FBI ile özel sektör üyeleri arasında ABD’nin kritik altyapısını korumak için kurulan InfraGard adlı ortaklığa bir siber suçlu sızdı.
InfraGard
InfraGard, Federal Soruşturma Bürosu (FBI) ile özel sektör üyeleri arasında ABD’nin kritik altyapısını korumaya yardımcı olmak için oluşturulmuş bir ortaklıktır. İşbirliği çabalarında InfraGard, kritik altyapıdan sorumlu olanları FBI’a bağlar. FBI, ortaya çıkan teknolojiler ve tehditler hakkında eğitim, bilgi paylaşımı, ağ oluşturma ve atölye çalışmaları sağlar. InfraGard’ın üyeleri arasında işletme yöneticileri, girişimciler, avukatlar, güvenlik personeli, askeri ve hükümet yetkilileri, BT uzmanları, akademi ve eyalet ve yerel kolluk kuvvetleri yer alır.
ihlal
Bir tehdit aktörü, InfraGard’ın 80.000’den fazla üyeli veritabanına erişim sağladıklarının kanıtı olarak örnekler yayınladı. KrebsOnSecuirty’ye göre tehdit aktörü, USDoD tanıtıcısını kullanan Breached forumlarının bir üyesidir. Siber suç forumu Breached’in yöneticisi Pompompurin, satıcı için bir emanet hizmeti sağlıyor. Bir emanet hizmeti, finansal işlem yapan iki taraf arasında aracı görevi görür ve kimsenin bir dolandırıcılık nedeniyle parasını kaybetmemesini sağlamayı amaçlar. Parayı alıcıdan alırlar ve alıcı satın alma işlemini düzgün bir şekilde teslim alana kadar bu ödemeyi elinde tutarlar.
yanlış hesap
Tehdit aktörü sorulduğunda, sahte bir hesap açarak erişim sağladıklarını açıkladı. USDoD kullanıcısı, KrebsOnSecurity’ye ABD’li büyük bir finans kuruluşunun CEO’suna ait isim ve gerçek telefon numarasıyla, ancak tehdit aktörünün kontrolünde olan bir e-posta adresiyle başvurduklarını söyledi. Başvuru, görünüşe göre CEO’nun bildiği herhangi bir doğrulama yapılmadan onaylandı.
Erişim sağlandıktan sonra, InfraGard kullanıcı verilerine, web sitesinin birkaç temel bileşeninde yerleşik olan bir Uygulama Programlama Arayüzü (API) aracılığıyla kolayca ulaşılabiliyordu.
FBI, sahte bir hesaptan haberdar olduklarını söyledi, ancak daha fazla yorum yapmayı reddetti.
“Bu devam eden bir durum ve şu anda herhangi bir ek bilgi sağlayamıyoruz.”
Veri
Çalınan veriler dünyayı sarsan değil. Çalınan veritabanı, 80.000’den fazla InfraGard kullanıcısının adlarını, bağlantılarını ve iletişim bilgilerini içerir, ancak çalınan kayıtların yalnızca 47.000’i benzersiz e-postaları içerir. Muhtemelen üyelerin güvenlik bilincinden dolayı, veriler ne Sosyal Güvenlik numaralarını ne de doğum tarihlerini içeriyordu. Veritabanında bu bilgiler için alanlar olmasına rağmen, birçok kullanıcı bunları boş bırakmıştı.
Belki daha da endişe verici olan şey, tehdit aktörünün diğer InfraGard üyelerine doğrudan erişiminin olması ve bu “güvenilir” platformu diğer kimlik avı seferlerine katılmak için kullanabilmesidir. USDoD, sahtekar hesabın, CEO olarak InfraGard mesajlaşma portalını kullanarak diğer yöneticilere doğrudan mesaj göndermeyi bitirmelerine yetecek kadar uzun süre dayanacağını umduklarını söyledi.
Bu hikaye devam edecek gibi görünüyor. Yeni gelişmeler oldukça sizleri buradan haberdar edeceğiz.