Hintli bir siber güvenlik firması olan CloudSEK, bir saldırının kurbanı oldu. siber güvenlik olayı bilinmeyen bir tehdit aktörü Confluence sunucusuna erişmeyi başardığında.
CloudSEK’in olayla ilgili blog gönderisine göre, kurucusu ve CEO’su Rahul Sasi, bilgisayar korsanının CloudSEK çalışanlarından birinin Jira hesaplarından çalınan kimlik bilgilerini kullandığını yazdı. Rahul ayrıca, tehdit aktör(ler)inin şirketin Confluence sayfalarına erişmek için çalışanın Jira şifresini ele geçirdiğini belirtti.
Ayrıca bilgisayar korsanı, satın alma siparişleriyle birlikte üç müşteri adı gibi bazı dahili verilere erişti. hata raporlarıürün panosu ekran görüntüleri ve Confluence wiki’sinden alınan Şema Diyagramları.
CloudSEK ayrıca sunucu veya veritabanı erişiminin tehlikeye atılmadığını da doğruladı. Olayla ilgili hızla soruşturma başlatıldı. Muhtemel şüphelilerin ana hatlarını çizen Sasi, karanlık ağ olaylarını izleme konusunda üne sahip başka bir siber güvenlik firmasının sorumlu olabileceğini iddia etti.
“Saldırının arkasında Dark web izlemesi yapan kötü şöhretli bir Siber Güvenlik şirketinden şüpheleniyoruz. Saldırı ve göstergeler, geçmişte gözlemlediğimiz benzer taktikleri kullanma konusunda kötü bir geçmişe sahip bir saldırgana geri dönüyor.”
Rahul Sasi
Hacker’ın İddiaları
CloudSEK’in saldırıyı keşfettiği sıralarda, yani 6 Aralık Salı günü, Cyble Research & Intelligence Labs (CRIL) siber güvenlik uzmanları, CloudSEK Info Security’nin güvenliğini ihlal ettiğini iddia eden ‘sedut’ takma adını kullanan bir tehdit aktörü fark etti. Pvt Ltd. Oyuncu, birden fazla siber suç forumunda Hintli firmaya izinsiz girildiğini bildirdi.
Cyble araştırmacıları, bunun CloudSEK’e yönelik hedefli bir saldırı olduğundan ve saldırganın amacının şirketin dijital tehdit istihbaratı kardeşliği içindeki itibarını olumsuz yönde etkilemek olduğundan şüpheleniyor. Saldırganın iddialarını ortaya çıkaran Cyble araştırmacıları, Blog yazısı Saldırganın birden fazla erişime sahip olduğu ve verileri bu forumlarda alıcılara açık bir şekilde sunduğu.
Satıştaki veriler şunları içeriyordu:
- Satış öncesi bilgi.
- VPN kimlik bilgileri.
- Satın alma siparişleri.
- Şirket kimlik bilgileri.
- Kapsamlı müşteri verileri.
- Proje ile ilgili veritabanları.
- Gizli kaynak kodları.
- Hassas altyapı detayları.
- Mühendislik ürünleri ile ilgili veriler.
Ayrıca tehdit aktörü, CloudSEK’in ekosistemine birkaç aydır erişimi olduğunu iddia etti. Şirketin dahili sunucularına erişimleri olduğunu doğrulayan birden fazla ekran görüntüsü ve video paylaşarak bu iddiayı destekledi.
İlk ekran görüntüsünde gösterildiği gibi, bilgisayar korsanı ayrıca XSS ve Breached bilgisayar korsanlığı forumlarını kazımak için kullanılan hesap kullanıcı adlarını ve hesapların şifrelerini ve diğer verilerin yanı sıra farklı web sitesi tarayıcılarını kullanma talimatlarını içeren görüntüleri de sızdırdı.
Veritabanı 10.000$’a satılıktır ve mühendislik/çalışan ürün dosyalarının her biri 8000$’dır.
Nasıl Gerçekleşti?
Sasi, bilgisayar korsanının çalınan Jira hesabı kimlik bilgilerini dahili belgelere, eğitim belgelerine, açık kaynaklı otomasyon komut dosyalarına ve Confluence sayfalarına erişmek için kullandığını ve bunların hesaba saldırıldığını ortaya çıkardı.
CloudSEK, Jira kullanıcısının şifre kullanmadığını, sadece SSO kullandığını da doğruladı; e-postası da şu kişiler tarafından korunuyordu: MFA (çok faktörlü kimlik doğrulama). Böylece, Jira şifresi ve kullanıcının e-posta hesabı tehlikeye girmedi.
Bunun yerine şirket, tehdit aktörünün Jira kullanıcısının oturum çerezlerini ele geçirerek hesabı ele geçirmelerine izin verdiğine inanıyor. Saldırganın oturum tanımlama bilgilerini nasıl ele geçirdiği şu anda araştırılıyor.
Alakalı haberler
Google, Siber Güvenlik Firması Mandiant’ı 5,4 Milyar Dolara Satın Aldı
Siber güvenlik devi FireEye, yabancı bir hükümet tarafından hacklendi
ABD, Kaspersky’yi Ulusal Güvenliğe Tehdit Oluşturan Firmaların Listesine Aldı
Siber Güvenlik Firması Mandiant, LockBit Tarafından Hacklendiğini Reddetti
Uluslararası Af Örgütü Hintli siber güvenlik firmasını casus yazılım saldırılarıyla suçluyor