Apple’ın en büyük yarı iletken tedarikçilerinden biri olan Taiwan Semiconductor Manufacturing Company (TSMC) Cuma günü, şirketi LockBit fidye yazılımı grubundan 70 milyon dolarlık fidye talebine maruz bırakan bir veri ihlali için üçüncü taraf bir BT donanım tedarikçisini suçladı.
Dark Reading’e e-postayla gönderilen bir açıklamada TSMC, güvenlik olayıyla ilgili çok sayıda raporu doğruladı, ancak LockBit aktörlerinin özellikle hangi verilere sistemlerinden erişmiş olabileceğini ve fidye için tuttuğunu söylemedi. Ancak açıklamada, olayın TSMC’nin iş veya müşteri bilgilerini etkilemediği belirtildi.
Üçüncü Taraf İhlal
Açıklamada, “TSMC kısa süre önce BT donanım tedarikçilerimizden birinin, sunucunun ilk kurulumu ve yapılandırmasıyla ilgili bilgi sızıntısına yol açan bir siber güvenlik olayı yaşadığının farkına vardı.” Üçüncü taraf tedarikçiyi, Aruba dahil olmak üzere çok sayıda başka büyük teknoloji oyuncusuyla çalıştığını iddia eden, Hsinchu, Tayvan merkezli bir sistem entegratörü olan Kinmax Technology olarak tanımladı. kontrol noktası, Cisco, Citrix, Fortinet, Hewlett-Packard Enterprise, Microsoft ve VMware. Saldırıdan başka müşterilerin etkilenip etkilenmediği bilinmiyor.
Bu arada, kendisini Ulusal Tehlike Ajansı olarak adlandıran LockBit operasyonu içindeki bir alt grup, TSMC’ye multimilyon dolarlık fidyeyi ödemesi veya şirketin çalınan verilerinin halka sızdırılması riskini alması için 6 Ağustos’a kadar süre verdiğini iddia etti. bu tehdit aktörü iddia etti ayrıca, TSMC’nin ağına “giriş noktaları” olarak tanımladığı şeyleri ve buna erişim elde etmek için şifreleri ve oturum açma bilgilerini de yayınlayacağını söyledi. TSMC’nin sulu bir hedef olduğu göz önüne alındığında, ikincisi siber saldırganlar için bir ipucu: 2022’de 75,8 milyar dolarlık konsolide gelir üzerinden yaklaşık 34 milyar dolarlık net gelir bildirdi.
TSMC, Kinmax olayı bildirdikten sonra ihlalin kapsamını belirlemek için sistemlerinde kullanılan donanım bileşenlerini ve güvenlik yapılandırmalarını gözden geçirdiğini söyledi. Açıklamada, “Olaydan sonra TSMC, şirketin güvenlik protokolleri ve standart işletim prosedürlerine uygun olarak bu tedarikçi ile veri alışverişini derhal sonlandırmıştır.” Yonga üreticisi, tedarikçileri arasında güvenlik bilincini artırmaya ve onların şirketin güvenlik gereksinimlerine uymasını sağlamaya kararlı olduğunu söyledi.
BT Tedarikçisi Olayı Önemsiyor
Kinmax, sistemlerine izinsiz girişi 29 Haziran’da fark ettiğini söyledi. Şirket, saldırganın şirketin mühendislik test ortamını ihlal ettiğini ve sistem kurulum hazırlık bilgilerine eriştiğini açıkladı.
“Müşteriler için hazırlanan sistem kurulum ortamıdır.” Kinmax yaptığı açıklamada olay hakkında “Yakalanan içerik, yükleme yapılandırma dosyaları gibi parametre bilgileridir.”
Açıklama, ihlalin ciddiyetini hafife alıyor gibi görünüyordu. ” [breached] bilgilerin müşterinin gerçek başvurusu ile ilgisi yoktur. Açıklama, TSMC’yi adıyla tanımlamadı. Ancak biraz şaşırtıcı bir şekilde, çip üreticisinin (veya diğerlerinin) herhangi bir olumsuz sonuç yaşamadığını iddia etti. “Şu anda, hayır 30 Haziran tarihli açıklamada, müşteriye zarar verildiği ve müşterinin hacklenmediği belirtildi.
Dark Reading ile paylaşılan açıklamada sistem entegratörü olaydan duyduğu üzüntüyü dile getirdi. “Sızan bilgiler bazı rahatsızlıklara neden olmuş olabilecek isimlerini içerdiğinden, etkilenen müşterilerden içtenlikle özür dileriz. Şirket bu olayı kapsamlı bir şekilde araştırmış ve bu tür olayların gelecekte meydana gelmesini önlemek için gelişmiş güvenlik önlemleri uygulamıştır. ” Kinmax açıklamasında söyledi.
TSMC, üçüncü taraf uzlaşma yoluyla bir veri ihlali yaşayan, sayısı hızla artan kuruluşlar arasında en sonuncusudur. Progress Software’in yaygın olarak kullanılan MOVEit Transfer uygulamasındaki bir güvenlik açığı nedeniyle çok sayıda kuruluşun Cl0p fidye yazılımı çetesinin kurbanı olduğuna dair raporlar yağmaya devam ederken şirketin içinde bulunduğu kötü durumla ilgili haberler geliyor. Şimdiye kadar bu kampanyanın kurbanları arasında biyofarma devi AbbVie, Siemens, Schneider Electric, Los Angles’daki California Üniversitesi (UCLA) yer alıyor.
Bu tür ihlaller, son yıllarda BT tedarik zinciri güvenliğini keskin bir odak noktasına getirdi ve Biden yönetiminin Mayıs 2021 siber güvenlik yürütme kararnamesinde bunu birinci öncelik haline getirdi.