Dikkate değer bir bilgisayar korsanlığı forumu olan DumpForums, önde gelen bir Rus siber güvenlik şirketi olan Dr.Web’i hedef alan büyük bir veri ihlalinin sorumluluğunu üstlendi.
Bilgisayar korsanları, firmanın altyapısından şaşırtıcı derecede 10 terabaytlık hassas veri sızdırdıklarını ve bunun Dr.Web’in lider güvenlik sağlayıcısı olarak itibarına ciddi şekilde zarar verdiklerini iddia ediyor.
Bilgisayar korsanlarının DumpForums’ta yayınlanan açıklamasına göre, ihlal birkaç gün içinde titizlikle planlandı ve gerçekleştirildi.
Saldırganlar, başlangıçta Dr.Web’in yerel ağına sızarak sunucu üstüne sunucuyu ve kaynak üstüne kaynağı tehlikeye attıklarını iddia ediyor. Bu sistematik yaklaşımın Dr.Web altyapısının en güvenli bölümlerine bile sızmalarına olanak sağladığı iddia ediliyor.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Tehlike Altındaki Sistemler
İddiaya göre bilgisayar korsanları, aşağıdakiler de dahil olmak üzere çeşitli kritik sistemlerden verileri başarıyla ihlal etti ve sızdırdı:
- Dahili gelişmeleri ve projeleri içeren kurumsal GitLab sunucusu
- Kurumsal posta sunucusu
- Geliştirme ve görev yönetimi için kullanılan Confluence, Redmine, Jenkins ve Mantis sistemleri
- RocketChat, bir iletişim platformu
- Çeşitli yazılım yönetimi kaynakları
Belki de en endişe verici olanı, saldırganların istemci veritabanlarına eriştiklerini ve bunları yüklediklerini iddia ederek, güvenlikleri konusunda Dr.Web’e güvenen kullanıcıların hassas bilgilerini potansiyel olarak açığa çıkardıklarını iddia etmeleridir.
Bilgisayar korsanları, sızdırılan toplam veri miktarının yaklaşık 10 terabayta ulaştığını iddia ediyor. İddiaya göre bu devasa bilgi yığını Dr.Web tarafından bir ay boyunca fark edilmedi; bu süre zarfında şirket normal şekilde çalışmaya ve güvenlik ürünlerini tanıtmaya devam etti.
Dr.Web’in resmi açıklaması farklı bir tablo çiziyor. 14 Eylül Cumartesi günü şirket, kaynaklarına yönelik hedefli bir saldırıyı kabul etti ancak altyapısına zarar verme girişiminin derhal engellendiğinde ısrar etti. Dr.Web hiçbir kullanıcı ürününün etkilenmediğini belirtti.
Dr.Web, bir önlem olarak doğrulama amacıyla tüm kaynakların ağ bağlantısını kesti ve virüs veritabanlarının yayınlanmasını geçici olarak askıya aldı.
Şirket, Dr.Web FixIt’in katılımını duyurdu! Kaynak doğrulama sürecini hızlandırmak için Linux için özel bir yayın öncesi sürüm olan Service.
Bu iddia edilen ihlal, doğrulanması halinde Dr.Web’e ve bir bütün olarak siber güvenlik sektörüne ciddi bir darbe indirecektir. Uzmanlaşmış güvenlik firmalarının bile karmaşık saldırılara karşı savunmasızlığını vurguluyor ve mevcut koruma önlemlerinin etkinliği hakkında sorular ortaya çıkarıyor.
Olay, son yıllarda Rus siber güvenlik şirketlerini hedef alan rahatsız edici siber saldırı eğiliminin ardından geldi. Haziran 2024’te Ukrayna yanlısı bilgisayar korsanlığı grubu Cyber Anarchy Squad, başka bir Rus güvenlik firması Avanpost’u ihlal ederek 390 GB veri sızdırdığını iddia etti.
Siber savunmanın ön saflarında yer alan şirketler için bile sürekli dikkat, sağlam güvenlik önlemleri ve şeffaf olay müdahale protokollerine olan kritik ihtiyacın altını çiziyor.
İhlalin tam boyutu ve Dr.Web’in müşterileri üzerindeki potansiyel etkisi henüz bilinmiyor. Soruşturmalar devam ettikçe siber güvenlik sektörü, bu tür karmaşık saldırılara karşı korunma konusunda öğrenilecek dersleri ve yapılacak iyileştirmeleri yakından izleyecek.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar