İranlı hacktivistler, başlangıçta akademik sektöre yönelik yerel bir teknoloji sağlayıcısının sistemlerini ihlal ederek İsrail üniversitelerine bir tedarik zinciri saldırısı düzenledi.
Kendine özgü Lord Nemesis grubu, satıcının İsrail'deki müşterilerinin, üniversitelerinin ve kolejlerinin sistemlerine sızmak için Rashim Software'den alınan kimlik bilgilerini kullandığıyla internette övünüyordu. Kurban üniversitelerden birine yardım eden bir olay müdahale firması olan Op Innovate'e göre, hack-ve-sızdırma operasyonu Kasım 2023'te veya civarında başladı. Firmaya göre, siber saldırı sonucunda söz konusu kurumun öğrenci verilerinin açığa çıkması “büyük olasılıkla”.
Öğrenci odaklı bir CRM paketi de dahil olmak üzere akademik yönetim yazılımı sağlayıcısı Rashim, iddia edilen ihlalle ilgili Dark Reading'in sorularına yanıt vermedi.
Zayıf Erişim Kontrollerini Hacklemek
İçinde ayrıntılı blog yazısıİsrailli güvenlik danışmanlığı Op Innovate, Rashim'e yönelik hackleme operasyonunun zayıf erişim kontrolleri ve titrek kimlik doğrulama kontrollerinin bir kombinasyonuna dayandığını söyledi.
Op Innovate, Rashim'in müşterilerinin sistemlerinden en azından bazılarında yönetici kullanıcı hesabı tuttuğunu tespit etti. “Saldırganlar bu yönetici hesabını ele geçirerek VPN'lerini kullanarak çok sayıda kuruluşa erişmeyi başardılar [virtual private network] Michlol CRM'ye güvenen [customer relationship management]IR ve danışmanlık firması raporunda, potansiyel olarak bu kurumların güvenliğini tehlikeye atıyor ve verilerini riske atıyor” diye yazdı.
Daha güçlü kimlik doğrulama kontrolleri normalde bu tür saldırılara karşı bir bariyer oluştururdu ancak Rashid, e-posta tabanlı kimlik doğrulamaya güveniyordu. Saldırganlar, veritabanlarını ve diğer sistemleri hedef alan daha geniş bir saldırının parçası olarak Rashim'in Microsoft Office365 altyapısını tehlikeye attıktan sonra, e-posta kimlik doğrulaması bir savunma olarak işlevsiz kaldı.
Nemesis Yavru Kedi
4 Mart'ta, ilk ihlalden dört ay sonra, Lord Nemesis, Rashim'in dahili Office365 altyapısına erişimini kullanarak yazılım şirketinin müşterilerine, meslektaşlarına ve ortaklarına şirketin e-posta hesabından “Rashim'in altyapısına tam erişime sahip olduğunu” bildiren bir mesaj gönderdi. “
İran merkezli hacktivistler Şubeleri Rashim'in veritabanlarından nasıl silebildiklerini belgeleyen ayrı ayrı yüklenen videolar. Ayrıca şirketi taciz etmek ve korkutmak amacıyla Rashim'in CEO'sunun kişisel videolarını ve resimlerini de sızdırdılar.
Nemesis Kitten olarak da bilinen Lord Nemesis, ilk olarak 2023'ün sonlarında ortaya çıktı ve Rashim ihlali, yeni kurulan grubun ilk önemli siber saldırısını temsil ediyor.
Op Innovate'in CMO'su Roy Golombick, Dark Reading'e, saldırganların Rashim Software'in sistemlerine ilk kez tam olarak nasıl girdiklerinin, olayla ilgili devam eden soruşturma nedeniyle gizli kaldığını söyledi.
Ancak Golombick, hacktivistlerin ticari becerilerine ilişkin bazı ayrıntıları paylaştı. “Grup, yerel bir proxy sunucusundan İsrail'e bilinen kötü amaçlı bir IP kullandı ve böylece coğrafi engellemeyi geçersiz kıldı. Bu IP, araştırma ekibimize değerli bir IOC sağladı. [indicator of compromise] erişim girişimlerini tanımlamak için” diye açıkladı Golombick.
Op Innovate, Lord Nemesis görevlilerinin, enstitünün öğrenci CRM sistemine ayrıcalıklı erişim sağlayan Rashim Software'in yönetici hesabını başarıyla ele geçirdiğini doğruladı.
Op Innovate'in raporuna göre “Saldırganlar, bu yükseltilmiş kimlik bilgilerinden yararlanarak normal çalışma saatleri dışında enstitünün VPN'sine bağlandı ve veri hırsızlığı başlattı.”
Günlük analizi, saldırganların hassas öğrenci verileri içeren bir SQL sunucusu da dahil olmak üzere sunucuları ve veritabanlarını hedef aldığını ortaya çıkardı. Ancak Op Innovate, saldırı sonucunda kişisel öğrenci verilerinin çalındığına dair kesin bir kanıt bulamadı ancak yine de bu tür hassas bilgilerin muhtemelen açığa çıktığı sonucuna vardı.
Siber saldırı İsrail'deki kuruluşlarla sınırlı görünüyor. Golombick, “Bildiğimiz kadarıyla ve saldırgan grubun Telegram kanalına dayanarak, saldırının özellikle İsrail kuruluşlarını hedef aldığı görülüyor” diyor.
Yazılım Tedarik Zinciri Riski
Saldırı, kuruluşların üçüncü taraf satıcılara ve iş ortaklarına güvenmelerinden kaynaklanan riski gösteriyor. Saldırganlar, hedeflenen kuruluşa doğrudan saldırmak yerine yazılım veya teknoloji tedarikçilerine sızmayı giderek daha kolay buluyor. tedarik zinciri saldırıları Bu onlara birden fazla potansiyel kurban ağına geçişte bir basamak sağlıyor.
Golombick, Rashim'e ve müşterilerine yönelik saldırıyı daha önceki saldırıyla karşılaştırdı “Pay2Key” Aralık 2020'de İsrail nakliye ve lojistik sektörüne karşı kampanya başlatıldı. Her iki olay da tedarik zinciri riskini en aza indirmek için proaktif adımlar atmanın önemini gösteriyor.
“Bu, MFA'nın uygulanmasını da içerir [multi-factor authentication] Golombick, özellikle üçüncü taraf satıcılar tarafından kullanılanlar başta olmak üzere tüm kullanıcılara yönelik ve hesapların mesai dışı faaliyetler gibi şüpheli davranışlara ve diğer tehlike işaretlerine karşı izlenmesini tavsiye ediyor.
Şaşırtıcı olmayan bir şekilde, “erken kritik saatlerin dikkate alınması için hızlı yanıt verilmesini sağlamak amacıyla” saygın bir Yİ firmasının hizmetli olarak görevlendirilmesini de tavsiye ediyor.