Orange España’nın dahil olduğu son olaydan ve büyük bir kesintiye yol açan RIPE NCC portalından kimlik bilgilerinin sızmasından sonra, siber güvenlik topluluğunun, ağ mühendisliği ve BT altyapı yönetimiyle ilgilenen personel için dijital kimlik korumasını yeniden düşünmesi gerekiyor. Kuşkusuz bu hedef grubu, kurumsal ekosistem içindeki ayrıcalıklı erişimleri nedeniyle kötü niyetli aktörler tarafından oldukça aranıyor.
Resecurity, Dark Web’de kapsamlı bir izleme gerçekleştirdi ve Redline, Vidar, Lumma, Azorult ve Taurus gibi tanınmış şifre hırsızlarının dahil olduğu kötü amaçlı yazılım faaliyetleri nedeniyle ele geçirilen RIPE, APNIC, AFRINIC ve LACNIC’in 1.572’den fazla müşterisini ortaya çıkardı. Ele geçirilen bu hesapların yer altı pazaryerlerinde satışa sunulduğu ortaya çıktı. Bu rakam aynı zamanda Komuta ve Kontrol (C2) sunucularının analizi sonrasında Ocak 2024’te tespit edilen tarihi kayıtları ve eserleri de içermektedir. Toplanan veriler, riskin daha fazla azaltılması amacıyla telekomünikasyon kuruluşları ve etkilenen taraflarla derhal paylaşıldı.
Siber güvenlik uzmanları, ISP/Telcom mühendislerine, Veri Merkezi Teknisyenlerine, Ağ Mühendislerine, BT Altyapı Yöneticilerine ve Dış Kaynak Kullanımı şirketlerine (kurumsal müşterileri için ağları yöneten) ait risk altındaki kimlik bilgilerinden yararlanan Dark Web aktörlerinden kaynaklanan risklerin altını çizdi.
Dikkat çekici bir şekilde, bazı durumlarda kimlik bilgileri yer altı pazarlarında 10 dolar gibi düşük bir fiyata sunuluyordu. Öne çıkan risklerden biri, ilk erişim aracılarının fidye yazılımı gruplarıyla veya gelişmiş siber suçlularla işbirliği yapmasıdır. Güvenliği ihlal edilmiş bir ağ mühendisine ait kimlik bilgilerini Endonezyalı bir ISP’den satın alabilirler ve daha sonra bunları Orange España olayı gibi daha büyük bir saldırıyı düzenlemek için kullanabilirler. Ayrıca bazı bağımsız aktörlerin, çerezler, proxy erişimi veya kurbanın sistemine yerleştirilen kötü amaçlı kod aracılığıyla uzaktan erişim dahil olmak üzere RIPE kimlik bilgilerini daha yüksek fiyata sattığı tespit edildi. Böyle bir erişim elde edildikten sonra, kullanıcının ayrıcalıklarına bağlı olarak kötü niyetli aktör, Orange España senaryosunda görülenlere benzer taktikler uygulayabilir.
Güvenliği ihlal edilmiş RIPE hesaplarına bir örnek olarak Resecurity, büyük bir veri merkezine ve Afrika’daki resmi ve ulusal telekom sağlayıcılarına uluslararası ölçekte ağ telefonu bağlantısı sağlayan en büyük satıcılardan birine ait güvenliği ihlal edilmiş erişim kimlik bilgilerini özetledi. Tespit edilen diğer mağdurların aşağıdakiler de dahil olmak üzere önemli kuruluşlarla ilişkili olduğu tespit edildi:
- İran’dan bilimsel araştırma organizasyonu;
- Kenya’dan büyük finans kuruluşu;
- İşletmelere ve devlet kurumlarına telekomünikasyon, entegre ağ ve bulut çözümleri gibi hizmetler sunmasıyla tanınan Azerbaycan’ın en büyük BT danışmanlık firmalarından biri;
- İspanya’da büyük bir finans kuruluşu;
- AB’deki en büyük kumar sağlayıcılarından biri;
- Suudi Arabistan merkezli BİT teknolojisi sağlayıcısı;
- İsrailli bir iletişim uydu operatörü;
- Irak’tan bir devlet kurumu;
- Bahreyn’in Güney Valiliği’nde bulunan Riffa’da kurulan, kar amacı gütmeyen bir İnternet Borsası (IXP).
