FBI’den Önemli Uyarı: Salesforce Ortamlarındaki Tehditler
Son dönemde, FBI (Federal Bureau of Investigation), iki önemli siber tehdit grubu olan UNC6040 ve UNC6395 hakkında FLASH uyarısı yayımladı. Bu grupların Salesforce ortamlarını hedef alarak veri hırsızlığı ve fidye talepleri gerçekleştirdiği belirtiliyor. FBI, bu grupların siber faaliyetleri ile ilgili Indicators of Compromise (IOC) bilgilerini yayımlayarak, farkındalığın artırılmasını ve siber savunmaların güçlendirilmesini amaçlıyor.
UNC6040’in Aktiviteleri
UNC6040, Haziran ayında Google Threat Intelligence (Mandiant) tarafından ilk kez duyuruldu. Bu grup, sosyal mühendislik ve vishing (sesli dolandırıcılık) saldırıları kullanarak şirket çalışanlarını kandırmakta ve zararlı Salesforce Data Loader OAuth uygulamalarını şirket hesaplarına bağlamalarını sağlamaktadır. Çoğu vakada, tehdit aktörleri kendilerini şirketin IT destek personeli olarak tanıtarak, uygulamanın “My Ticket Portal” adı altında yeniden adlandırılmış versiyonunu kullanmıştır.
Bağlantı sağlandıktan sonra, tehdit aktörleri OAuth uygulamalarını kullanarak şirketin Salesforce verilerini topluca dışarıya sızdırmış ve bu verileri ShinyHunters fidye grubunun extorsiyon eylemlerinde kullanmıştır. Şirketlerin müşteri verilerini içeren “Accounts” ve “Contacts” veritabanı tablolarını hedef alan bu veri hırsızlığı saldırıları, Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior, ve Tiffany & Co. gibi büyük firma kurbanı olmuştur.
UNC6395’in Tehdidi ve Saldırı Modu
Ağustos ayında gerçekleşen veri hırsızlığı saldırıları ise UNC6395 olarak adlandırılmaktadır. Bu gruptan siber suçlular, mağdurların Salesforce örneklerine sızmak için çalınmış Salesloft Drift OAuth ve yenileme jetonlarını kullanmıştır. Bu saldırının Ağustos 8 ile 18 tarihleri arasında gerçekleştiği belirtiliyor. Tehdit aktörleri, Salesforce’da saklanan destek vaka bilgilerini hedef almışlardır.
Elde edilen veriler, AWS anahtarları, parolalar ve Snowflake jetonları gibi gizli bilgileri içermekteydi. Bu tür bilgilerin ele geçirilmesi, diğer bulut ortamlarına geçiş yaparak daha fazla veri çalınmasını sağlamaktadır. Salesloft, Salesforce ile işbirliği yaparak tüm Drift jetonlarını iptal etmiş ve müşterilerin platforma yeniden kimlik doğrulaması yapmasını zorunlu hale getirmiştir.
Ayrıca, saldırganların bazı Google Workspace hesapları için e-posta erişimi sağlamak amacıyla çalınmış olan Drift E-posta jetonlarını da elde ettiği ortaya çıkmıştır. Mandiant tarafından yapılan bir araştırma, saldırının Mart ayında Salesloft’un GitHub depolarının tehlikeye girmesiyle başladığını ve böylece Drift OAuth jetonlarının çalındığını göstermektedir.
Saldırılardan Etkilen Yenilikçi Şirketler
Bu veri hırsızlığı saldırıları, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks gibi pek çok şirketi de etkilemiştir. FBI, bu saldırıların ardında yatan grupların isimlerini açıklamaktan kaçınmıştır, ancak ShinyHunters fidye grubu, Scattered Lapsus$ Hunters olarak adlandırdığı diğer tehdit aktörleriyle birlikte her iki aktivitenin de arkasında olduklarını bildirmiştir.
Siber Suçluların Tehditleri ve Gölgeleri
Bu hacker grubu, Lapsus$, Scattered Spider ve ShinyHunters gibi fidye grupları ile kesişim içinde olduğu iddiasındadır. Geçen hafta, tehdit aktörleri BreachForums ile ilişkili bir alan üzerinden “karanlığa geçme” ve Telegram üzerindeki operasyonlarını durdurma planlarını duyurdu. Ancak, bir veda mesajında, FBI’nın E-Check arka plan kontrol sistemi ve Google’ın Law Enforcement Request sistemine erişim sağladıklarını iddia etmişlerdir. Eğer bu erişimler gerçekse, siber suçlular, yetkili kişileri taklit ederek bireylerin hassas kayıtlarını çekebilecek durumdadır.
FBI, BleepingComputer tarafından kendilerine yöneltilen sorulara yanıt vermekten kaçınırken, Google ise e-postaya geri dönüş yapmamıştır.
Sonuç Olarak
Bu gelişmeler, siber güvenlik alanında oldukça önemli bir dönüşüm yaşandığını göstermektedir. Salesforce gibi büyük platformların hedef alınması, siber saldırıların ne denli sofistike bir hale geldiğini ve organizasyonların güvenlik önlemlerini gözden geçirmesi gerektiğini ortaya koymaktadır. Önemli bilgiler ve verilerin korunması, şirketler için her zamankinden daha kritik hale gelmiştir.
