Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Siber Güvenlik Ajansı 'Operasyonel Etkisi Yok' Diyor
Chris Riotta (@chrisriotta) •
8 Mart 2024
Görünüşe göre ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı'nın federal kurumları savunmasız Ivanti VPN cihazlarını sıfırlamaya teşvik etmek için iyi bir nedeni vardı: Bilgisayar korsanları, CISA tarafından kullanılan iki ağ geçidini ihlal ederek ajansı onları çevrimdışına çıkarmaya zorladı.
Ayrıca bakınız: Canlı Web Semineri | Tehditlerle Mücadele Edin, Direnç Oluşturun ve Verimli Bir Şekilde Uyun: Hindistan'ın Güvenli Siber Gelecek Mantrası
Bir kurum yetkilisi Cuma öğleden sonra Information Security Media Group'a yaptığı açıklamada, hacklemenin “iki sistemle sınırlı olduğunu” ve ajansın devam eden güvenlik açıklarını azaltmaya çalışırken etkilenen VPN'leri “hemen çevrimdışına aldığını” ekledi.
Saldırıyı ilk bildiren The Record, etkilenen sistemlerin Altyapı Koruma Ağ Geçidi ve Kimyasal Güvenlik Değerlendirme Aracına bağlı olduğunu bildiren “durum hakkında bilgi sahibi bir kaynak”tan alıntı yaptı. IP Ağ Geçidi, ulusal önemli kritik altyapının güvenlik değerlendirmeleri gibi verileri içeren bir portaldır; CSAT ise özel sektörün kimyasal güvenlik planlarını barındırır.
Bir sözcü, “CISA, ajansın kullandığı Ivanti ürünlerindeki güvenlik açıklarından yararlanıldığını gösteren faaliyet tespit etti” dedi. “Sistemlerimizi yükseltmeye ve modernleştirmeye devam ediyoruz ve şu anda operasyonel bir etki söz konusu değil.”
Ajans, bilgisayar korsanlarının Ivanti ağ geçitlerinde saklanan hesap bilgilerini çaldığı konusunda uyardı.
Geçtiğimiz ay CISA, Çinli ulus-devlet bilgisayar korsanlarının Aralık ayında Utah'taki üreticinin ürünlerine karşı başlattığı hackleme furyasının ortasında federal kurumlara Ivanti cihazlarında fabrika ayarlarına sıfırlama yapmaları için 2 Şubat gece yarısı son tarihini verdi (bkz: Federaller, Ivanti Geçitlerini Sıfırlamak İçin Geceyarısı Son Tarihiyle Karşı Karşıya).
Bilgisayar korsanlığı dalgası Pekin'de başlamış olsa da, kripto madenciliği de dahil olmak üzere farklı amaçlara sahip diğer tehdit aktörleri, kendi yasa dışı sızma turlarını başlatmak için Ocak ayındaki sıfır gün açıklamasından yararlandı. Şansları, Ivanti'nin dürüstlük kontrol aracındaki aksaklıklar ve Ocak ayı sonlarında Şubat ayı başında ilave üç sıfır günün açıklanması nedeniyle arttı.
29 Şubat'ta CISA, bilgisayar korsanlarının güvenliği ihlal edilmiş bir cihaza fabrika sıfırlamasından sonra bile erişimi koruyabilecekleri konusunda uyardı; Ivanti, CISA'nın bulgularının üretim ortamlarında yeniden üretilmediğini ileri sürerek bu bulgulara karşı çıktı. O dönemde bir Ivanti sözcüsü, “Laboratuvar ortamının dışında, bu eylem kutuyla bağlantıyı koparacak ve dolayısıyla kalıcılık kazanamayacaktır” demişti (bkz: Ivanti, Fabrika Sıfırlama Sonrası Bilgisayar Korsanlığına İlişkin CISA Bulgularına İtiraz Ediyor).
Cuma günü bir kurum sözcüsü kendi siber saldırısını “herhangi bir kuruluşun bir siber güvenlik açığından etkilenebileceğinin bir hatırlatıcısı” olarak tanımladı ve “bir olay müdahale planına sahip olmanın dayanıklılığın gerekli bir bileşeni olduğunu” ekledi.