Kötü aktörlerin eylemleri basit kimlik bilgileri hırsızlığının ötesine geçiyor. Ağ ayarlarına erişim sayesinde mevcut yapılandırmaları değiştirebilir veya yanıltıcı öğeler sunarak kurumsal altyapıya zarar verme potansiyeline sahip olabilirler. Bu tür yetkisiz değişiklikler, hizmette ciddi kesintilere ve güvenlik ihlallerine yol açabilir ve dijital varlıkların korunmasında daha fazla dikkat ve sağlam güvenlik protokollerine olan kritik ihtiyacın altını çizebilir.
Edinilen veri setlerinde tespit edilen bazı kayıtların daha önce büyük siber güvenlik olaylarına karıştığı dikkat çekiyor. Örneğin, Gazze merkezli ISP AlfaNet, Ekim ayında İsrail-Gazze çatışmasının zirve yaptığı dönemdeki kesintilerden önemli ölçüde etkilendi. O zamanlar saldırganlar, DDoS saldırıları da dahil olmak üzere birçok taktik kullanıyordu ancak Orange España olayına benzeyen senaryolar makul görülüyordu. Diğer kurbanlar arasında Fortune 500 şirketleri, önde gelen üniversiteler, kablosuz/mobil operatörler ve bölgesel İSS’ler yer alıyordu.
Önemli bir şekilde, ağları yöneten ağ yöneticilerinin çoğu (güvenliği ihlal edilmiş olarak tanımlandı) Gmail, GMX ve Yahoo dahil olmak üzere ücretsiz sağlayıcılara kayıtlı e-postaları kullanıyordu. Bu ayrıntılar, ağ yöneticileri ve onların bağlantı çevreleri gibi belirli hedeflere odaklanan siber casusluk grupları için oldukça değerli olabilir. Kişisel e-postaları hakkında bilgi edinmek, daha karmaşık kampanyalara yol açabilir ve başarılı keşif olasılığını artırabilir.
Resecurity, RIPE, APNIC, AFRINIC ve LACNIC müşteri portallarına ait kimlik bilgilerinin şifre hırsızları tarafından ele geçirildiğini ve Dark Web’de ifşa edildiğini kurbanlara bildirdi. Toplanan geri bildirimlere dayanarak siber güvenlik uzmanları aşağıdaki istatistikleri oluşturdu:
- %45’i, belirlenen risk altındaki kimlik bilgilerinden haberdar değildi ve başarılı şifre değişikliğini kabul ederek 2FA’yı etkinleştirdi;
- %16’sı, kötü amaçlı kodların bulaşması sonucunda tespit edilen güvenliği ihlal edilmiş kimlik bilgilerinin zaten farkındaydı ve gerekli şifre değişikliğini yaparak hesaplarında 2FA’yı etkinleştirdi;
- %14’ü ele geçirilen kimlik bilgilerinin farkındaydı ancak 2FA’yı yalnızca bildirim sonrasında etkinleştirdi (yazılı beyan alındı);
- %20’si kimlik bilgilerinin tehlikeye girmesine yol açan olayla ilgili daha derin bir araştırma yapılması gerektiğini kabul etti; örneğin, alıcılardan bazıları 2FA’nın etkinleştirildiğini kabul etti, ancak güvenlik ihlalinin tam olarak nasıl ve ne zaman gerçekleştiği ve parola çalan kişi tarafından hangi kimlik bilgilerinin (diğer uygulamalara ve sistemlere) kurbandan çalınabileceği konusunda bilgi eksikliği vardı;
- Alıcıların %5’i herhangi bir geri bildirim sağlayamadı ve/veya bu konuyu gözden geçirmek için kuruluşlarındaki ilgili iletişim kişilerini belirlemeyi hedefleyemedi.
Toplanan istatistikler, ağ mühendisliği ve görev açısından kritik BT yönetimi operasyonlarında yer alan personelin nasıl kötü amaçlı kod kurbanı olabileceğini doğrulayabilir. Hesapları (tehlikeye atıldığında) büyük çaplı siber saldırılar açısından “beklenmeyen bir meyve” işlevi görebilir, ancak aynı zamanda karmaşık kötü aktörler için de mükemmel bir hedefleme kriteri olabilir.
Örneğin, Dark Web’den elde edilen veri kümelerinde tanımlanan ağ mühendisleri başta olmak üzere birçok kurbanın, kurumsal kimlik ve erişim yönetimi (IAM), sanallaştırma sistemleri, çeşitli bulut sağlayıcıları ve yedekleme ve felaket kurtarma çözümlerine ilişkin kimlik bilgileri de ele geçirildi. Resecurity, telekomünikasyon operatörlerinin altyapılarını ve müşterilerini korumaları için sağlam bir dijital kimlik koruma programının kritik önemini vurguladı.