USDoD takma adını kullanan bir tehdit aktörü ve fidye yazılımı operatörü olduğu iddia edilen kişi, Türk Hava Yolları’na ait hacklenmiş bir müşteri hesabını kullanarak kuruluşun sistemlerine sızdığı iddia edilen havacılık devi Airbus’un 3.000’den fazla tedarikçisine ilişkin verileri sızdırdı.
Ortaya çıkan olayı ilk tespit eden Hudson Rock’a göre USDoD, FBI’ın InfraGard sisteminden çalındığı iddia edilen bir veri setini sunmak için 2022’nin sonunda yer altı Breached forumuna gittiğinde zaten bir ölçüde kötü şöhret kazanmıştı.
Breached’in Federaller tarafından kapatılmasının ardından USDoD, BreachedForums’a geçiş yapan çok sayıda kullanıcı arasında yer aldı. Daha sonra, Eylül ayının başlarında, biri Ransomed adlı yeni bir fidye yazılımı ekibine katıldığını iddia eden, diğeri ise Airbus’ın 3.200 tedarikçisindeki personelin kişisel bilgilerini içeren iki ayrı gönderi yayınladılar.
Bu veri kümesinin isimleri, adresleri ve iletişim bilgilerini içerdiği ve Rockwell Collins ve Thales gibi pek çok hassas kuruluşla ilgili olduğu anlaşılmaktadır. Hudson Rock’a göre Lockheed Martin ve Raytheon’u da hedef aldıklarını iddia ettiler.
Hudson Rock, USDoD’un Airbus’a Türk Hava Yolları üzerinden erişim sağladığı yönündeki iddiaları doğrulayabildi. İlk kurban, Microsoft .NET çerçevesinin korsan bir sürümünü indirmeye çalışmış gibi görünüyordu, ancak bunun yerine, Airbus sistemlerine girmek için kullanıldıkları yerden kimlik bilgilerini artıran RedLine bilgi hırsızlığının kurbanı oldu.
Hudson Rock’ın araştırmacıları, “Son yıllarda başlıca ilk saldırı vektörü haline gelen bilgi hırsızlığı enfeksiyonlarından elde edilen kimlik bilgileri, tehdit aktörlerine şirketlere kolay giriş noktaları sağlayarak veri ihlallerini ve fidye yazılımı saldırılarını kolaylaştırıyor” diye yazdı.
“Bir siber suç eğilimi olarak bilgi hırsızlığı enfeksiyonları, 2018’den bu yana inanılmaz bir oranda %6.000 arttı ve bu durum, onları tehdit aktörlerinin kuruluşlara sızmak ve fidye yazılımı, veri ihlalleri, hesap ele geçirmeleri ve kurumsal casusluk da dahil olmak üzere siber saldırıları gerçekleştirmek için kullandıkları birincil ilk saldırı vektörü olarak konumlandırıyor.” dediler.
Ekip, Airbus’ın bilgisayar acil durum müdahale ekibinin (CERT) kendilerine bunun gerçekten de saldırı vektörü olduğunu doğruladığını ekledi.
Airbus sözcüsü şunları söyledi: “Airbus, bir Airbus müşterisine ait BT hesabının saldırıya uğradığı bir siber olayla ilgili soruşturma başlattı. Bu hesap, bu müşteriye özel iş belgelerini Airbus web portalından indirmek için kullanıldı.
“Sistemlerimizin ele geçirilmesini önlemek için güvenlik ekiplerimiz tarafından derhal iyileştirici ve takip tedbirleri alındı” diye eklediler.
“Önemli bir ileri teknoloji ve endüstriyel oyuncu olan Airbus, aynı zamanda kötü niyetli aktörlerin de hedefidir. Airbus, siber güvenliği ciddiye alıyor ve BT sistemlerindeki faaliyetleri sürekli olarak izliyor; gerektiğinde anında ve uygun önlemleri alarak şirketi korumak için sağlam koruma araçlarına, yetenekli siber uzmanlara ve ilgili süreçlere sahip.”
Exabeam uluslararası güvenlik stratejisi kıdemli direktörü Samantha Humphries şunları söyledi: “Tedarik zinciri saldırıları, siber suçluların savunmalara sızması veya savunmayı aşması için genellikle çok daha kolay bir yol olduğundan, tüm kuruluşların planlama yapması gereken bir tür içeriden tehdittir. Şeytan sözleşme ayrıntılarında gizli olsa da, gerçekçi olmak gerekirse güvenlik liderleri tedarikçi riskiyle ilgili durum tespiti tartışmalarında rol oynamalı, aynı zamanda tedarik zinciri saldırılarını tespit edip bunlara yanıt verebilmelerini sağlamak için süreçler ve izlemeler uygulamalıdır.
“Bu sonuçta iş yapma maliyetinin bir parçasıdır ve iş kolaylaştırıcı olarak görülmesinin yanı sıra risk ve uyumluluk açısından temel bir odak noktası olarak görülmelidir” dedi.
“Maalesef bu tür saldırılar, rakipler için başarılı gelir yolları olmaya devam ediyor, bu nedenle masa üstü alıştırmalar, kimlik bilgileri izleme ve ihlal müdahale planlaması dahil uygun hazırlıkların üçüncü ve dördüncü taraf tedarikçi hususlarını da içermesi gerekiyor.”