Ukrayna yanlısı bir grup hacktivist, Rus güvenlik şirketi Doctor Web’in (Dr.Web) Eylül ayındaki ihlalinin sorumluluğunu üstlendi.
Dr.Web geçen ay, 14 Eylül’de ağının ihlal edildiğini doğruladı; bu durum, olayı araştırırken tüm dahili sunucuların bağlantısını kesmeye ve virüs veri tabanı güncellemelerini müşterilere göndermeyi durdurmaya zorladı.
Salı günü Telegram’da yayınlanan bir gönderide, DumpForums’un Ukrayna yanlısı hacktivistleri, hacklemenin arkasında kendilerinin olduğunu ve Dr.Web’in geliştirme sistemlerine erişim sağladıklarını söyledi.
İddiaya göre yaklaşık bir ay boyunca Dr.Web’in ağına erişimleri vardı ve bu da onların şirketin GitLab’ından, e-postasından, Confluence’ından ve güvenliği ihlal edilmiş diğer sunucularından müşteri veritabanları da dahil olmak üzere yaklaşık on terabaytlık veriyi çalmalarına olanak tanıdı.
DumpForums, “Dahili geliştirme ve projelerin depolandığı kurumsal GitLab sunucusuna, geliştirmenin yürütüldüğü ve görevlerin tartışıldığı kurumsal posta sunucusuna, Confluence, Redmine, Jenkins, Mantis, RocketChat sistemlerine hacklemeyi ve boşaltmayı başardık.” dedi.
ReliaQuest’in Tehdit Araştırma Ekibi, DumpForums’un en azından Mayıs 2022’nin sonlarından bu yana “hacktivistler ve yurtsever siber tehdit aktörleri için çevrimiçi bir merkez” olduğunu söylüyor.
Çabaları, DDoS saldırıları ve Rus hükümetinden ve özel kuruluşlardan çalınan bilgilerin sızdırılması yoluyla “Ukrayna’nın Rusya’ya karşı savaş çabasını” desteklemeye odaklanıyor.
Dr.Web veri hırsızlığı iddialarını yalanladı
Bugün Dr.Web, iddialara yanıt olarak bir bildiri yayınlayarak Eylül ayındaki ihlali bir kez daha doğruladı ancak saldırının “derhal durdurulduğunu” söyledi.
Rus kötü amaçlı yazılım önleme şirketi, saldırganların o zamandan beri talep ettiği fidye talebini ödemeyeceğini ekledi ve saldırıda müşteri bilgilerinin çalındığını yalanladı.
“Asıl amaç şirketimizden fidye istemekti ancak saldırganlarla görüşmüyoruz. Şu anda kolluk kuvvetleri soruşturma yürütüyor, bu nedenle soruşturmaya müdahale etmemek adına detaylı yorum yapamıyoruz. ” Dr.Web Çarşamba Telegram gönderisinde şunları söyledi.
“Telegram’da yayınlanan bilgiler çoğunlukla yanlıştır, kullanıcı verileri etkilenmemiştir. Ne virüs veritabanı güncellemeleri ne de yazılım modülü güncellemeleri kullanıcılarımız için herhangi bir güvenlik tehdidi oluşturmamaktadır.”
Dr.Web, ihlal ve DumpForums’un iddialarıyla ilgili daha fazla bilgi istemek için BleepingComputer tarafından gönderilen çok sayıda e-postaya henüz yanıt vermedi.
Dr.Web, Rusya’nın en yeni siber güvenlik şirketidir. Bir siber saldırıda hedef alındı ve ihlal edildi. Haziran ayında Ukrayna yanlısı hackerlar Cyber Anarchy Squad, 390 GB çalıntı verinin sızdırıldığını iddia ederek Rus bilgi güvenliği firması Avanpost’a saldırı düzenledi. 400’den fazla sanal makineyi şifrelemeden önce.
Bir yıl önce, Haziran 2023’te Kaspersky, saldırganların, artık “Üçgenleştirme Operasyonu” olarak bilinen bir kampanyanın parçası olarak iOS sıfır gün hatalarını hedef alan iMessage sıfır tıklama açıkları aracılığıyla ağındaki iPhone’lara casus yazılım bulaştırdığını da açıklamıştı.