Olay ve İhlal Yanıtı, Güvenlik Operasyonları
Yüzlerce güvenlik duvarı alarmı duyuldu ama dikkate alınmadı, Crowdstrike Prob
Mathew J. Schwartz (Euroinfosec) •
16 Mayıs 2025
Rhode Island Valisi, profesyonel hizmetler firması Deloitte’ye, işletmenin yönettiği kritik devlet altyapısına aylarca süren bir hack saldırısı tespit edemediği için çarptı.
Ayrıca bakınız: AI Gap, siber saldırılara karşı mücadele eden savunucuları bırakır
Siber güvenlik firması Crowdstrike, ihlalleri araştırmak için işe alındı, bilgisayar korsanlarının 15 farklı sistemde yüzlerce uyarıyı gösteren bir güvenlik duvarı yönetimi portalına rağmen, Deloitte tarafından yönetilen ortamda dört ay boyunca tespit edilmediğini buldu. Uyarılar özellikle Kasım 2024’teki 18 gün boyunca aktifti, bu sırada saldırganlar gigabaytları veri söndürdü. İki ay önce başka bir uyarı, saldırganlar dahili bir IP adresinden “harici bir bulut depolama sağlayıcısı IP adresine” erişmeye çalıştığında ses çıkardı.
Perşembe günü düzenlenen bir basın toplantısında, Rhode Island Current, “Deloitte onları kesinlikle sorumlu tuttuğumuz bazı sorunları kaçırdı.” Dedi. “Bu süre boyunca tespit edilmeyeceği, kabul edilemez bir şey.”
Devlet Deloitte’ye karşı yasal işlemleri tartıyor. McKee, “Hesap verebilirlik sağlama çabalarımızda tüm yolları takip edeceğiz.” Dedi.
CrowdStrike, devletin Ribridges adı verilen sağlık ve insan hizmetleri verilerini depolama sistemini ihlal eden saldırganların, isimler, adresler, doğum tarihleri ve banka hesap numaraları dahil – kapsamlı kişisel bilgileri çaldığını söyledi.
Saldırgan “Deloitte kimlik bilgilerinin yetkisiz kullanımı yoluyla Ribridges sistemine giriş kazandı” dedi.
Perşembe günü ayrıntılı olan en son ihlal çetesi yeni. Ocak ayında devlet 657.000 kişiye saldırıda kişisel bilgilerinin maruz kaldığını bildirdi. Crowdstrike’ın değerlendirmesi, o zamandan beri, bu bireylerin 114.879’u için kişisel bilginin maruz kalmadığını buldu, ancak 107.757 ile ilgili bilgilerin maruz kaldığını keşfetti. Bazıları “ne ribrides müşterileri ne de avantajları fayda için değil, ancak doğrulama amacıyla federal ajanslarla paylaşılan dosyalara dahil edildi” dedi.
Fidye Yazılımı Grubu İhlal Etti
İhlal ilk olarak 4 Aralık 2024’te fidye yazılım grubu Brain Cipher’in veri sızıntı sitesinde Deloitte’den çalındığını iddia ettiği zaman ortaya çıktı.
Buna karşılık, Deloitte bir soruşturma başlattı ve 5 Aralık 2024’te devleti “ribridges ortamında şüpheli faaliyet” keşfettiği konusunda uyardı.
Devlet, 13 Aralık 2024’te geçici olarak ribridleri çevrimdışı aldı ve Medicaid ve Ek Beslenme Yardım Programı da dahil olmak üzere sağlık ve insan hizmetleri yardımlarına yönelik yeni kayıtları bozdu.
Google Cloud’un maniant olay müdahale grubunun son M trendleri raporuna göre, kuruluşların çoğunluğu ilk olarak dış kaynaktan bir ihlal öğrendiği için Deloitte, müdahaleyi tespit edememek istatistiksel olarak olağandışı değil.
2024’te soruşturulan maniant, kuruluşların% 43’ü ilk olarak, bir kolluk kuvveti, siber güvenlik firması veya tedarik zinciri ortağı gibi meşru bir dış varlıktan ödün verildiğini öğrendiler ve% 14’ü ilk olarak bir ransomware grubunun veri sızdırmazlık sitesi gibi bir düşmanla saldırı öğrendi. Buna karşılık, içsel olarak tespit edildikten sonra ihlallerin% 43’ü ortaya çıktı.
