Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Yama Yönetimi
İngiltere Bordro Sağlayıcısı Zellis’in MOVEit Hack’i British Airways, Boots ve BBC’yi Etkiledi
Jayant Chakraborty (@JayJay_Tech), David Perera’nın (@daveperera), Mathew J. Schwartz (euroinfosec) •
5 Haziran 2023
Microsoft, Rusça konuşan Clop hizmet olarak fidye yazılımı çetesinin bir üyesinin, Progress Software’in yönetilen dosya aktarım ürünündeki yakın zamanda yamalanan bir güvenlik açığından yararlanan bir dizi saldırının arkasında olduğunu söyledi.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
Bir tehdit aktörü, 27 Mayıs’ta MOVEit Transfer’de kritik bir SQL enjeksiyon güvenlik açığından yararlanmaya başladı ve bazı durumlarda web kabuklarını dağıttıktan sonra birkaç dakika içinde verileri aldı. Microsoft söz konusu aktör, FIN11 veya TA505 olarak da bilinen Lace Tempest.
Bilinen kurbanlar arasında, sekiz kurumsal müşterinin etkilendiğini söyleyen İngiliz maaş bordrosu sağlayıcısı Zellis yer alıyor. Bir şirket sözcüsü, “Zellis’e ait hiçbir yazılım etkilenmedi ve BT varlığımızın başka herhangi bir bölümünde bununla ilgili herhangi bir olay veya uzlaşma yok” dedi.
Etkilenen müşteriler arasında British Airways, BBC ve İngiliz eczane zinciri Boots yer alıyor.
İngiltere bayrak taşıyıcısı, “MOVEit adlı üçüncü taraf tedarikçilerinden biri aracılığıyla Zellis’in siber güvenlik olayından etkilenen şirketlerden biri olduğumuz konusunda bilgilendirildiğini” söyledi. Boots, maaş bordrosu sağlayıcı saldırısının “bazı ekip üyelerimizin kişisel bilgilerini etkilediğini söyledi. Sağlayıcımız, sunucuyu devre dışı bırakmak için acil adımların atıldığına dair bize güvence verdi.”
Kanada eyaleti Nova Scotia hükümeti Pazar günü bilgisayar korsanlarının bir sakinin kişisel bilgilerini de ihlal ettiğini açıkladı.
Şimdiye kadar ABD kuruluşlarından gelen açıklamalar daha az gelecek. Tehdit istihbarat analisti Germán Fernández Cumartesi günü söz konusu 39’u Amerika Birleşik Devletleri’nde olmak üzere human2.aspx arka kapısıyla en az 57 potansiyel uzlaşma örneği keşfetmişti. Güvenlik araştırmacısı Kevin Beaumont söz konusu verileri çalınan kuruluşların listesi, birden fazla ABD hükümeti ve bankacılık kuruluşunu içerir. MOVEit müşterileri, birden fazla eyalet hükümetini içerir. Şirketin LinkedIn sayfası müşteri olarak FBI’ı ve aralarında JPMorgan Chase Bank ve Geico’nun da bulunduğu büyük şirketleri listeliyor. Üç kuruluştan hiçbiri yorum talebine hemen yanıt vermedi.
New York Finansal Hizmetler Departmanı Perşembe günü finansal kuruluşlara ihlalleri 72 saat içinde bildirmelerini hatırlattı.
Beaumont, “MoveIT Transfer, ABD Hükümeti genelinde önerilen bir çözüm olarak kullanılıyor ve bunların tümü savunmasızdı (ve çoğu durumda, pek çok kuruluş henüz yama yapmadığı için hala),” yazdı Twitter’dan.
CVE-2023-34362 olarak izlenen güvenlik açığı, Cuma günü ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’nın Progress Software yamasının uygulanmasına öncelik vermesine neden oldu. Ajans, “Bir saldırgan, veritabanı öğelerini değiştiren veya silen SQL ifadelerini yürütmenin yanı sıra veritabanının yapısı ve içeriği hakkında bilgi edinebilir.” Dedi.
Çarşamba günü yayınlanan bir güvenlik danışma belgesinde Progress Software, kritik güvenlik açığı saldırısının Mayıs ayında başladığını ve tüm MOVEit Transfer sürümlerini etkilediğini söyledi. Shodan arama motorunu kullanan siber güvenlik araştırmacıları, geçen haftanın ortası itibarıyla genel internete maruz kalan yaklaşık 2.500 yazılım örneği buldu (bkz: Web Kabuklarını Dağıtmak, Verileri Çalmak için MOVEit Kusurunu Kullanan Bilgisayar Korsanları).
Siber güvenlik şirketi Mandiant, saldırıların fırsatçı göründüğünü ve davranışın “gasp aktörlerinden gördüğümüz faaliyetlerle tutarlı olduğunu, bunun da kurban kuruluşların önümüzdeki günlerde veya haftalarda potansiyel olarak fidye e-postaları alabileceği anlamına geldiğini” söyledi.
Birden fazla firmadan alınan analizler, saldırganların web kabuğunun kılığına girdiğini söylüyor. human.aspxmeşru bir MOVEit Transfer bileşeni. Mandiant’ın Lemurloot olarak adlandırdığı web kabuğu için yaygın bir dosya adı human2.aspx içinde wwwroot MOVEitTransfer dizininin klasörü.
Mandiant, FIN11’in eski Sovyetler Birliği’nde yerleşik olduğunu makul bir güvenle değerlendiriyor. Göstergeler, Rusça dosya meta veri klavye düzeninin yanı sıra eski Sovyetler Birliği’ni oluşturan ülkelerdeki hedeflerden kaçınmasını içerir.
Grup, Nisan ayında birden çok kuruluşu hedeflemek için Avustralyalı PaperCut firmasının baskı yönetimi yazılımındaki iki güvenlik açığından yararlandı. Etkilenen sistemlere Clop fidye yazılımını enjekte etmek için TrueBot adlı bir kötü amaçlı yazılım indiricisi kullandı (bkz.: Fidye Yazılımı Bilgisayar Korsanları PaperCut Hatalarından Yararlanıyor).
Clop fidye yazılımı çetesi, bu yılın başlarında GoAnywhere dosya aktarım yazılımındaki bir güvenlik açığından yararlanan 50’den fazla saldırının sorumluluğunu üstlendi (bkz.: Clop GoAnywhere Saldırıları Şu Anda 130 Kuruluşu Vurdu).