Karaborsada satışa sunulan üç kullanıcı hesabı, eski bir hırsızlıkla karıştırılan veriler ve Fransız resmi tatil takvimiyle senkronize edilmiş iddialar… Artık saldırı elektroniği ve savunma üreticisi Thales’in perde arkasını biraz daha biliyoruz. LockBit bilgisayar korsanları tarafından.
31 Ekim 2022’de başlayan bu kriz, Rusça konuşan çetenin şantajının sona ermesinden birkaç uzun gün sonra, 9,5 GB çalınan verinin ifşa edilmesiyle 10 Kasım’da sona erdi. Ancak iç soruşturmaların ardından 2021’de 16 milyar euro ciro elde eden Fransız savunma devi, olayın başlangıcını birkaç hafta önceye yerleştiriyor.
Pschitt’e neden olan ilk kötü niyetli eylemden on ay sonra, LockBit tarafından Thales’e yönelik yeni bir saldırı iddiası. pic.twitter.com/jRfctS2gD2
— Gabriel Thierry (@gabrielthierry) 2 Kasım 2022
Üç kullanıcı hesabının çalınması
Basına öğretici bir geri bildirim sunan Thales’e göre – imajını geri kazanmasına izin vermesi gereken kendi avantajına olan bir şeffaflık operasyonu – bu bilgisayar krizinin kökleri gerçekten de Ağustos 2022 ortasındaki bir uçuşa dayanıyor. bir ortakla iletişim kurmak için kullanılan bir portal, bir tür Dropbox daha sonra çalınır.
Thales, bu üç hesabın güvenliğinin nasıl ihlal edildiğini kesin olarak bilmiyorsa, iki yolu tercih eder. Yani, ya saldırıya uğramış bir üçüncü taraf sitesinde kullanılan bir şifrenin yeniden kullanılması sayesinde elde edilen bir erişim ya da bir tarayıcı aracılığıyla şifrelerin senkronizasyonuna erişimi olan bir terminalin hacklenmesi.
Her neyse, birkaç hafta sonra, bu üç hesaba erişim karaborsada satılıyor. Satış, kısmen Thales’ten önceki gün fark edildi. Üç hesaptan ikisi gerçekten de aracılara ait. Güvenliği ihlal edilmiş bu iki dahili hesaba erişim anında engellenir. Ancak endüstriyel ortağına bağlı olan üçüncü kullanıcı hesabının satın alınması radarına giriyor.
Beş günlük keşif
Şirket, Güneydoğu Asya’da bir kuruluş olan ilgili endüstriyel ortağın adını belirtmedi. Ama günlük Dünya LockBit tarafından ifşa edilen belgelerin, özellikle Thales ve Novatis Resources şirketi tarafından bir Malezya havaalanına havadan gözetleme araçlarının kurulmasına yönelik bir projeden bahsettiğini fark etmişti.
Bu satın alma işlemi yapıldıktan sonra, bilgisayar korsanları, hala aktif olan üçüncü kullanıcı hesabı sayesinde, portalı ve erişebildikleri verileri keşfetmek için beş gün geçirecekler. Nihayet bir Avrupa barındırma sunucusundan indirmeden önce, Thales ortağının erişebileceği veri hacmi olan yaklaşık 9 GB veriyi çok az dikkate alarak.
Thales’in bilgi sistemleri güvenlik direktörü Stéphane Lenco, “LockBit’in 31 Ekim’deki iddiasına kadar sonrasında hiçbir şey görmüyoruz” diye açıklıyor. “İlk erişim komisyoncusunun çalınan verileri satışa çıkardığı ve ardından LockBit grubunun bir bağlı kuruluşunun onu satın aldığı tahmin edilebilir. »
400 benzersiz dosya
Resmi tatilden bir gün önce LockBit çete sitesine saldırı iddiasının yayınlanması, Thales’te bir kriz biriminin açılmasına yol açar. Oldukça hızlı bir şekilde, bir günün ardından şirket, bilgi sistemlerine izinsiz giriş izini ve veri hırsızlığı hipotezini desteklemek için fidye yazılımı dağıtımını reddetti.
11 gün sonra -yine resmi tatilin arifesinde- çete, sanayiciden çaldıkları dosyaları ifşa eder. Toplamda, analizden sonra, çoğu güvenliği ihlal edilmiş portaldan yaklaşık 400 benzersiz dosya geldi. Arşivin küçük bir kısmı, 1 GB’den az, iki yıldan daha eskiye dayanan dosyalar ise başka bir hırsızlıktan geliyor.
Emin olamayan Thales, bunun Covid-19 salgınının başlangıcında şirketin dahili veya harici bir operatöründen çalınan veriler olduğunu varsayar. Stéphane Lenco, “Bu, ofisinden aceleyle ayrılması gereken bir çalışan tarafından acilen alınan verilere karşılık gelebilir”, diye belirtiyor.
Mobil bulanık
Thales, itibarına yönelik bir risk olduğunu kabul etse de, bu verilerin açıklanmasının operasyonel bir etkisi olmadığını söyledi. Çalınan veriler gerçekten de çok hassas sayılmaz. Bunlar dahili olarak, kamuya açık olmayan verilere karşılık gelen ancak ortaklarla paylaşılan ikinci düzey olarak sınıflandırıldı.
Şirket için hala net olmayan bir nokta var. LockBit bilgisayar korsanlarının amacı tam olarak neydi? İkincisi, Fransız şirketine doğrudan bir fidye talebi göndermezken, çalınan verilerin ifşa edilmesini önlemek için ek süre satın almak için olağan bağlantılar mevcut değildi.
Thales için LockBit bu saldırı ile ücretsiz bir reklam kampanyası yapmak istemiş olabilir. Formüle edilen başka bir hipotez, nihai olarak şirketin borsa fiyatını manipüle etmeyi amaçlayan bir operasyondur. Yoksa nihayet Ukrayna’daki Rus askeri işgalinin başlangıcından bu yana gerilim altında olan bir sektör olan Avrupalı bir savunma şirketini hedef alan hedefli bir saldırı mıydı?