Play fidye yazılımı grubu, 14 Haziran 2023'te karanlık web sızıntı sitesinde yayınlanan, gizli belgeler ve oturum açma kimlik bilgileri de dahil olmak üzere federal hükümete ait yaklaşık 65.000 belgeyi sızdırdı.
İsviçreli BT hizmet sağlayıcısı Xplain'e yapılan siber saldırının ardından, sızdırılan verilerin ayrıntıları İsviçre Ulusal Siber Güvenlik Merkezi'nin (NCSC) bir basın bülteninde açıklandı. Soruşturmaya Federal Siber Güvenlik Ofisi (BACS) de katıldı.
Bakanlık, Play fidye yazılımı grubu tarafından “ulusal ve kanton yetkililerine BT hizmetleri sağlayan büyük bir sağlayıcı” olan Xplain'den çalınan verileri analiz ettiğini doğruladı.
Arka plan
Mayıs 2023'te bilgisayar korsanları, kanton hizmetlerine yönelik uygulamaları barındıran Xplain sunucularını hedef alarak, fidye karşılığında bir anahtar veya engellemeyi kaldırma aracı gönderilene kadar erişimi engelleyen bir güvenlik açığından yararlandı. Play fidye yazılımı grubu tarafından gerçekleştirilen saldırının geniş kapsamlı sonuçları oldu; Federal Polis Dairesi, Federal Gümrük ve Sınır Koruma Dairesi, İsviçre Federal Demiryolları ve Aargau kanton yetkililerini etkiledi.
Haziran 2023'te İsviçre federal hükümeti web siteleri ve İsviçre Federal Demiryolları'nın çevrimiçi portalı DDoS saldırılarında hedef alındı ve bu da birçok web sitesinin kullanılamamasına neden oldu. Maliye bakanlığı, 12 Haziran 2023'te Telegram kanalındaki saldırının sorumluluğunu Rusya yanlısı “NoName” grubunun üstlendiğini ve saldırıda herhangi bir veri kaybı yaşanmadığını bildirdi. Bu grup aynı zamanda Haziran 2023'ün başlarında İsviçre parlamentosunun internet sitesine düzenlenen saldırıya da karışmıştı.
Play fidye yazılımı grubu, 14 Haziran 2023'te karanlık web sızıntı sitesinde yayınlanan, gizli belgeler ve oturum açma kimlik bilgileri de dahil olmak üzere federal hükümete ait yaklaşık 65.000 belgeyi sızdırdı.
NCSC'nin bugün erken saatlerde yayınlanan basın açıklamasına göre BACS, daha sonra federal yönetim içindeki olaylara müdahale koordinasyonunu ve sızdırılan verilerin analizini devraldı. 28 Haziran'da bir politika stratejisi kriz ekibi oluşturuldu ve Xplain'deki veri sızıntısının ayrıntılarını öğrenmek için 23 Ağustos'ta resmi olarak idari bir soruşturma başlatıldı.
Rapor Ayrıntıları
BACS, raporun sızdırılan verilerin içeriğine değil, veri türleri ve analiz zorluklarına odaklandığını vurguladı. Dosyaların yaklaşık %70'i (yaklaşık 47.413) Xplain'e, %14'ü (9.040) ise Federal İdare'ye aittir. Bilgisayar korsanları, başta Federal Adalet ve Polis Bakanlığı, Federal Adalet Dairesi, Federal Polis Dairesi, Göçmenlik Devlet Sekreterliği ve ISC-FDJP olmak üzere İsviçre federal hükümetine ait 9040 dosyanın %95'ini sızdırdı.
Federal Yönetim dosyalarının yaklaşık yarısı kişisel veriler, teknik bilgiler, gizli bilgiler ve şifreler gibi hassas içerik barındırıyor; 4.779 dosya kişisel veri, 278 dosya ise teknik bilgi içeriyor. Bilgi Koruma Yönetmeliği kapsamında sınıflandırılan 121 nesnenin 4'ü okunabilir şifreler içeriyor.
Bakanlık, olası sonuçları ele almak için yetkililer ve Xplain ile işbirliği yapmayı amaçlıyor. Bu incelemenin Mart 2024'te tamamlanması bekleniyor.
Play Fidye Yazılımı Grubu Hakkında
Play fidye yazılımı grubunun Rusya merkezli olduğuna inanılıyor ve Haziran 2022'den Ekim 2023'e kadar Kuzey Amerika, Güney Amerika ve Avrupa'daki işletmelere ve kritik altyapılara yönelik yaklaşık 300 başarılı saldırıdan sorumlu. Grup, ikili bir gasp modeli kullanıyor; RDP ve VPN gibi harici hizmetlere yetkisiz erişim.
İLGİLİ KONULAR
- Fidye Yazılımı Saldırısı Romanya'daki 18 Hastanenin Hizmetlerini aksattı
- LockBit Fidye Yazılımı Çetesi Geri Dönüyor, FBI ile Alay Ediyor, Veri Sızıntısı Yemini Veriyor
- LoanDepot Fidye Yazılımı Saldırısı Veri İhlaline Yol Açıyor; 17M Etkilendi
- Schneider Electric Enerji Devi, Cactus Fidye Yazılımı Saldırısını Doğruladı
- TeamViewer Uzaktan Erişim Sağlamak ve Fidye Yazılımını Dağıtmak İçin Suistimal Edildi