Bu saldırıların amacı nedir?
OAuth 2.0 protokolü nasıl çalışıyor?
Bu tür saldırılara karşı nasıl önlem alabiliriz?
Hedefler kimler?
Saldırının içeriği ne?
Bu saldırıların amacı nedir?
Hedeflenen saldırılar, genellikle hassas bilgi edinme amacı güden siber tehdit aktörleri tarafından gerçekleştirilir. Bu durumda, Rus tehdit aktörleri, Ukrayna ile insan hakları ile ilgili organizasyonlarda çalışan bireylerin Microsoft 365 hesaplarına sızmak için OAuth 2.0 yetkilendirme akışlarını istismar etmektedir. Saldırıların ardındaki temel motivasyon, bilgileri çalmak veya hesapları ele geçirerek, hedeflerin özel bilgilerine erişim sağlamaktır. Genellikle, bu tür saldırılar, hedefin güvenliğini zayıflatmak ve onlardan çıkar sağlamak amacı taşımaktadır. Tehdit aktörleri, Avrupa ülkelerinden yetkilileri taklit ederek, kişilere özel video görüşmeleri için davetler göndererek güven oluşturmakta ve bu güvenin ardından hassas bilgiler edinmeyi hedeflemektedir.
OAuth 2.0 protokolü nasıl çalışıyor?
OAuth 2.0, uygulamaların kullanıcıların hesap bilgilerini doğrudan paylaşmadan üçüncü taraf uygulamalara güvenli bir şekilde erişim sağlamasına olanak tanıyan bir yetkilendirme çerçevesidir. Temelde, bir kullanıcı bir uygulamaya erişim izni verdiğinde, OAuth 2.0 bu süreci yönetir. Kullanıcı, uygulama tarafından bir yetkilendirme kodu ile karşılaşır ve bu kod, diğer sistemlere erişim sağlamak için kullanılır. Tehdit aktörleri, bu süreci kötüye kullanarak, kurbanlardan yetkilendirme kodunu istemekte ve bunu kötü niyetli amaçlarla kullanmaktadır. Dolayısıyla, bu yetkilendirme kodları aslında saldırganların hesaplara ulaşmalarını sağlayacak bir anahtar görevi görmektedir.
Bu tür saldırılara karşı nasıl önlem alabiliriz?
Bu tür siber saldırılara karşı alınabilecek önlemler, temel olarak güvenlik bilincini artırmaya dayanmaktadır. Bunun yanı sıra, teknik önlemler de hayati önem taşımaktadır. Öncelikle, kullanıcıların MFA (Multi-Factor Authentication – Çok Faktörlü Kimlik Doğrulama) kullanması önerilmektedir. Bu yöntem, yalnızca kullanıcı adı ve şifre yerine, ikinci bir doğrulama faktörü gerektirdiği için hesapların güvenliğini artırmaktadır. Ayrıca, kurumsal düzeyde, erişim kontrol politikalarının güçlendirilmesi ve yalnızca onaylı cihazların ağda yer almasına izin verilmesi gibi önlemler alınmalıdır. Çalışanların, şüpheli bağlantılara tıklamaktan kaçınmaları ve tanımadıkları kişilerden gelen mesajlarda dikkatli olmaları gerektiği konusunda eğitilmesi de oldukça önemlidir. Uygulamaların düzenli olarak güncellenmesi ve güvenlik yamalarının uygulanması da, sistemlerin savunma mekanizmalarını güçlendirmekte katkı sağlayacaktır.
Hedefler kimler?
Bu saldırılar, özellikle devlet kuruluşlarında veya insan hakları ile ilgilenen organizasyonlarda çalışan bireyleri hedef almaktadır. Ukrayna ile bağlantılı olan bu kişiler, siber tehdit aktörleri için özel bir hedef grubu oluşturmaktadır. Bu bireyler, siyasi hassasiyet taşıyan bilgilere sahip oldukları için, saldırganların ilgi alanına girmektedir. Ayrıca, Avrupa ülkelerinin yetkilileri gibi sahte kimlikler kullanarak, hedeflerin güvenini kazanmak amacıyla önemli bir strateji izlenmektedir. Hedeflerin dikkatini çekmek ve onları hesap bilgilerini paylaşmaya ikna etmek için farklı sosyal mühendislik teknikleri kullanılmaktadır.
Saldırının içeriği ne?
Saldırının içeriği, kullanıcıların OAuth 2.0 yetkilendirme kodlarını çalmaya yönelik karmaşık bir süreçten oluşmaktadır. İlk olarak, tehdit aktörleri, hedeflerine özel video toplantı davetleri göndermek için WhatsApp veya Signal gibi mesajlaşma platformlarını kullanmaktadır. Görüşmelere katılım için gerekli olduğunu belirttikleri bir OAuth phishing URL’si paylaşarak, kurbanları bu bağlantıya tıklamaya teşvik etmektedirler. Bu bağlantı, sahte bir giriş sayfasına yönlendirme yaparak, kullanıcılardan yetkilendirme kodlarını almalarına olanak tanımaktadır. Kullanıcı, bu kodu göndermeye ikna edildiğinde, aslında saldırganların hesaplarına erişim sağlamaları için gerekli olan bir anahtar sunmuş olmaktadır. Saldırganlar bu yöntemi kullanarak, daha sonra kurbanların e-posta hesaplarına erişim sağlamaktadır. Dolayısıyla, bu sürecin tüm aşamaları, siber tehdit aktörlerinin hedeflerine ulaşmaları için dikkatlice planlanmıştır.
