Uluslararası Kızılhaç Komitesi’ne (ICRC) yapılan ve 515.000’den fazla “yüksek düzeyde savunmasız” kişinin verilerini tehlikeye atan son siber saldırı, büyük olasılıkla devlet destekli bilgisayar korsanlarının işiydi.
İçinde Çarşamba günü yayınlanan bir güncellemeICRC, ilk izinsiz girişin, saldırının 18 Ocak’ta açıklanmasından iki ay önce, 9 Kasım 2021’e kadar uzandığını doğruladı ve analizinin, izinsiz girişin sistemlerine yönelik “son derece gelişmiş” bir hedefli saldırı olduğunu gösterdiğini de sözlerine ekledi. ICRC’nin ilk söylediği gibi üçüncü taraf yüklenici sistemlerine yönelik bir saldırı.
ICRC, saldırının hedef alındığını bildiğini söyledi çünkü “saldırganlar yalnızca ilgili ICRC sunucularında yürütülmek üzere tasarlanmış kodlar oluşturdular.” Güncellemeye göre, saldırgan tarafından kullanılan kötü amaçlı yazılım, ICRC’nin altyapısındaki belirli sunucuları hedef alacak şekilde tasarlandı.
Bilgisayar korsanları, web tabanlı ofis hizmetleri yapan Zoho tarafından geliştirilen tek bir oturum açma aracında bilinen ancak yama uygulanmamış kritik dereceli bir güvenlik açığından yararlanarak ICRC’nin ağına erişim elde etti. bu güvenlik açığı Eylül ayında ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) bir tavsiyeye konu olmuş ve 10 üzerinden 9,8 CVSS önem puanı verilmiştir.
ICRC’ye göre, adı açıklanmayan devlet destekli bilgisayar korsanları, bu kusurdan yararlanarak web kabukları yerleştirdi ve yönetici kimlik bilgilerini tehlikeye atmak, ağda gezinmek ve kayıt defteri ve etki alanı dosyalarını sızdırmak gibi istismar sonrası faaliyetler gerçekleştirdi.
“Ağımıza girdikten sonra, bilgisayar korsanları kendilerini meşru kullanıcılar veya yöneticiler olarak gizlemelerine izin veren saldırgan güvenlik araçlarını dağıtabildiler. Bu da, bu verilerin şifrelenmesine rağmen verilere erişmelerine izin verdi” dedi. Kızıl Haç, saldırıda çalınan verilerin yayınlandığına veya alınıp satıldığına dair kesin bir kanıt bulunmadığını ve fidye talebinde bulunulmadığını da sözlerine ekledi, ancak hassas bilgilerine erişilmiş olabilecek kişilerle temasa geçildiğini söyledi.
ICRC, hedeflenen sunuculardaki kötü amaçlı yazılımdan koruma araçlarının saldırı sırasında etkin olduğunu ve saldırganlar tarafından kullanılan bazı kötü amaçlı dosyaları engellediğini, ancak dağıtılan dosyaların çoğunun kötü amaçlı yazılımdan korumasını “atlamak için özel olarak tasarlandığını” söyledi. korumalar.
ICRC, bu araçların tipik olarak gelişmiş kalıcı tehdit (APT) grupları veya devlet destekli saldırganlar tarafından kullanıldığını belirtiyor, ancak Kızıl Haç, saldırıyı henüz resmi olarak herhangi bir kuruluşa atfetmediğini söyledi. A Palo Alto Networks raporu Kasım 2021’den itibaren, aynı güvenlik açığından yararlanılması, APT27 olarak bilinen Çin devlet destekli bir gruba bağlandı.
Siber saldırının bir sonucu olarak Kızıl Haç, çatışma veya felaket nedeniyle ayrılmış aile üyelerini yeniden birleştirmeyi içeren hayati çalışmalarını yürütmek için elektronik tablolar kullanmaya başvurmak zorunda olduğunu söyledi.
ICRC genel müdürü Robert Mardini yaptığı açıklamada, “Korunmasız kişilerin verilerine yönelik bu saldırının değişim için bir katalizör görevi görmesini umuyoruz” dedi. “Şimdi Kızılhaç ve Kızılay Hareketi’nin insani misyonunun korunmasının veri varlıklarımızı ve altyapımızı kapsamasını açıkça talep etmek için devletler ve devlet dışı aktörlerle olan ilişkimizi güçlendireceğiz.
Sözler ve eylemlerde, insani verilere asla saldırılmaması gerektiği konusunda kesin bir fikir birliğine varmanın kritik olduğuna inanıyoruz” dedi.
