Siber güvenlik firması CrowdStrike, şirket içi bilgileri bilgisayar korsanlarıyla paylaştığı iddia edilen “şüpheli bir içeriden” kişinin işine son verildiğini doğruladı. Hareket, dahili bir soruşturmanın şahsın bilgisayar ekranının görüntülerini dışarıya sızdırdığını ve potansiyel olarak hassas şirket kontrol panellerini açığa çıkardığını ortaya çıkarmasından sonra geldi.
Scattered Lapsus$ Hunters olarak bilinen hacker topluluğu daha sonra halka açık bir Telegram kanalında ekran görüntüleri yayınlayarak CrowdStrike sistemlerine içeriden erişildiğini iddia etti. Görüntülerin, şirket uygulamalarına erişmek için kullanılan çalışanların Okta kontrol panelleri gibi iç kaynaklara bağlantı içeren kontrol panellerini içerdiği bildirildi.
CrowdStrike Insider Tehdit Olayı
CrowdStrike sözcüsü The Cyber Express’e yaptığı açıklamada durumu şöyle açıkladı:
“Bilgisayar ekranının resimlerini harici olarak paylaştığını belirleyen dahili bir soruşturmanın ardından geçen ay içeriden şüpheli bir kişiyi tespit ettik ve sonlandırdık. Sistemlerimiz hiçbir zaman tehlikeye atılmadı ve müşterilerimiz bu süreç boyunca korunmaya devam etti. Davayı ilgili kolluk kuvvetlerine devrettik.”
Bilgisayar korsanları, Salesforce müşterilerinin müşteri verilerini yönetmek için kullandığı bir müşteri ilişkileri yönetimi platformu olan Gainsight’ta yakın zamanda meydana gelen bir ihlal yoluyla CrowdStrike’a erişim elde ettiklerini iddia etti. İddialarına göre buradan çalınan bilgiler, siber güvenlik şirketinin iç sistemlerini ihlal etmek için kullanıldı. Ancak CrowdStrike bunları “yanlış” iddialar olarak reddetti.
Dağınık Lapsus$ Avcılarını Anlamak
Dağınık Lapsus$ Avcıları topluluğu, birden fazla siber suç örgütünün yeteneklerini birleştiren bir “süper grup” olarak faaliyet gösteriyor. Üyeleri, Scattered Spider, LAPSUS$ ve ShinyHunters’ın uzmanlıklarından yararlanarak yüksek değerli kurumsal ortamları, özellikle SaaS platformlarını ve perakende, havacılık, moda ve sigorta şirketlerini hedef alan yüksek etkili kampanyalar yürütüyor.
UNC3944, 0ktapus ve Octo Tempest gibi takma adlarla da bilinen Scattered Spider, BT yardım masalarına, telekomünikasyona ve büyük kurumsal ortamlara odaklanıyor. Genellikle 19-22 yaşları arasındaki üyeleri, SMS kimlik avı (smishing), telefon tabanlı yardım masası kimliğine bürünme ve SIM değiştirme gibi gelişmiş sosyal mühendislik taktikleriyle tanınıyor.
LAPSUS$, ilk olarak Aralık 2021’de Brezilya Sağlık Bakanlığı’na yapılan ve milyonlarca COVID-19 aşı kaydını ele geçiren fidye yazılımı saldırısıyla dikkat çekti. O tarihten bu yana büyük teknoloji şirketlerini hedef aldı.
ShinyHunters, fidye yazılımı yerine veri hırsızlığı ve gasp konusunda uzmanlaşmış, finansal motivasyona sahip bir gruptur. Aktif 2020’den itibaren öncelikle SaaS ve bulut platformlarından, vishing (sesli kimlik avı) dahil olmak üzere sosyal mühendislik yoluyla ve ardından büyük ölçekli veri sızdırma yoluyla yararlanıyor. Grup, VMware ESXi ana bilgisayarlarını hedef alan, parlaksp1d3r adı verilen bir fidye yazılımı çeşidini piyasaya sürerek faaliyetlerine devam etti.
Bu devam eden bir hikaye ve Cyber Express durumu yakından takip edecek. Bu içeriden gelen tehdit olayı hakkında daha fazla bilgiye veya Dağınık Lapsus$ Avcıları hakkında ek bilgiye sahip olduğumuzda bu yazıyı güncelleyeceğiz.
CrowdStrike içeriden olay, organizasyonları içeriden çökerten şüpheli içerideki kişilerin riskini vurguluyor. Scattered Lapsus$ Hunters gibi gruplar, büyük organizasyonlardan bilgi çalmak için bu tür içerideki kişilerden yararlanıyor. CrowdStrike hiçbir sistemin tehlikeye atılmadığını doğrularken, vaka proaktif tehdit istihbaratının ve sürekli izlemenin önemini gösteriyor.
Yapay zeka destekli tehdit tespitine ve otonom siber güvenlik yeteneklerine sahip Cyble gibi platformlar, kuruluşların açığa çıkan varlıkları nasıl tespit edebileceğini, içeriden öğrenenlerin faaliyetlerini nasıl takip edebileceğini ve riskleri büyümeden önce nasıl azaltabileceğini gösteriyor.