Scattered Spider: Havacılara Yönelik Siber Tehditler
Son dönemde, Scattered Spider olarak bilinen siber suç grubu, havacılık sektörüne yönelik saldırılarını artırdığı duyuruldu. Bu durum, özellikle Amerika Birleşik Devletleri Federal Soruşturma Bürosu (FBI) tarafından yapılan açıklamalarla gündeme geldi. FBI, havacılık ve endüstri ortaklarıyla bu tür saldırılarla mücadele etmek için aktif olarak çalıştıklarını ve mağdurlara yardımcı olmayı hedeflediklerini belirtmekte.
Tehditin Temel Nedenleri
Scattered Spider, çalışanları veya taşeronları taklit ederek sosyal mühendislik tekniklerini kullanıyor. Bu durum, bilişim destek masalarının izinsiz erişim sağlamasına neden oluyor. Özellikle, çok faktörlü kimlik doğrulama (MFA) sistemlerini aşmak için bu tür teknikler kullanılıyor. FBI, bu tür tehditlerin genellikle üçüncü taraf bilişim sağlayıcılarını hedef aldığını ve bunların güvenilir tedarikçileri tehlikeye attığını vurgulamakta. Bu saldırılar, veri hırsızlığı, zorbalık ve fidye yazılımı gibi kötü niyetli eylemlerin yolunu açıyor.
Güvenlik Uyarıları ve Önlemler
Palo Alto Networks’ten Sam Rubin, havacılık endüstrisi için yüksek alarm seviyesinde olunması gerektiğini belirtti. Mandiant, güncel uyarılarında, Scattered Spider’ın havacılık ve ulaşım sektöründe çok sayıda olayı hedef aldığını ifade etmekte. Bu tür saldırılara karşı, yardım masası kimlik doğrulama süreçlerini sıkılaştırmaları gerektiğini öneriyorlar. Yeni telefon numaraları eklenmeden önce doğru kimlik doğrulama yapmanın ne denli önemli olduğu vurgulanmakta.
Scattered Spider’ın Yöntemleri
Scattered Spider, insan akışlarını çok iyi anlayan bir grup olarak dikkat çekiyor. Teknik savunmaların yanı sıra, saldırganlar genellikle insanların tanıdığı bir hikaye sunarak güven kazanmaya çalışıyor. Dolayısıyla, organizasyonların geleneksel uç nokta güvenliğinin ötesine bakması gerekiyor. Kimlik doğrulama yöntemlerinin gerçek zamanlı olarak gözden geçirilmesi büyük bir önem arz ediyor.
Bu grup, Muddled Libra, Octo Tempest ve LAPSUS$ gibi tehdit kümeleriyle örtüşen bir faaliyet izlemektedir. Scattered Spider, SIM değiştirme saldırılarıyla tanınmakla birlikte, sosyal mühendislik, yardım masası oltalama ve iç erişim gibi ilk erişim tekniklerini kullanmaktadır. Grubun hızlı bir şekilde sosyal mühendislik becerilerini ve teknik sofistike yapısını birleştirerek, siber zorbalıkta önemli bir evrim gerçekleştirdiği belirtiliyor.
Hedefli Saldırılar ve Başarı Hikayeleri
ReliaQuest’in yayınladığı bir rapora göre, Scattered Spider’ın hedefi olan bir organizasyona yönelik bir saldırıda, CEO’nun (CFO) hesap bilgileri kullanılmıştır. Saldırganlar, CFO’yu taklit ederek yardım masasını aramış ve MFA cihazını ve kimlik bilgilerini sıfırlama talebinde bulunmuşlardır. Burada, yapılan detaylı keşif sayesinde, saldırganlar kritik kişileri hedef almayı başarmışlardır. CFO’nun doğum tarihi ve sosyal güvenlik numarasının son dört hanesini kullanarak, giriş sürecini düzgün bir şekilde yönetmişlerdir.
Scattered Spider, C-Suite hesaplarını hedef alarak iki ana nedenden dolayı daha büyük avantajlar sağlamaktadır: Bu hesapların genellikle aşırı yetkili olması ve yardım masası taleplerinin çoğu zaman aciliyet içermesi. Bu durum, sosyal mühendislik saldırılarının başarılı olma olasılığını artırmaktadır.
Sosyal Mühendislikte Yenilikçi Yaklaşımlar
Threat aktörleri, hedeflerin sosyal medyadaki verilerini inceleyerek çok doğru bir taklit sunabilmektedir. Bu, saldırıların siber güvenlik sistemlerinden kaçmasına olanak sağlıyor. Scattered Spider’ın tam plan yapması, ihtiyaç halinde hızlı bir şekilde hareket edebilme yeteneğiyle birleşince, tehditlerinin ne kadar hızlı ve etkili olabileceğini göstermektedir.
Asıl endişe verici olan, sosyal mühendislik saldırılarının artık yalnızca phishing e-postalarıyla sınırlı kalmayıp, tam anlamıyla kimlik tehdit kampanyalarına dönüşmesidir. Saldırganların insan kaynaklı süreçleri nasıl manipüle ettiğini görmek, işletmelerin iç süreçlerini yeniden gözden geçirmesi gerektiğini gösteriyor.
Sonuç ve Öneriler
Scattered Spider, insan odaklı iş akışlarını istismar ederek güçlü teknik savunmaları bypass etmekte ve organizasyonların iç kimlik doğrulama protokollerini yeniden değerlendirme ihtiyacını ortaya koymaktadır. İlgili güvenlik araştırmacıları, bu grubun yöntemlerinin, güvenilirliğe dayanan kimlik doğrulama sistemlerinin ne denli zayıf olabileceğini gözler önüne serdiğini ifade ediyor.
Bu bağlamda, şirketlerin bu tür tehditlerle başa çıkabilmek için, iç süreçlerinde sıkılaştırmalar ve eğitimler yapması gerekmektedir. Kimlik doğrulama kararları için insan faktörünün ne kadar kritik olduğu, organizasyonların bu konuda ciddiyetle yaklaşmaları gerektiğini göstermektedir.
