Kanada’nın en büyük telekomünikasyon sağlayıcılarından biri olan Telus’un, bir tehdit aktörünün şirketten hassas olduğunu iddia ettiği verilerin örneklerini çevrimiçi olarak yayınlamasının ardından sistemlerinde potansiyel olarak büyük bir ihlali araştırdığı bildiriliyor.
Sızdırılan veriler arasında, saldırganın iddia ettiği gibi çalışan bordro kayıtlarının bir örneği, telekom firmasının özel GitHub depolarından alınan kaynak kodu ve diğer bilgiler yer alıyordu.
BreachForums’taki bir gönderide, raporlara göre, tehdit aktörü, Telus’taki her çalışanın e-posta adreslerini içerdiğini iddia eden bir e-posta veritabanını satışa sundu. Veritabanının fiyatı 7.000 dolardı. Başkanı da dahil olmak üzere telekomünikasyon şirketinin üst düzey yöneticilerinin bordro bilgilerini içerdiği varsayılan başka bir veritabanı 6.000 $ karşılığında mevcuttu.
Tehdit aktörü ayrıca, kişinin Telus’a ait 1.000’den fazla özel GitHub deposu içerdiğini iddia ettiği bir veri setini 50.000 $ karşılığında satışa sundu. Görünüşe göre satışa sunulan kaynak kodu, bir saldırganın SIM değiştirme yapmasına izin verecek bir API içeriyordu; bu, saldırganların numarayı kendi SIM kartlarına aktararak başka bir kişinin telefonunu ele geçirdiği bir süreç.
Tam Bir İhlal mi?
İddia edilen bilgisayar korsanı, BreachForums gönderisinde “Bu TAM ihlaldir” diye yazdı. Gönderi, eksiksiz alt alan listeleri ve aktif sitelerin ekran görüntüleri dahil olmak üzere “Telus ile ilgili her şeyi alacaksınız” şeklinde devam etti. İddia edildiği gibi, iddia edilen saldırganın sahip olduğu görünen herhangi bir verinin gerçek olup olmadığı veya Telus’a ait olup olmadığı net değil. Hizmet sağlayıcı, yorum için birden fazla Karanlık Okuma isteğine yanıt vermedi.
Bahsedilen, BT Dünyası Kanada Bir Telus sözcüsünün, şirketin şu anda şirketin kaynak koduyla ilgili “az miktarda veri” ve Dark Web’e sızdırılan bazı çalışanlar hakkındaki iddiaları araştırdığını söylediğini aktardı.
Telus’taki ihlal, tehdit aktörünün iddia ettiği gibi gerçekleştiyse, bu, son zamanlarda telekom şirketlerini hedef alan bir dizi saldırının sonuncusu olacak. Saldırganlar, yılın başından bu yana, Avustralya’nın en büyük üç şirketi olan Optus, Telestra ve Dialog da dahil olmak üzere çok sayıda büyük telekomünikasyon firmasına sızdı. Ve bu ayın başlarında, SentinelOne’daki araştırmacılar, Orta Doğu’daki telekomünikasyon firmalarını siber casusluk gibi görünen bir kampanyada hedef alan daha önce bilinmeyen kötü bir aktör gözlemlediklerini bildirdiler.
Analistler, trendi yönlendiren birkaç faktörün olduğuna inanıyor. Örneğin, çok faktörlü kimlik doğrulama (MFA) için mobil cihazların yaygın ve artan kullanımı, telekomünikasyon şirketlerini ve ağlarını hedef haline getirdi. Çevrimiçi hesaplara erişmeyi amaçlayan finansal motivasyona sahip siber suçlular, telefonları ele geçirmek ve iki faktörlü kimlik doğrulama için SMS yetkilendirmelerini engellemek amacıyla SIM değiştirme adı verilen saldırılarda telekom sağlayıcılarını giderek daha fazla hedef almaya başladı.
Telekom şirketlerini büyük bir hedef haline getiren uzun süredir devam eden bir başka faktör de, düşmanlara ilgili kişileri gözetlemek için sağladıkları fırsattır. Son yıllarda, İran, Türkiye ve Çin’in de dahil olduğu ülkelerden devlet destekli tehdit aktörlerinin, diğer şeylerin yanı sıra, hedeflenen kişi ve grupların konuşmalarını izlemek için arama verisi kayıtlarını çalmak üzere bir telekom ağına girdiği çok sayıda olay oldu.