse de, karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını veya yatırım yapan toplumun diğer üyelerini daha fazla mağdur etmemeleri gerekiyor” dedi. İcra Dairesi’nden yapılan açıklamada şöyle denildi:
SEC: Check Point’in SolarWinds Hack’ine Yanıtı Yetersiz Kaldı
Aralık 2020’de Check Point, ağında Rus dış istihbarat servisinin sızdığı SolarWinds Orion yazılımının tehlikeye atılmış sürümlerini çalıştıran iki sunucu tespit etti. SEC kararında, üçüncü taraf bir satıcının Check Point’i kendi ortamındaki SolarWinds saldırısıyla ilgili yetkisiz faaliyetler hakkında da bilgilendirdiği belirtildi. Check Point uzlaşmayı ve 995.000 dolarlık bir cezayı ödemeyi kabul etti.
Check Point’in dahili soruşturması, Temmuz ve Ekim 2020 arasında yetkisiz etkinliklerin gerçekleştiğini tespit etti. Saldırı, iki Check Point kurumsal hesabını ele geçirdi ve tehdit aktörünün komuta ve kontrol sunucusuyla yetkisiz iletişimleri içeriyordu. Yetkisiz yazılım çalıştırıldığına (veri sızdırma hazırlığında kullanılan) ve ağ içinde yanal hareket etme girişimlerine dair kanıtlar vardı.
SEC, bu önemli ihlali keşfetmesine rağmen Check Point’in 2021 ve 2022 yıllık raporlarında SolarWinds’in adını içermeyen ve 2020’deki ihlal öncesi başvurularıyla neredeyse aynı olan genel siber güvenlik risk açıklamalarını kullanmaya devam ettiğini söyledi. SEC’e göre açıklamalar, SolarWinds saldırısının ve ardından Check Point ağındaki risklerin oluşturduğu gerçek riski yeterince yansıtmıyordu.
Check Point, SEC’in bulgularını kabul etmedi veya reddetmedi ancak ihlalin yarattığı risklerin önemli olduğunu kabul etti. Şirket, gönüllü olarak ayrıntılı analizler sağlayarak, dahili bir soruşturma yürüterek ve siber güvenlik kontrollerini geliştirmeye yönelik adımlar atarak SEC ile önemli bir işbirliği yaptı. SEC’e göre bu işbirliği, soruşturmanın hızlandırılmasına ve sorunun çözülmesine yardımcı oldu.
Bir şirket sözcüsü ISMG’ye e-postayla gönderilen bir açıklamada “Check Point, SolarWinds olayını araştırdı ve herhangi bir müşteri verisine, koduna veya diğer hassas bilgilere erişildiğine dair kanıt bulamadı” dedi. “Yine de Check Point, SEC ile işbirliği yapmanın ve anlaşmazlığı çözmenin kendi çıkarına olduğuna karar verdi.”
SEC: Mimecast’in SolarWinds Hack’ine Yanıtının Yetersiz Kaldığı Yer
Aralık 2020’de Mimecast, ağında SolarWinds Orion yazılımı kurulumlarının kötü amaçlı kod bulaştığı sistemleri tespit etti. Daha sonra Ocak 2021’de Mimecast, aynı tehdit aktörünün müşterilerinin yaklaşık %10’unun Microsoft 365’e bağlanmak için kullandığı kimlik doğrulama sertifikalarından birini tehlikeye attığını tespit etti. Tehdit aktörü, sertifikayı beş müşterinin bulut platformuna erişmek için kullandı.
Mimecast’in araştırması, saldırganın dahili e-postalara, Microsoft 365 kimlik doğrulamasıyla ilgili kaynak koda ve Mimecast’in özel depolama formatında depolanan e-posta verilerini açık bir formata dönüştüren dahili bir Mimecast işlemi olan veri aktarımına ve yaklaşık 31.000 müşteri için şifrelenmiş kimlik bilgilerine sahip bir veritabanına eriştiğini ortaya çıkardı. Saldırgan ayrıca yaklaşık 17.000 müşterinin sunucu yapılandırma verilerini de ele geçirdi. Mimecast uzlaşmanın bazı yönlerini açıklarken, şirketin önemli ayrıntıları atladığı iddia edildi.
Örneğin Mimecast, dışarı aktarılan kaynak kodunun %58’ini ve M365 kimlik doğrulama ve birlikte çalışabilirlik kodunun büyük parçalarını içeren kaynak kodunun tam yapısını açıklamadı. SEC, bunun ve etkilenen müşteri sayısının göz ardı edilmesinin, ihlalin kapsamı hakkında yanıltıcı bir izlenim yarattığını ve yatırımcıları uzlaşmanın etkisi konusunda yanılttığını iddia etti.
Mimecast, kamuya açık başvurularda, alınan kaynak kodunun “eksik olduğunu ve şirketin hizmetlerinin herhangi bir yönünü oluşturmak veya yürütmek için yetersiz olacağını” söyleyerek plajın kapsamını küçümsedi. Ancak SEC, bu ifadenin yanıltıcı olduğunu tespit etti çünkü sızdırılan kod, Mimecast araçlarının temel güvenlik işlevleri için çok önemliydi ve bunun bir ulus-devlet tehdit aktörüne maruz kalması, yatırımcılar için önemli bir bilgi teşkil ediyordu.
Mimecast, SEC’in bulgularını kabul etmeden veya reddetmeden 990.000 $ ceza ödemeyi kabul ederek suçlamaları çözdü. SEC, Mimecast’in, dahili bir soruşturma yürütmek, siber güvenlik kontrollerini geliştirmek ve bulguları düzenleyiciler ve etkilenen müşterilerle gönüllü olarak paylaşmak da dahil olmak üzere iş birliğine değindi. SEC, Mimecast’in olaylara müdahale prosedürlerini geliştirmek gibi iyileştirici önlemler de aldığını söyledi.
Bir Mimecast sözcüsü ISMG’ye e-postayla gönderilen bir açıklamada, “O dönemdeki düzenleyici gerekliliklere dayalı olarak açıklama yükümlülüklerimize uyduğumuza inanıyorduk” dedi. “Bu konuyu arkamızda bırakıp müşterilerimize hizmet etmeye güçlü odaklanmamızı sürdürmeye karar verdik.”