Uluslararası Kızılhaç Komitesi’ne (ICRC) yönelik son siber saldırı, başlangıçta düşünüldüğü gibi bir tedarik zinciri saldırısı değildi. Bunun yerine, kötüye kullanılan yama uygulanmamış yüksek önem dereceli güvenlik açığının bir sonucu olarak geldi.
Haber, güncellenmiş bir blog yazısında saldırganların büyük olasılıkla devlet destekli olduğunu, ancak herhangi bir Gelişmiş Kalıcı Tehditlere (APT) işaret etmediğini söyleyen ICRC tarafından doğrulandı.
ancak TechCrunch Palo Alto Networks’ten araştırmacıların, Çinlilerin başka yerlerde aynı güvenlik açığını kötüye kullandığını keşfettiğini buldu.
veri çalmak
Araştırmacılar, saldırının arkasındaki kişinin bir ICRC yüklenicisini hedef almadığını, bunun yerine CVE-2021-40539 olarak izlenen bir kusur olan bir kimlik doğrulama modülündeki yamalanmamış kritik bir güvenlik açığından yararlandığını buldu.
Bu kusur, saldırganların web kabukları yerleştirmesine ve yönetici kimlik bilgilerinden ödün verme, ağ üzerinde yanlamasına hareket etme ve uç noktalardan veri sızdırma gibi istismar sonrası eylemler gerçekleştirmesine izin verdi.
“Ağımıza girdikten sonra, bilgisayar korsanları kendilerini meşru kullanıcılar veya yöneticiler olarak gizlemelerine izin veren saldırgan güvenlik araçlarını dağıtabildiler. Bu da, bu verilerin şifrelenmesine rağmen, verilere erişmelerine izin verdi”, ICRC’nin blog gönderisinde yazıyor.
ICRC ayrıca saldırının tesadüfi olmadığını veya saldırganların bunları yalnızca yamalanmamış güvenlik açığı nedeniyle seçtiğini söyledi. Bunun yerine, ICRC özellikle hedef alındı, çünkü “saldırganlar, yalnızca ilgili ICRC sunucularında yürütülmek üzere tasarlanmış kodlar oluşturdular.”
Bu saldırı için oluşturulan kötü amaçlı yazılım, ICRC’nin altyapısı ve antivirüs yazılımı için özel olarak yapılmıştır.
ICRC ayrıca saldırının tam olarak ne zaman gerçekleştiğini daha kesin olarak tespit edebildi. Başlangıçta örgüt, saldırının Ocak ayında gerçekleştiğine inanıyordu, ancak şimdi Kasım ayının sonunun daha doğru bir tahmin olduğuna inanıyor.
Toplamda, 515.000’den fazla “yüksek düzeyde savunmasız” kişiye ilişkin veriler alındı.
Raporda şu ana kadar verilerin paylaşıldığına veya satıldığına dair herhangi bir işaret bulunmadığı ve ICRC’nin herhangi bir fidye talebi almadığı belirtiliyor.
ICRC genel müdürü Robert Mardini yaptığı açıklamada, “Korunmasız kişilerin verilerine yönelik bu saldırının değişim için bir katalizör görevi görmesini umuyoruz” dedi. “Şimdi Kızılhaç ve Kızılay Hareketi’nin insani misyonunun korunmasının veri varlıklarımızı ve altyapımızı kapsamasını açıkça talep etmek için devletler ve devlet dışı aktörlerle olan ilişkimizi güçlendireceğiz.
Sözler ve eylemlerde, insani verilere asla saldırılmaması gerektiği konusunda kesin bir fikir birliğine varmanın kritik olduğuna inanıyoruz” dedi.
Üzerinden: TechCrunch