Avrupa Birliği’nin emniyet teşkilatı Europol, Europol Uzmanlar Platformu (EPE) portalının ihlal edildiğini doğruladı ve bir tehdit aktörünün gizli veriler içeren Yalnızca Resmi Kullanım İçin (FOUO) belgelerini çaldığını iddia etmesinin ardından olayı araştırıyor.
EPE, kolluk kuvvetleri uzmanlarının “suçla ilgili bilgileri, en iyi uygulamaları ve kişisel olmayan verileri paylaşmak” için kullandığı çevrimiçi bir platformdur.
Europol BleepingComputer’a şunları söyledi: “Europol olayın farkında ve durumu değerlendiriyor. İlk eylemler zaten alındı. Olay, Europol Uzman Platformu (EPE) kapalı kullanıcı grubuyla ilgili.”
“Bu EPE uygulamasında hiçbir operasyonel bilgi işlenmemektedir. Europol’ün hiçbir çekirdek sistemi etkilenmemektedir ve dolayısıyla Europol’ün hiçbir operasyonel verisi tehlikeye atılmamıştır.”
BleepingComputer ayrıca ihlalin ne zaman gerçekleştiğini ve bunun doğru olup olmadığını sordu. FOUO ve gizli belgeler, tehdit aktörünün iddia ettiği gibi çalındı, ancak hemen bir yanıt alınamadı.
Politico’nun Mart ayında bildirdiği üzere, Europol’ün genel müdürü Catherine De Bolle ve diğer üst düzey kurum yetkililerinin basılı personel kayıtları da Eylül 2023’ten önce sızdırılmıştı.
18 Eylül tarihli ve dahili mesaj panosu sisteminde paylaşılan bir notta, “6 Eylül 2023’te Europol Direktörlüğü’ne, birkaç Europol personelinin kişisel evrak dosyalarının kaybolduğu bilgisi verildi.” deniyordu.
“Europol’ün kolluk kuvveti olarak rolü göz önüne alındığında, personelin kişisel dosyalarının kaybolması ciddi bir güvenlik ve kişisel veri ihlali olayı teşkil etmektedir.”
Yayınlandığı sırada EPE web sitesi çevrimdışıydı ve bir mesaj, hizmetin bakım altında olduğundan kullanılamadığını belirtiyordu.
Veri ihlali iddialarının arkasındaki tehdit aktörü IntelBroker, dosyaların FOUO olduğunu ve gizli veriler içerdiğini belirtiyor.
Tehdit aktörü, çalındığı iddia edilen verilerin ittifak çalışanları hakkındaki bilgileri, FOUO kaynak kodunu, PDF’leri ve keşif ve yönerge belgelerini içerdiğini söyledi.
Ayrıca, EPE portalındaki topluluklardan biri olan, yüzlerce siber suçla ilgili materyali barındıran ve dünyanın dört bir yanından 6.000’den fazla yetkili siber suç uzmanı tarafından kullanılan EC3 SPACE’e (Akredite Siber Suç Uzmanları için Güvenli Platform) erişim elde ettiklerini iddia ediyorlar:
- AB Üye Devletlerinin yetkili makamları ve AB üyesi olmayan ülkelerdeki kolluk kuvvetleri;
- Adli makamlar, akademik kurumlar, özel şirketler, sivil toplum kuruluşları ve uluslararası kuruluşlar;
- Europol personeli
IntelBroker ayrıca AB üye ülkeleri, Birleşik Krallık, Eurojust ile işbirliği anlaşması olan ülkeler ve Avrupa Savcılığı (EPPO) da dahil olmak üzere 47 ülkenin yargı ve kolluk kuvvetleri tarafından kullanılan SIRIUS platformunun güvenliğini ihlal ettiklerini söylüyor.
SIRIUS, cezai soruşturmalar ve yargılamalar bağlamında sınır ötesi elektronik delillere erişmek için kullanılır
IntelBroker, EPE’nin çevrimiçi kullanıcı arayüzünün ekran görüntülerinin sızdırılmasının yanı sıra, 9.128 kayıt içerdiği iddia edilen EC3 SPACE veritabanının küçük bir örneğini de sızdırdı. Örnek, EC3 SPACE topluluğuna erişimi olan emniyet teşkilatlarının ve siber suç uzmanlarının kişisel bilgilerine benzeyen bilgileri içeriyor.
Tehdit aktörü, bir hack forumunda Cuma günkü gönderisinde “FİYATLANDIRMA: Teklif gönderin. YALNIZCA XMR. Bir iletişim noktası için bana forumlardan mesaj gönderin. Para kanıtı gerekli. Yalnızca saygın üyelere satış yapıyorum” dedi.
IntelBroker kimdir?
Bu tehdit aktörü Aralık ayından bu yana ICE ve USCIS, Savunma Bakanlığı ve ABD Ordusu gibi çeşitli devlet kurumlarından çaldığı iddia edilen verileri sızdırıyor.
Bu olayların Nisan 2024’teki iddia edilen Beş Göz veri sızıntısıyla da bağlantılı olup olmadığı belli değil, ancak ICE/USCIS forum gönderisine atılan bazı veriler Beş Göz gönderisiyle örtüşüyor.
IntelBroker, ABD Temsilciler Meclisi üyeleri, çalışanları ve aileleri için sağlık bakım planlarını yöneten DC Health Link’i ihlal etmesiyle tanındı.
İhlal, ABD Temsilciler Meclisi üyeleri ve personeli de dahil olmak üzere etkilenen 170.000 kişinin kişisel verilerinin açığa çıkmasının ardından bir kongre duruşmasına yol açtı.
Bu tehdit aktörüyle bağlantılı diğer siber güvenlik olayları arasında Hewlett Packard Enterprise (HPE), Home Depot ve Weee! bakkal hizmeti ve General Electric Aviation’ın ihlal edildiği iddiası.
Bu haftanın başlarında IntelBroker, bulut güvenlik şirketi Zscaler’in ağına erişim bilgilerini de satmaya başladı (ör. “kimlik bilgileriyle dolu günlükler, SMTP Erişimi, PAuth İşaretçi Kimlik Doğrulama Erişimi, SSL Geçiş Anahtarları ve SSL Sertifikaları”).
Zscaler daha sonra, hiçbir şirket, müşteri veya üretim ortamı etkilenmemesine rağmen adli analiz için çevrimdışına alınan, çevrimiçi ortamda açığa çıkan “yalıtılmış bir test ortamı” keşfettiklerini doğruladı. Zscaler ayrıca bağımsız bir soruşturma yürütmek için bir olay müdahale firmasıyla anlaştı.