Avrupa Komisyonu’na Yönelik Siber Saldırı ve Önem Gerekliliği
Avrupa Komisyonu’nun bulut ortamına yapılan siber saldırı, TeamPCP adlı siber suç grubunun etkisi ile meydana gelmiştir. Bu olay, yalnızca Avrupa Komisyonu’nun değil, 29 diğer birimin verilerini de tehlikeye atarak ciddi bir güvenlik açığını gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Saldırı, CVE kodları ve kullanılan teknolojilere ait bazı önemli hususları şu şekilde belirtebiliriz:
- 10 Mart 2023: TeamPCP, Trivy tedarik zinciri saldırısında çalınan bir Amazon Web Services (AWS) API anahtarını kullanarak Avrupa Komisyonu’nun Amazon bulut ortamına girdi.
- Saldırganlar, AWS ortamında yönetim yetkileri olan bu anahtarı kullanarak API kötüye kullanımı, hesap ele geçirme veya anormal ağ trafiği hakkında hiçbir uyarı almadı.
- Saldırının bir sonraki aşamasında, TruffleHog aracı ile ek gizli bilgileri bulmak için sistem tarandı ve tespit edilmemek için mevcut bir kullanıcıya yeni bir erişim anahtarı bağlandı.
- TeamPCP, GitHub, PyPi, NPM ve Docker gibi diğer gelişim kod platformlarına yönelik tedarik zinciri saldırıları ile ilişkilendirilmiştir.
Etkilenen Sistemler
Saldırının sonuçları ciddi boyutlardadır:
- Veri ihlali sonrasında, ShinyHunters grubunun dark web üzerinden 90GB’lık bir belge arşivini yayımladığı doğrulandı.
- İhlal sonucunda, Avrupa Komisyonu’nun 42 iç müşterisi ve en az 29 başka birliğin verileri etkilenmiştir.
- Yayınlanan veri seti, ad, soyad, kullanıcı adı ve e-posta adresleri gibi kişisel bilgileri içermektedir.
- Ayrıca, 51,992 adet çıkış e-postası ile ilgili dosya bulunduğu keşfedildi. Bu dosyaların çoğu otomatik bildirimlerden oluşmaktadır, ancak ‘bounce-back’ bildirimleri kişisel veri ifşası açısından risk taşımaktadır.
Çözüm ve Korunma
CERT-EU, olaya ilişkin yürütülen analizlerin devam ettiğini ve ilgili veri koruma otoriteleri ile irtibat halinde olduklarını bildirmiştir. Bu süreçte, kullanıcıların alması gereken önlemler bulunmaktadır:
- Tüm yazılımlarınızı güncelleyin, özellikle AWS ve bulut hizmetlerine yönelik uygulamalarınızı.
- Hizmet hesaplarınızda API anahtarlarını düzenli olarak değiştirin.
- Güvenlik protokollerini gözden geçirin ve anormal aktiviteleri izlemek için loglama ve izleme uygulamaları kullanın.
- Veri paylaşımınızı ve e-posta iletişiminizi dikkatle kontrol edin.
Sonuç
Okuyucuların bu durumu dikkate alarak gerekli güncellemeleri yapması ve güvenlik önlemlerini artırması büyük önem taşımaktadır. Ayrıca, kullandıkları AWS ve diğer bulut hizmetlerinde güvenlik politikalarını gözden geçirip, potansiyel tehditlere karşı daha sağlam bir yapı oluşturulması gerekmektedir.
