“USDoD” tanıtıcısını kullanan bir bilgisayar korsanının, FBI tarafından yürütülen InfraGard adlı bir programın 80.000’den fazla üyesinin iletişim bilgilerini çaldığı ve bu bilgileri İngilizce konuşulan bir Dark Web forumunda satışa sunduğu bildirildi.
Olayı ilk kez bu hafta bildiren KrebsOnSecurity’ye göre, bilgisayar korsanının InfraGard’ın veritabanından eriştiği bilgiler oldukça basit görünüyor ve bazı durumlarda bir e-posta adresi bile içermiyor. Ancak bilgiler, ABD’nin kritik altyapısını korumaktan doğrudan sorumlu olan CISO’lara, güvenlik müdürlerine, BT ve C-suite yöneticilerine, sağlık uzmanlarına, acil durum yöneticilerine ve kolluk kuvvetlerine ve askeri personele aittir.
Potansiyel Olarak Değerli Bir Varlık
Eski InfraGard üyesi ve şu anda üst düzey yöneticiler ve kurumsal liderler için bir çevrimiçi gizlilik koruma hizmeti olan BlackCloak’ın CEO’su Chris Pierson, bu nedenle, çalınan verilerin rakipler için değerli bir varlığı temsil ettiğini söylüyor.
Pierson, “InfraGard temas veritabanı, herhangi bir istihbarat teşkilatı veya ulus devletin sahip olması için büyük bir kazançtır” diyor. ABD Personel Yönetimi Ofisi’nin (OPM) 2015’te ifşa ettiği gibi büyük ihlallerle karşılaştırıldığında, güvenliği ihlal edilmiş veriler hassasiyet açısından hiçbir yere yakın değil. Yine de, bir saldırganın bakış açısından kullanımı çok pratik ve kolay, diyor.
Pierson, “Bilgilerin çoğu halka açık veya halka açık olsa da, bu bilgilerin ulusumuzun kritik altyapısını çalıştıran kilit kişilere yoğunlaştırılması son derece değerlidir” diyor. Kişisel adresler, kişisel cep telefonları ve hangi üyelerin güvenlik iznine sahip olduğuna kolay erişim, bir düşmanın sahip olması için temel veri parçalarıdır, diyor.
bu FBI, InfraGard’ı tanımlıyor kritik altyapı hedeflerine yönelik fiziksel ve siber tehditlere karşı ulusun toplu savunma yeteneğini güçlendirmeye yönelik bir girişim olarak. Temel olarak FBI’ı kritik altyapı sahipleri, operatörler ve güvenlik paydaşları ile doğrudan bağlar. Üyeleri, ABD’deki 16 sivil kritik altyapı sektörünün tamamından kilit güvenlik personeli ve karar vericileri içerir.
KrebsOnSecurity’ye göre, “USDoD” bilgisayar korsanı, önce büyük bir finansal hizmetler şirketinin CEO’sunun adını, doğum tarihini ve Sosyal Güvenlik numarasını kullanarak yeni bir hesap başvurusunda bulunarak InfraGard veritabanına erişim sağladı. Bilgisayar korsanı görünüşe göre Kasım ayında InfraGard üyeliği için başvurdu ve iletişim bilgileri olarak saldırgan tarafından kontrol edilen bir e-posta adresi ve CEO’nun gerçek telefon numarasını verdi.
Bir Opsec Atlaması mı?
KrebsOnSecurity’nin bildirdiğine göre, InfraGard’ın bu bilgileri incelemesi gerekiyordu, ancak bunu asla yapmadılar ve bunun yerine bilgisayar korsanının sağladığı bilgilere dayanarak uygulamayı onayladılar. Benzer şekilde, InfraGard’ın portalına erişim iki faktörlü kimlik doğrulama gerektirse de bilgisayar korsanı, bunun yerine e-posta adresini ikinci bir faktör olarak kullanabileceğini fark etti ve böylece gerçek CEO’nun telefonuna erişim ihtiyacını ortadan kaldırdı.
KrebsOnSecurity, saldırganla doğrudan bir görüşmeye atıfta bulunarak, portala girdikten sonra, InfraGard kullanıcı bilgilerine web sitesindeki çeşitli bileşenlerde yerleşik bir API aracılığıyla nispeten kolay bir şekilde erişilebileceğini keşfetti. Bilgisayar korsanı daha sonra görünüşe göre API aracılığıyla mevcut tüm InfaGard üye bilgilerini almak için bir Python sorgusu kodlaması için bir arkadaşını buldu. KrebsOnSecurity, saldırganın çalınan veri seti için 50.000 $’lık bir fiyat belirlediğini, ancak bilginin temel doğası nedeniyle bu fiyattan herhangi bir alıcı beklemediğini aktardı.
Cybrary’de BT ve siber güvenlik müdürü olan InfraGard üyesi Will Carson, olayla ilgili hayal kırıklığını dile getirdi. Habere yanıt veren bir açıklamada, “Bir InfraGard üyesi olarak, etkilenen kuruluştan haber almadan önce bilgilerinizin bir haber kaynağından ifşa edilmiş olabileceğini duymak kesinlikle harika değil” dedi. bariz ihlalden sonra InfraGard hesabına giriş yapın.
“InfraGard liderliğinin gerçekleri benim dışarıdan kavradığımdan daha güçlü kavradığına inancım tam olsa da, bugüne kadarki radyo sessizliği, potansiyel olarak etkilenmiş bir profesyonel olarak beni rahatsız ediyor” diyor.
FBI, basın ofisine e-posta yoluyla gönderilen bir Karanlık Okuma yorum talebine hemen yanıt vermedi.