MOVEit güvenlik açığının kurbanları öne çıkıyor ve MOVEit’e yapılan bir saldırıdan etkilendiklerini doğruluyor.
Aer Lingus, BBC, Boots ve British Airways, MOVEit güvenlik açığı nedeniyle doğrudan veya dolaylı olarak bir veri ihlaline maruz kaldıklarını doğruladılar. BBC siber saldırısı, yayın şirketinin personeline aynı konuda uyarıda bulunan e-postalar göndermesine yol açtı.
Bu arada, BleepingComputer’ın bildirdiğine göre, Cl0p fidye yazılımı grubu, MOVEit güvenlik açığından yararlanarak çıkarılan veri hırsızlığı saldırılarının sorumluluğunu üstlendi.
Fidye yazılımı grubu, başka bir popüler veri aktarım hizmeti olan GoAnywhere’deki bir güvenlik açığından yararlanarak dünya çapında bir saldırıya geçti.
MOVEit güvenlik açığı, BBC siber saldırısı ve British Airways veri ihlali
BBC, personeline personel kimlik numaralarının, doğum tarihlerinin, ikamet adreslerinin ve ulusal sigorta numaralarının bilgisayar korsanları tarafından çalındığını belirten e-postalar gönderdi.
Cyber Express, yorum için yukarıda belirtilen şirketlere ulaştı.
“Salgından etkilenen şirketlerden biri olduğumuz bilgisi bize ulaştı. Zellis’in siber güvenlik olayı British Airways basın ofisi temsilcisi, MOVEit adlı üçüncü taraf tedarikçilerinden biri aracılığıyla gerçekleşti.
Zellis’in devreye nasıl girdiğine değinen British Airways temsilcisi, “Zellis, Birleşik Krallık’ta bizim de dahil olduğumuz yüzlerce şirkete bordro destek hizmeti veriyor. Bu olay, yaygın olarak kullanılan bir MOVEit dosya aktarım aracındaki yeni ve önceden bilinmeyen bir güvenlik açığı nedeniyle meydana geldi.”
MOVEit güvenlik açığı, siber saldırı ve Zellis’in rolü
Etkilenen bireyleri uyarmak ve onlara destek sağlamak için British Airways, kişisel bilgileri ele geçirilen personeli bilgilendirdi.
British Airways, Boots, Aer Lingus ve BBC siber saldırısına yol açan saldırı, CVE-2023-34362 sıfır günlük bir güvenlik açığından yararlanmakla başlasa da, Cl0p fidye yazılımı grubunu Zellis’e ve oradan da Birleşik Krallık, yani Boots, BBC ve British Airways.
Zamanla, British Airways’e bordro hizmetleri sağlayan MOVEit Transfer veya Zellis kullanan kuruluşların maruz kaldığı veri ihlallerini doğrulayan daha fazla kurbanın öne çıkacağı tahmin ediliyor.
British Airways temsilcisi, BA’nın MOVEit ile bir sözleşmesi olmadığını doğruladı. Ancak, MOVEit Zellis’in bir tedarikçisi olduğu için muhtemelen etkilenmişlerdir.
British Airways’in basın temsilcisi The Cyber Express’e “Veri koruma ekibimiz, sorunun kontrol altına alınmasını sağlamak ve bilgilerin kötüye kullanılmasını azaltmak için IAG’nin Grup Güvenlik Operasyonları Merkezi (SOC) ile yakın bir şekilde çalışıyor” dedi.
“Zellis ve BA, olayı Bilgi Komiserliği Ofisine (ICO) bildirdi.”
Zellis siber saldırısı ve Birleşik Krallık merkezli müşterileri
BBC sözcüsü Daily Telegraph’a “Üçüncü taraf tedarikçimiz Zellis’te bir veri ihlali olduğunun farkındayız ve ihlalin boyutunu acilen araştırırken onlarla yakın bir şekilde çalışıyoruz” dedi.
Zellis, maruz kaldığı siber saldırıyı MOVEit Transfer güvenlik ihlaline bağladı, ancak kendi yazılımlarından herhangi birinin etkilendiğini reddetti.
“Az sayıda müşterimizin bu küresel sorundan etkilendiğini doğrulayabiliriz ve onları desteklemek için aktif olarak çalışıyoruz. Şirketten yapılan açıklamada, Zellis’e ait hiçbir yazılım etkilenmedi ve ilgili herhangi bir olay veya BT varlığımızın başka herhangi bir bölümünde güvenlik ihlali söz konusu değil” ifadeleri kullanıldı.
Şirket, MOVEIt’e yönelik siber saldırıyı öğrendiğinde Zellis’in MOVEit yazılımını kullanan sunucunun bağlantısını kestiğini söyledi.
MOVEit güvenlik açığı ve Aer Lingus siber saldırısı
Bir Aer Lingus sözcüsü, The Cyber Express’in e-postasına, Zellis’in İrlanda merkezli uluslararası havayollarına siber saldırı yaşadığı konusunda bilgi verdiğini doğrulayarak yanıt verdi.
Sözcü The Cyber Express’e “Bu, mevcut ve eski çalışan verilerimizden bazılarının ifşa edilmesine neden oldu” dedi.
“Bu olayda Aer Lingus’un mevcut veya eski çalışanlarına ilişkin hiçbir finansal veya banka detayının ele geçirilmediği doğrulandı. Aer Lingus’un mevcut veya eski çalışanlarıyla ilgili hiçbir telefon iletişim bilgisinin ele geçirilmediği de doğrulandı.”
Sözcü, Zellis’in olayın kontrol altına alındığına dair güvence verdiğini ve Aer Lingus gibi Veri Koruma Komiseri ve Ulusal Siber Güvenlik Merkezi’ni uyardıklarını söyledi.
Aer Lingus personelinin, Aer Lingus veri ihlaliyle ilgili ihtiyaç duyabilecekleri herhangi bir yardım için özel telefon hatları da sağlanmıştır.
MOVEit güvenlik açığı saldırısı, bir tedarik zinciri sorunu
Cyber Express, tek bir güvenlik açığından kaynaklanan bir dizi saldırıyı araştırmak ve daha fazla perspektif kazanmak için, benzer istismarların ciddiyetine ışık tutan Vectra Strateji Başkan Yardımcısı Mark Wojtasiak ile konuştu.
“BA, BBC ve Boots, yazılım tedarik zincirleri daha karmaşık hale geldikçe kuruluşların kendilerini korumalarının ne kadar zorlaştığının en son örnekleri. Bilgisayar korsanlarının fidye yazılımlarına veya diğer siber saldırılara karşı savunmasız kaldıklarında yararlandıkları geniş bir ağlar zinciri haline geliyor” dedi.
“BT ekosistemine eklenen her yeni tedarikçi firma ile bir kuruluşun saldırı yüzeyi büyüyor. Bu, daha modern, gelişmiş, sofistike ve – en kötüsü – bilinmeyen saldırıların büyüyen sarmalına katkıda bulunuyor.”
Mark ayrıca, yalnızca üçüncü taraf sağlayıcıları seçerken değil, aynı zamanda tedarik zinciri güvenlik olaylarını meydana geldikçe tanımlayabilmeleri için kendi BT ortamlarına ilişkin görünürlüğü geliştirirken de dikkatli olunması gerektiğinin altını çizdi.