Nova Scotia siber saldırısı, MOVEit Transfer güvenlik açığına bağlanmıştır.
Kanada’nın on üç eyaleti ve bölgesinden biri olan Nova Scotia’ya yönelik siber saldırı, açıklanmayan sayıda kullanıcıyı etkiledi ve verileri bilgisayar korsanlarının eline geçti.
Eyalet yönetimi, MOVEit Transfer güvenlik açığından yararlanarak Nova Scotians’ın verilerine erişim sağladılar.
Nova Scotia eyaleti, dosya aktarım hizmeti MOVEit tarafından bilgilendirildikten sonra sistemleri çevrimdışı duruma getirdi. Nova Scotia yönetimi tarafından yapılan bir basın açıklamasında, yetkililer belirtti Nova Scotia siber saldırısında bilinmeyen sayıda kişinin kişisel bilgilerinin ihlal edildiği.
Nova Scotia siber saldırısı: MOVEit söz konusu
Dosya aktarım hizmetinin ihlali, MOVEit güvenlik açığından kaynaklanan güvenlik sorununu ele alan yetkililer, personelin Nova Scotia siber saldırısı hakkında daha fazla ayrıntı bulma sürecinde olduğunu söyledi.
Yönetim, Nova Scotia siber saldırısında güvenliği ihlal edilen sistemlerin sayısını ve veri miktarının nasıl kullanıldığını henüz doğrulamadı. Cyber Express, yönetime e-posta gönderdi ve bu raporu en son gelişmelerle güncelleyeceğiz.
Eyalet hükümeti, müşterisi olduğu bir şirket yazılımındaki bir güvenlik açığı aracılığıyla 1 Haziran’da Nova Scotia siber saldırısı hakkında uyarıldı. Bunu takiben, il aracı sistemin daha fazla zarar görmesini önlemek için çevrimdışı ve yüklü güvenlik önlemleri aldı.
Haber bülteninde, “Eyalet, tespit edildikten sonra etkilenen Nova Scotians ile doğrudan iletişime geçecek ve soruşturma devam ederken daha fazla bilgi paylaşacak” dedi. Nova Scotia, bilgileri devlet içinde verimli bir şekilde paylaşmak için MOVEit Transfer hizmetlerini kullandı.
2 Haziran’da Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), MOVEit Transfer’deki kritik CVE-2023-34362 güvenlik açığından bahseden bir danışma belgesi yayınladı: bir SQL Enjeksiyon kusuru.
Benzer güvenlik açıklarından yararlanmanın ciddiyetini belirten CISA danışma belgesi, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.”
Nova Scotia siber saldırısı ve MOVEIt Transfer güvenlik açığı
Nova Scotia siber saldırısından kaç kişinin ve sistemin etkilendiği belirlenemezken, eyalet Siber Güvenlik ve Dijital Çözümler Bakanı Colton LeBlanc gazetecilere, personelin bazı işleri manuel olarak yaptığını söyledi.
“Şu anda personel, hangi bilgilerin çalındığını ve kime ait olduğunu belirlemek için erişilen tüm dosyaları manuel olarak inceliyor” dedi.
MOVEit yazılımının geliştiricileri, eski adı Ipswitch olan Burlington, Massachusetts merkezli Progress şirketindendir.
Bir Halifax Examiner raporuna göre, MOVEit Transfer güvenlik açığı Adalet Bakanlığını da etkilemiş olabilir. Ancak bu, Bakan Colton Leblanc tarafından doğrulanmadı.
Siber güvenlik şirketi Reliaquest tarafından hazırlanan bir tehdit analizi raporunda, “Bu güvenlik açığının vahşi ortamda aktif olarak kullanıldığı gözlemlendi, bu da artan ayrıcalıklara ve bir ortama olası yetkisiz erişime yol açabilir” dedi.
“ReliaQuest, en az 27 Mayıs 2023’ten beri bu güvenlik açığından yararlanıldığını gözlemledi.”
Bu, şirketin sıfır gün güvenlik açığını halka açık bir şekilde ele almasından dört gün önceydi. Yakın gelecekte daha fazla mağdurun veri ihlali bildirimleriyle öne çıkacağı çıkarımı yapılabilir.
Ayrıca, bilgisayar korsanları muhtemelen fidye talepleri ile hedeflenen şirketlerle iletişime geçecek ve tehdit edecek, aksi takdirde verilerini karanlık ağa sızdıracaklardır. MOVEit Transfer güvenlik açığından yararlanma nedeniyle toplu veri kullanımı meydana geldi.
Şimdiye kadar, Lace Tempest adlı bir grup, bu MOVEit Transfer güvenlik açığından yararlanan verilerin hacklenmesiyle ilişkilendirildi. Microsoft bildirdi.
Microsoft, CVE-2023-34362 MOVEit Transfer 0 günlük güvenlik açığından yararlanan saldırıları, fidye yazılımı operasyonları ve Cl0p gasp sitesini çalıştırmasıyla bilinen Lace Tempest’e atfediyor. Tehdit aktörü, geçmişte verileri çalmak ve kurbanları gasp etmek için benzer güvenlik açıklarını kullanmıştı,” diye tweet attı yazılım şirketi.
Microsoft’a göre, güvenlik açıklarının bu tür istismarını genellikle bir web kabuğu veri sızdırma taktiğinin konuşlandırılması takip eder.