Amerika Birleşik Devletleri siber güvenlik Yetkililer dün, “az sayıda” devlet kurumunun, muhtemelen Rusya merkezli fidye yazılımı çetesi Clop tarafından yürütülen geniş bir bilgisayar korsanlığı kampanyasının parçası olarak veri ihlallerine maruz kaldığını söyledi. Siber suçlu grubu, Shell, British Airways ve BBC dahil olmak üzere kurbanlardan değerli verileri almak için dosya aktarım hizmeti MOVEit’teki bir güvenlik açığından yararlanmaya karar verdi. Ancak ABD hükümetinin hedeflerini vurmak, yalnızca küresel kolluk kuvvetlerinin zaten yüksek profilli bilgisayar korsanlığı çılgınlığındaki siber suçluları incelemesini artıracaktır.
MOVEit’in sahibi olan Progress Software, Mayıs ayının sonunda güvenlik açığını düzeltti ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, 7 Haziran’da Federal Soruşturma Bürosu ile Clop’un istismarı ve hem kamu hem de tüm kuruluşlar için acil ihtiyaç hakkında uyarıda bulunan bir danışma belgesi yayınladı. ve özel, kusuru yamamak için. Üst düzey bir CISA yetkilisi dün gazetecilere verdiği demeçte, tüm ABD hükümeti MOVEit bulut sunucularının artık güncellendiğini söyledi.
CISA yetkilileri, hangi ABD ajanslarının bu çılgınlığın kurbanı olduğunu söylemeyi reddettiler, ancak Enerji Bakanlığı’nın bunun da aralarında olduğunu CISA’ya bildirdiğini doğruladılar. İlk olarak ABD hükümet kurumlarına yönelik saldırıları bildiren CNN, bugün ayrıca, bilgisayar korsanlığı çılgınlığının Louisiana ve Oregon eyaleti sürücü belgesini ve milyonlarca sakinin kimlik verilerini etkilediğini bildirdi. Clop daha önce Minnesota ve Illinois eyalet hükümetlerine yönelik saldırılar için de sorumluluk üstlenmişti.
CISA direktörü Jen Easterly Perşembe günü gazetecilere verdiği demeçte, “Şu anda MOVEit uygulamalarını etkileyen izinsiz girişlerle karşılaşan birkaç federal kuruma destek sağlıyoruz.” “Joint Cyber Defence Collaborative’deki endüstri ortaklarıyla yaptığımız görüşmelere dayanarak, bu izinsiz girişler, daha geniş erişim elde etmek, hedeflenen sistemlerde kalıcılık kazanmak veya belirli yüksek değerli bilgileri çalmak için – özetle, anladığımız kadarıyla – kaldıraç olarak kullanılmıyor. Bu saldırı büyük ölçüde fırsatçı bir saldırıdır.”
Easterly, CISA’nın Clop’un ABD hükümetinden çalınan herhangi bir veriyi ifşa etmekle tehdit ettiğini görmediğini ekledi. Ve isimlerinin açıklanmaması koşuluyla gazetecilere konuşan üst düzey CISA yetkilisi, CISA ve ortaklarının şu anda Clop’un Rus hükümetiyle işbirliği yaptığına dair kanıt görmediklerini söyledi. Clop, işletmeleri hedeflemeye odaklandığını ve hükümetlerden veya kanun uygulayıcılardan gelen tüm verileri sileceğini ileri sürdü.
Clop, 2018’de bir kurbanın sistemlerini şifreleyen ve ardından şifre çözme anahtarını sağlamak için ödeme talep eden standart bir fidye yazılımı aktörü olarak ortaya çıktı. Fidye yazılımı çetesi, çeşitli işletmelerden ve kurumlardan bilgi çalmak ve ardından bunlara karşı veri gasp kampanyaları başlatmak için yaygın olarak kullanılan yazılım ve ekipmanlardaki güvenlik açıklarını bulup bunlardan yararlanmasıyla da tanınır.
Fidye yazılımı konusunda uzmanlaşmış güvenlik firması Recorded Future’ın analisti Allan Liska, Clop’un fidye yazılımı yaklaşımında “orta düzeyde başarılı” olduğunu söylüyor. Yine de sonunda, şifreleme tabanlı fidye yazılımlarından uzaklaşarak ve kurumsal yazılımlardaki güvenlik açıkları için istismarlar geliştirmeye yönelik mevcut modeline geçerek ve ardından bunları toplu veri hırsızlığı gerçekleştirmek için kullanarak kendini farklılaştırdı.
Ve Kremlin ile Clop arasında doğrudan bir koordinasyon olmasa da, araştırmalar defalarca Rus hükümeti ile fidye yazılımı grupları arasında bağlar olduğunu göstermiştir. Düzenlemeye göre bu sendikalar, ülke içindeki kurbanları hedef almadıkları ve Kremlin’in etkisine boyun eğmedikleri sürece cezasız bir şekilde Rusya’dan faaliyet gösterebilir. Yani Clop tesadüfen bile olsa hükümet kurbanlarından topladığı verileri gerçekten siliyor mu?
“ABD devlet kurumlarının özel olarak hedef alındığını düşünmüyoruz. Clop, yazılımı çalıştıran herhangi bir savunmasız sunucuyu kolayca vurur,” diyor Liska, MOVEit kampanyası hakkında. “Ancak Clop’un ABD hükümetinden veya diğer ilginç hedeflerden topladığı herhangi bir bilginin Kremlin ile paylaşılmış olması kuvvetle muhtemeldir.”