İhlalin araştırılması
Crowdstrike, 16 Aralık 2024’te Falcon yazılımını çevreye kurmak ve daha fazla uzlaşma göstergesini izlemek de dahil olmak üzere Ribridges Breach ile ilgili soruşturmasını başlattı ve 31 Ocak 2025’te sonucunu sonuçlandırdı.
Devlet, Perşembe günü firmanın dijital adli raporunun yoğun bir versiyonunu yayınladı.
Firma, geçen yıl 11 Kasım – 28 Kasım tarihleri arasında saldırganların verileri ortaya çıkardığını ve daha sonra bir daha asla uzaktan çevreye erişmediklerini söyledi.
Crowdstrike, saldırganların çevrede kaldığına veya herhangi bir dış erişime sahip olduğuna dair hiçbir işaret bulamadığını söyledi. Ayrıca, saldırganların devlet tarafından yönetilen BT ortamına erişmeyi başardıklarını gösteren herhangi bir gösterge olmadığını söylediler.
Müfettişler, saldırganın ribridlere ilk erişimi nasıl kazandığını tam olarak doğrulayamadıklarını, ancak ihlalin 2 Temmuz 2024’te “tehdit aktörünün, Rhode Island’ın özel olmayan hesap olmayan bir durumunu kullanarak ribrides yapmayan sanal özel ağa başarılı bir şekilde kimlik doğrulaması yapıldığını” söyledi.
Saldırganların VPN’ye erişmek için çok faktörlü kimlik doğrulamasını atlayıp atlamadığı veya MFA’nın yerinde olup olmadığı açık değildi. Deloitte, Crowdstrike’a “Ribridges üretim ortamı ile ilgili tüm hesaplar için MFA’nın bulunduğunu” söyledi, ancak saldırgan üretim dışı ortama eriştiği görülüyor.
Crowdstrike, “tehdit oyuncusunun VPN’ye doğrulamak için kullanılan kimlik bilgilerine nasıl eriştiğini veya çok faktörlü kimlik doğrulamasının atlanıp atlanmadığını belirleyemediğini” söyledi, çünkü daha kesin olmasına izin verecek hiçbir günlük almadı. “MFA olay günlükleri, MFA’nın tehdit oyuncusu VPN oturumları için tetiklenip tetiklenmediğini belirlemek için CrowdStrike tarafından gözden geçirilmek üzere tutulmadı.” Dedi.
3 Temmuz 2024’te saldırgan, bir uygulama sunucusuna uzaktan bağlanmak için bir uzak masaüstü protokol oturumu başlattı, daha sonra oradan “ribridges ortamındaki diğer altı sisteme” döndürülürken, aynı zamanda bağlantı noktalarını tararken ve bir ağ tarama aracı çalıştırdı. Saldırganlar, iki uygulama sunucusunda ayrıcalıkları artırmak için tasarlanmış PowerShell komut dosyaları çalıştırdılar, daha sonra araştırmacıların iyileşemediklerini söyledikleri üç farklı ikili dosya yüklediler.
4 Temmuz 2024’te, saldırganlar bir kimlik bilgisi hasat aracı işletti ve 12 Temmuz’da, saldırgan tarafından daha fazla bağlantı denemesini izlemek için tasarlanmış açık kaynaklı bir ters-proksi aracı çalıştırmak için bir Windows paylaşılan görev oluşturdu. 13 Temmuz’da saldırganlar, çevreye sürekli erişim sağlamak için uzaktan izleme ve yönetim araçları kullandılar.
Müfettişler, saldırganların nihayetinde ribrides oluşturan 338 farklı sistemin 28’ine eriştiğini söyledi.
Devlet, “İhlalin Aralık ayında tespit edildiğinden beri, eyalet ve Deloitte, sistemin güvenliğini sağlamak ve benzer saldırılardan ribridleri korumak için uygun güvenlik önlemleri aldılar.” Dedi.
Rhode Island’ın Deloitte ile gelecekteki ilişkisi belirsizliğini koruyor. Valilik, “Devlet, Deloitte tarafından yönetilen mevcut Ribridges sistemini yeni bir sisteme geçiş amacıyla modernize etmek için seçenekler izleme sürecindedir.” Dedi.