Yakın zamanda Dark Web’de ele geçirilen RIPE hesapları aracılığıyla çalınan yüzlerce ağ operatörü kimlik bilgisi keşfedildi.
Orta Doğu’daki her ülkenin yanı sıra Avrupa ve Afrika’daki bazı ülkelerin IP adresleri ve sahipleri için veri tabanı olan RIPE, saldırganların bilgi toplamak amacıyla hesap oturum açma bilgilerini ele geçirmesiyle son zamanlarda popüler bir hedef haline geldi. Resecurity bir blog yazısında şunları söyledi:.
“Kötü aktörler, ele geçirilen kimlik bilgilerini, kurbanın ayrıcalıklı erişime sahip olabileceği diğer uygulama ve hizmetleri araştırmak için RIPE ve diğer portallara kullanıyor. Değerlendirmemize göre, bu tür taktikler, hedef kuruluşlara ve telekom operatörlerine başarılı bir şekilde ağ sızması şansını artırıyor,” diyor sızdırılan kimlik bilgilerini bulan Resecurity COO’su Shawn Loveland.
Bu aydan daha erken, Turuncu İspanya Bir bilgisayar korsanının BGP yönlendirmesini ve RPKI yapılandırmasını yanlış yapılandırmak için şirketin RIPE hesabını ihlal etmesinden sonra İnternet kesintisi yaşadı.
RIPE, yaptığı açıklamada, RIPE Ağ Koordinasyon Merkezi Erişim hesabının bu hesap için “bazı hizmetleri” “geçici olarak” etkileyen ele geçirilmesini araştırdığını söyledi.
Ağ Mühendisleri “OLGUN” Bir Hedeftir
Resecurity, 2024’ün ilk çeyreğinde kapsamlı bir izleme çalışması gerçekleştirdi ve Dark Web’de kimlik bilgileri sızdırılan 716 güvenliği ihlal edilmiş RIPE NCC müşterisini tespit etti. Bu kuruluşlar arasında İran’dan bir bilimsel araştırma kuruluşu; Suudi Arabistan merkezli bir BİT teknolojisi sağlayıcısı; Irak’tan bir devlet kurumu; ve Bahreyn’de kar amacı gütmeyen bir İnternet Borsası.
Resecurity toplamda RIPE ve APNIC, AFRINIC ve LACNIC dahil diğer bölgesel ağlarda 1.572 müşteri hesabını ortaya çıkardı. Kırmızı cizgiVidar, Lumma, Azorult ve Boğa.
Resecurity CEO’su Gene Yoo, saldırganların yalnızca RIPE hesaplarını çalmakla kalmayıp aynı zamanda diğer ayrıcalıklı kullanıcı kimlik bilgilerini de ele geçirdiğini açıklıyor. Saldırganlar, kurbanın bilgisayarına kötü amaçlı yazılım bıraktıktan sonra diğer şifreleri ve formları da ele geçirebildiler.
“Bu nedenle satın aldıklarımız yalnızca RIPE (ve IP satan diğer kuruluşlar) ile sınırlı olmayan, aynı zamanda [also] diğer hizmetlere yönelik kimlik bilgileri” diyor.
Bilgi hırsızları özellikle ağ mühendislerini, ISP/telekom mühendislerini, veri merkezi teknisyenlerini ve dış kaynak kullanan şirketleri hedef aldı.
Resecurity kendi blogunda, “En büyük kayıt defteri olarak, RIPE’nin en büyük kurban havuzuna sahip olması mantıklı. Bu nedenle, bu kayıt defterinin küresel emsallerine göre daha bilinçli olarak hedef alınıp alınmadığını söylemek zor” dedi.
Kritik Eski Sistem
Advanced Cyber Defense Systems’in CTO’su Elliott Wilkes, kimlik bilgileri hırsızlığının Orta Doğu’da ve küresel olarak yaygın bir sorun olduğunu belirtiyor.
“Mühendislik görevlerini tamamlamak için yüklenicileri ve uzaktan personeli kullanan kuruluşların, ayrıcalıklı erişimlerini koruyacak araçları mutlaka dağıtmaları gerekir” diyor. “Bu şirketlerde mühendisler genellikle kritik eski sistemlere yükseltilmiş veya yönetici erişimine sahip olacak.”
Wilkes, etkili ayrıcalıklı erişim yönetimi araçlarının zamana bağlı kimlik bilgilerini dağıtmak için tam zamanında (JIT) erişimi kullanması gerektiğini, bunun da çalınan kimlik bilgilerinin kötüye kullanılabileceği zaman penceresini daralttığını öne sürüyor.
Birleşik Krallık’ın alan adları için resmi kayıt kuruluşu olan Nominet’in CISO’su Paul Lewis, RIPE müşterilerinin kurumsal güvenliklerinin sorumluluğunu almaları gerektiği konusunda uyarıyor.
“İlginç olan, bu olayın, RIPE NCC portalı gibi hizmetlerin merkezileştirilmesinden nasıl faydalandığıdır. BGP veya RPKI gibi kritik hizmetleri merkezileştirip dış kaynaklardan temin edebilsek de, bu, bir kuruluşun riski tamamen dış kaynaklardan temin edebileceği anlamına gelmez. Bunu kabul etmemiz ve doğru kontrolleri uygulamamız gerekiyor” dedi.
Lewis şunları ekledi: “Ayrıcalıklı kullanıcıların, önemli dış kaynak kullanımı durumlarında mevcut olabilecek güvenlik risklerinin farkında olmaları ve bu hizmetleri kullanırken gereken özeni göstermeleri gerekir. Güçlü kimlik doğrulama, bu tür bir durumda sahip olunması gereken bir şeydir.”
Orange España vakasını ele alalım. “Sonuçta her şey temele dönüyor. Orange España son derece basit şifreler kullanıyor gibi görünüyordu ve aynı zamanda öyle görünüyor ki [that it] çok faktörlü kimlik doğrulamayı etkinleştirmedi ve [was] temel güvenlik hijyeninden yoksundur” diyor Lewis.
Sızıntılar ve Siber Saldırılar
IDC META’ya (Orta Doğu, Türkiye ve Afrika) göre, Orta Doğu’da son zamanlarda kötü amaçlı yazılım kaynaklı siber saldırılarda bir artış yaşandı. META’daki CISO’ların %65’inden fazlası kötü amaçlı yazılımlarda artış olduğunu bildirdi. IDC’nin 2024 güvenlik anketiKimlik avı saldırıları, kimlik bilgileri sızıntıları ve sosyal mühendislik gibi gerekçelerle.
IDC Orta Doğu araştırma direktörü yardımcısı Shilpi Handa, “Kimlik bilgisi sızıntılarından kaynaklanan bu tür saldırılar Orta Doğu’da çok yaygın hale geliyor” diyor.
Kimlik bilgileri sızıntılarının saldırganlara kimlik bilgileri doldurma, ayrıcalık yükseltme ve kimlik doğrulamayı atlama için kullanılabilecek oturum açma ayrıntıları sağladığını söylüyor. Özellikle ayrıcalıklı kullanıcılardan çalınan kimlik bilgileri, ağlar içinde yanal harekete olanak tanır ve önemli güvenlik riskleri oluşturur.
Dark Reading daha fazla yorum için RIPE ile temasa geçti.