Dünyanın en büyük beş forklift üreticisinden biri olan Crown Equipment, yaklaşık iki hafta boyunca üretim operasyonlarını kesintiye uğratan bir siber saldırıya uğradı. Şirketin dün saldırıyı “uluslararası bir siber suç örgütü” olarak nitelendirmesi, bir fidye yazılımı çetesinin olaya karıştığı yönündeki spekülasyonları artırdı.
Siber saldırı, üst üste ikinci hafta boyunca Crown’un BT sistemlerini, çalışan iş akışlarını ve genel iş sürekliliğini etkiledi.
Crown Ekipman Siber Saldırısına Genel Bakış
Yaklaşık 8 Haziran’dan beri Crown çalışanları şirketin BT sistemlerinde bir ihlal olduğunu bildirdi. Bu ihlal, sistemlerin tamamen kapanmasına yol açarak çalışanların çalışma saatlerini takip etmelerini, servis kılavuzlarına erişmelerini ve bazı durumlarda makineleri teslim etmelerini engelledi.
Ağır makine üreticisi, çalışanlara gönderilen dahili bir e-postada siber saldırıyı doğruladı ve çalışanlarına çok faktörlü kimlik doğrulama (MFA) isteklerini göz ardı etmelerini ve kimlik avı e-postalarına karşı dikkatli olmalarını tavsiye etti.
“Şu anda orada çalışıyorum. Herkes telaş içinde, TVH dışında parça sipariş edemiyor ve bu kesinlikle acil durumlar için geçerli. Şirket, saldırıya uğradığını resmi olarak açıklamadı ancak MFA’nın önemini vurgulamaya devam ediyor. Satır aralarını okuyabiliyoruz.” – Reddit Kullanıcısı (Williams2242)
Şirket, basın açıklamasında, bilgisayar korsanları ve varsa fidye talepleri hakkında ayrıntılı bilgi vermeden, sorunu araştırmak ve çözmek için ihlalin işletim sistemlerinin kapatılmasını gerektirdiğini ortaya çıkardı.
Taç Ekipman Saldırısı Ayrıntıları
Crown, güvenlik önlemlerinin çoğunun suçluların verilere erişimini sınırlamada etkili olduğunu açıkladı. Ancak Reddit gönderisine göre ihlal muhtemelen bir çalışanın veri güvenliği politikalarına uymaması ve bunun sonucunda cihazına yetkisiz erişime yol açması nedeniyle meydana geldi.
“Birinin BT gibi davranan bir bilgisayar korsanından telefon aldığını duydum. Bilgisayarlarına sahte bir VPN yüklediler ve her şeye erişim sağladılar. Ağda, tüm sistemlere erişmelerini sağlayan ayrıcalıklı bir hesap oluşturdular. Ağ Pazar günü çöktü ve o zamandan beri herhangi bir ETA olmadan da hizmet dışı kaldı.” – Reddit Kullanıcısı (YusufçukJust2223)
Bu spekülasyon, tehdit aktörünün çalışanın bilgisayarına uzaktan erişim yazılımı yüklediği bir sosyal mühendislik saldırısına işaret ediyor.
Almanca konuşan bir dijital gözlemci tarafından yönetilen bir web sitesi olan BornCity, bir hack olasılığını ilk olarak yaklaşık bir hafta önce bildirdi. BornCity, Crown’un üretim tesisinde çalışan uzak bir kaynağa atıfta bulunarak sorunların büyük olasılıkla bir ‘kodlama hatasından’ kaynaklandığını söyledi. “Bu, Crown 360 (muhtemelen Microsoft Bulut ve Office 365’i temel alan bir hizmet) çözümünün yokuş aşağı gitmesine neden oldu; ancak bu bilgilerin o kadar da güvenilir olmadığını düşünüyorum.”
Ancak Crown Equipment bu spekülasyonu doğrulamadı ve dolayısıyla iddialar da doğrulanamadı.
Crown Equipment Çalışanları Üzerindeki Etki
Başlangıçta Crown, çalışanlara işsizlik başvurusunda bulunmaları veya ücretli izinlerini (PTO) ve tatil günlerini kaçırılan günler için ücret almak için kullanmaları gerektiğini söyledi. Geçen hafta sonu, bu yönerge güncellendi ve çalışanlardan işsizlik başvurusunda bulunmaları istendi, ardından birkaç kişi hoşnutsuzluklarını dile getirmek için Reddit’e gitti.
“İnsanlara kendi hatalarının bedelini ödememeleri gerçeği doğru değil. Crown bir aile şirketi gibi davranıyor ama “ailelerini” desteklemeye ihtiyaç duydukları anda onları sallıyorlar. İnsanlar yaşamak için bu paraya ihtiyaç duyarken, paranın sahibi bankadaki multimilyonlarıyla arkanıza yaslanıp rahatlayabilir. Crown’un darbeyi karşılaması ve doğru olanı yapması gerekiyor.” – Reddit Kullanıcısı
Bir diğeri şöyle dedi:
Ancak Crown daha sonra düzenli maaşı avans olarak vermeye karar vererek çalışanların kaybedilen saatleri daha sonra telafi etmelerine olanak tanıdı. Bu düzenlemeye rağmen çalışanlar, olay sırasında şirketin şeffaflık ve iletişim eksikliğinden duyduğu hayal kırıklığını dile getirdi.
Crown Equipment’ın, etkilenen verileri analiz etmek ve saldırı sonrasını yönetmek için dünyanın en iyi siber güvenlik uzmanlarından bazılarıyla ve FBI ile görüştüğü bildirildi. Şirket, çalışanların kişisel bilgilerinin veya kimlik hırsızlığını kolaylaştırabilecek verilerin hedeflendiğine dair herhangi bir belirti bulunmadığını vurguladı.
Şirket şu anda sistemleri geri yükleme ve normal iş faaliyetlerine geri dönme sürecindedir. Ayrıca kesintinin operasyonları üzerindeki etkisini en aza indirmek için müşterilerle yakın işbirliği içinde çalışıyorlar.
Crown, siber saldırının türünü belirtmese de, açıklamaları uluslararası bir siber suç örgütünün fidye yazılımı saldırısı düzenlediğini gösteriyor. Onaylanırsa bu, kurumsal verilerin büyük olasılıkla çalındığı ve fidye taleplerinin karşılanmaması durumunda sızdırılabileceği anlamına gelir.
Crown bu önemli aksaklıktan kurtulmaya devam ederken olay, dünya çapındaki şirketlere, kritik iş yüklerini izole etmek, sosyal mühendislik saldırılarını önlemek için çalışanların eğitimine yatırım yapmak ve siber olayları yönetmek için etkili iletişim stratejileri oluşturmak da dahil olmak üzere siber güvenlik protokollerini güçlendirmeleri gerektiğini hatırlatıyor.