Çok Faktörlü ve Risk Tabanlı Kimlik Doğrulama, Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Güvenlik Operasyonları
Uzman Taklitçi Saldırı Riskine Karşı Uyardı; Telekomünikasyon İki Faktörlü Kimlik Doğrulamayı Etkinleştirmemişti
Mathew J. Schwartz (euroinfosec) •
5 Ocak 2024
Sınır Kapısı Protokolü yönlendirmelerini yönetmek için RIPE’yi veya başka bir bölgesel internet kayıt defterini kullanan tüm kuruluşların, güçlü güvenlik kontrolleri olmadığı sürece, potansiyel bir taklit korsanlık saldırıları dalgasına karşı kendilerini hazırlamaları gerekir.
Ayrıca bakınız: Bulutta Yerel SIEM için Temel Kılavuz: SIEM’den Buluta Geçiş
Siber güvenlik uzmanı Kevin Beaumont tarafından yayınlanan bu uyarı, Çarşamba günü İspanyol telekomünikasyon devi Orange España’ya düzenlenen ve müşterilerinin internet trafiğinin yaklaşık yarısının kesintiye uğradığı saldırının hemen ardından geldi.
Orange saldırganının, iki faktörlü kimlik doğrulamanın etkinleştirilmediği RIPE ile telekomünikasyon şirketinin yönetici hesabı için geçerli bir şifre alıp kullandığı görülüyor. Güvenlik uzmanları, şifrenin kaynağının Raccoon adı verilen, bilgi çalan kötü amaçlı yazılım olduğunu belirtiyor.
Saldırgan, hesaba erişim sağladıktan sonra trafiği Orange tarafından kontrol edilmeyen özerk bir sistem numarasına yönlendirmek için geçerli, kriptografik olarak imzalanmış bir rota başlangıç yetkisi yayınlamak üzere RIPE’nin barındırılan RPKI kaynak sertifikasyon hizmetini kullandı ve bu da trafiğin amaçlanan hedefe asla ulaşmamasına neden oldu.
Çarşamba sabahı erken saatlerde, İspanya saatine göre, Ms_Snow_OwO kullanıcı adını taşıyan, eski adıyla Twitter olarak bilinen bir X kullanıcısı – talep edilen kredi Orange’a gönderilen bir gönderideki saldırı için:
Miyav miyav miyav! RIPE yönetici hesabınızın güvenliğini düzelttim. Yeni kimlik bilgilerini almak için bana mesaj gönderin :^)
Kısa bir süre sonra Orange España, X’e İspanyolca gönderiler aracılığıyla müşterilere şunları söyledi: “Şu anda bazı müşterilerimiz için internette gezinmeyi etkileyen bir olayla karşılaştık.”
Telekomünikasyon devi daha sonra ISMG’ye yaptığı açıklamada şunları söyledi: “IP ağ koordinasyon merkezindeki (RIPE) Orange hesabı, bazı müşterilerimizin gezinmesini etkileyen uygunsuz bir erişime maruz kaldı.” Şirket, Çarşamba günü geç saatlerde derhal müdahale edip sorunu çözdüğünü ve “böyle bir olayın tekrar yaşanmasını önlemek için uygun önlemlerin alındığını” söyledi.
Cloudflare Radar, kesintinin Çarşamba günü üç saat boyunca tüm Orange España trafiğinin yaklaşık %50’sini etkilediğini bildirdi. BT söz konusu kesinti “büyük olasılıkla Orange Spain’in yönlendirme reklam politikalarıyla eşleşmeyen ve çoğu RPKI doğrulama ağının onlara yönlendirme yapmamasına neden olan yeni yayınlanan bir RPKI ROA’dan kaynaklanıyordu.”
Sınır Ağ Geçidi Protokolü, farklı IP adreslerine sahip kullanıcıları ve sistemleri birbirine bağlayabilmeleri için yönlendirme bilgilerini tüm yönlendiricilere dağıtarak internet için bir telefon rehberi görevi görür.
BGP ele geçirme saldırıları bazen internet kaynaklı verilere müdahale etmek için kullanılabilse de Orange, bu olayın herhangi bir müşteri verisinin tehlikeye atılmasıyla sonuçlanmadığını ve “yalnızca bazı hizmetlerin taranmasının etkilendiğini” söyledi. Çarşamba günü RIPE, müşterilerinin en az birinin kayıt hesaplarına yetkisiz erişimi doğruladı ve araştırdığını söyledi.
RIPE, “Meşru hesap sahibine erişimi yeniden sağladık ve hesabın bütünlüğünü sağlamak için onlarla yakın işbirliği içinde çalışıyoruz” dedi. “Bilgi güvenliği ekibimiz başka hesapların etkilenip etkilenmediğini araştırmaya devam ediyor. Etkilenebilecek hesap sahipleriyle doğrudan iletişime geçeceğiz.”
RIPE, tüm kullanıcıların şifrelerini güncellemelerini ve oturum açmaya çalıştıklarında kimlik doğrulayıcı uygulama tarafından oluşturulan altı haneli güvenlik kodunu girmelerini gerektiren iki adımlı doğrulamayı etkinleştirmelerini önerir.
Kuruluş ayrıca iki adımlı doğrulamanın nasıl zorunlu hale getirileceğini araştırdığını ve kullanıcılara ek ikinci faktör seçenekleri sunmayı planladığını söyledi.
Rakun Şifreyi Çaldı
Siber suç istihbarat firması Hudson Rock, saldırganın (Ms_Snow_OwO) X’e Orange’ın RIPE NCC erişim hesabına nasıl eriştiğini gösteren ve telekomünikasyon şirketinin RIPE hesabıyla ilişkili e-posta adresini gösteren bir resim yayınladığını söyledi. Hudson Rock, araştırmasına göre, bu e-posta adresiyle ilişkili bir sistemin geçen Eylül ayında Raccoon bilgi hırsızı enfeksiyonuna maruz kaldığını ve sistemden sızdırılan bilgilerin, bu e-posta adresine erişim için kimlik bilgilerini içerdiğini söyledi. https://access.ripe.net hesabın yanı sıra diğer 77 kurumsal kimlik bilgisi.
Bilgi hırsızı kullanıcılar genellikle çalınan bilgileri, alıcıların çalınan kimlik bilgilerine göz atıp satın alabileceği özel günlük pazarları aracılığıyla satarlar. Orange’ın RIPE kimlik bilgisi bu şekilde satılan bilgiler arasında yer aldığından Hudson Rock, saldırganın elde ettiği kimlik bilgilerinin muhtemel kaynağının bu olduğunu söyledi.
Hudson Rock, “Orange’ın RIPE yönetici hesabında kullanılan şifrenin ‘ripeadmin’ olduğunu da belirtmekte fayda var ki bu gülünç derecede zayıf” dedi ve satılan kurumsal şifrelerin çoğunun Orange tarafından birden fazla hesap için yeniden kullanıldığını da sözlerine ekledi. .
Zayıf parolayı bir kenara bırakan Beaumont, Orange’ı tebrik etti ve kesinti başladıktan sonra telekomünikasyonun sorunu çözmek için hızlı ve şeffaf bir şekilde hareket ettiğini söyledi.
Beaumont, RIPE kullanan diğer kuruluşların taklit saldırılara karşı dikkatli olmaları ve iki adımlı doğrulama kullandıklarından emin olmaları gerektiğini söyledi. “Şu anda bilgi hırsızı pazaryerleri binlerce kimlik bilgisini satıyor access.ripe.net – bunu Avrupa genelindeki kuruluşlarda ve İSS’lerde etkili bir şekilde tekrarlamanıza olanak tanıyor” dedi.