DumpForums’un Ukrayna yanlısı bilgisayar korsanları, Rus siber güvenlik devi Dr.Web’i ihlal ederek iç projeler, müşteri veritabanları ve kritik altyapı erişimi dahil olmak üzere 10 TB’ın üzerinde hassas veriyi çaldıklarını iddia ediyor.
Ukrayna yanlısı bir hacktivist forum olan DumpForums, bir Rus siber güvenlik şirketi ve antivirüs çözümleri sağlayıcısı olan Dr.Web’i ihlal ettiğini iddia ediyor. Sonuç olarak, Hackread.com’un doğrulayabileceği üzere, bilgisayar korsanları 10 TB’tan fazla dahili müşteri/istemci verisini çaldıklarını duyurdular.
Saldırının tarihi, Dr.Web’in (aynı zamanda Doctor Web, Doctor Web Ltd. ve Company Doctor Web olarak da bilinir) bir siber saldırıya uğradığını tespit ettiği 14 Eylül Cumartesi gününe kadar uzanıyor. Rus siber güvenlik devi, soruşturmanın ardından 17 Eylül 2024’te kısa bir blog yazısı yayınlayarak şirketin “kaynaklarını” hedef alan bir siber saldırının hedefi olduğunu ortaya koydu. Doctor Web o dönemde “saldırıyı zamanında önlediğini” ve hiçbir kullanıcı verisine erişilmediğini veya çalınmadığını iddia etmişti.
Ancak Hackread.com’un araştırma ekibinin keşfettiği gibi, 8 Ekim 2024 sabahı DumpForums hacktivistleri Eylül saldırısının sorumluluğunu duyurmak ve üstlenmek için Telegram hesaplarını kullandılar. Hacktivistlerin Telegram gönderisi, Doctor Web’in Eylül ayında hack hakkında söyledikleriyle çelişiyordu.
DumpForums Hacktivistleri Dr.Web’in Altyapı Hack’ini İddia Ediyor
Paylaşıma göre hacktivistler, Dr.Web’in altyapısını hacklediklerini belirterek, her şeyi önceden planladıktan sonra şirketin yerel ağına sızdıklarını ekledi. Bundan sonra, “sadece birkaç gün içinde” sistematik olarak daha fazla sunucu ve kaynağı hacklediler.
Ayrıca bilgisayar korsanları, kurumsal e-posta sunucusu Confluence, Redmine, Jenkins, Mantis ve RocketChat dahil olmak üzere dahili geliştirmelerin ve projelerin depolandığı Dr.Web’in kurumsal GitLab sunucusunu hacklediklerini ve buradan veri çıkardıklarını iddia etti.
Bilgisayar korsanları ayrıca resmi forumlarında zaten sızdırdıkları müşteri/kullanıcı veri tabanının tamamına erişip indirdiklerini de iddia etti.
İddialarını daha da doğrulamak için bilgisayar korsanları, ldap.dev.drweb.com, vxcube.drweb.com, bugs.drweb.com, antitheft.drweb.com ve rt.drweb.com gibi dahili kaynaklardan birkaç veri tabanı dökümü sağladı. , diğerleri arasında.
Dr.Web’in etki alanı denetleyicisine mi erişiyorsunuz?
Daha da endişe verici olan şey, hacktivistlerin, şirketin altyapısının kritik bir parçası olan Dr.Web’in etki alanı denetleyicisinin kontrolünü ele geçirdiklerine dair iddiaları. Etki alanı denetleyicisi, bir ağdaki tüm sistemlere kimlik doğrulamayı ve erişimi yönetir. Saldırganlar bunu tehlikeye atarak ağın tamamına sınırsız erişime sahip olacak ve bu da onların sürekli olarak büyük miktarda hassas veriyi ayıklamalarına olanak tanıyacaktı.
Bu düzeydeki kontrolün, yaklaşık 10 terabaytlık veriyi çekerken bir ay boyunca tespit edilmemelerini sağladığı bildirildi. Grup ayrıca Dr.Web’in güvenliğinin zayıf olduğuna dikkat çekerek, şirketin başkalarının güvenliğini sağlamak için ürün satmaya devam ederken kendilerinin sistemde “tam bir ay” geçirdiklerini belirtti.
Hackread.com’un DumpForums hacktivistleri tarafından öne sürülen iddialarla ilgili olarak Dr.Web’e ulaştığını ve bu makalenin buna göre güncelleneceğini belirtmekte fayda var.
Ukrayna ve Rusya Siber Savaşı
DumpForums’un kritik Rus altyapısına saldırmasıyla bilindiğini de belirtmekte fayda var. Haziran 2022’de Rusya İnşaat, Konut ve Kamu Hizmetleri Bakanlığı’nın hacklenmesi ve tahrif edilmesinin arkasında aynı grup vardı. Bilgisayar korsanları ayrıca bakanlığın tüm veritabanını çaldı ve verilerin internete sızmasını önlemek için fidye olarak 0,5 BTC talep etti.
Bununla birlikte Rusya ile Ukrayna arasındaki siber savaş yeni bir ivme kazanıyor. Her iki ülkedeki bilgisayar korsanları, çatışmanın başladığı 24 Şubat 2022’den bu yana birbirlerinin kritik altyapılarını hedef alıyor.
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi’ne (SSSCIP) göre, 2024’ün ilk yarısında Rusya’nın Ukrayna’ya yönelik siber operasyonlarında önemli bir değişiklik oldu. Yeni strateji, önceki geniş spektrumlu saldırılardan daha hedefli saldırılara doğru bir sapmaya işaret ediyor. Ukrayna’nın askeri ve savunma sektörlerine odaklanan yaklaşım.
Öte yandan Ukraynalı hackerlar son birkaç aydır oldukça aktif durumda. İddia edilen siber saldırılardan bazıları arasında Rusya’daki bankaların hedef alınması ve ATM’lerin kapatılması, devlet sektörünün hedef alınması ve petabaytlarca veriye zarar verilmesi, ülkenin vergi sisteminin sekteye uğratılması ve diğer eylemler yer alıyor.
İLGİLİ KONULAR
- Ukraynalı Hacktivistler Kişisel Bilgiler İçin Rus Askeri Eşlerini Kandırıyor
- Protestware Gazze, Ukrayna’da Barış Çağrısı Yapmak İçin NPM Paketlerini Kullanıyor
- Ukrayna, Rusya’nın Havacılık Ajansını Hackledi ve “Havacılıkta Yamyamlık” İddiasında Bulundu
- Barındırma İhlalinde 57.000 Kaspersky Fan Club Forum Kullanıcı Verisi Sızdırıldı
- Ukraynalı Hackerlar FBI Tarafından Aranan APT28 Liderinin E-postasını İhlal Etti