SolarWind’in Orion ürünü, Sunspot isimli yeni bir kötü amaçlı yazılım ile saldırıya uğradı

Bilişim firmalarından biri olan SolarWinds, aynı zamanda CrowdStrike güvenlik yazılımı ile de çalışan bir firma, kendi ürünleri olan Orion’a saldıran ve bir backdoor eklemek için faaliyet gösteren yeni bir tür kötü amaçlı yazılım ile karşılaştı ve CrowdStrike ile geçtiğimiz ay görüşmelere başladı. Şuan verilen bilgilere göre bu kötü amaçlı yazılım parçasının adı Sunspot ve daha önce incelenmiş olan Sunburst backdoor’u Orion ürününe geçirmek yani enjekte etmek için kullanılmış.

SolarWinds’e yapılan bu saldırıda, bilgisayar korsanları Sunburst backdoor’una erişen trojan virüsü haline getirilmiş Orion güncellemelerini oluşturdu ve bunları 18.000 müşteriye gönderdi. Fakat bu binlerce kullanıcı hedef kitlesini oluşturmuyor, sadece birkaç yüzü asıl hedef. Ve bu hedeflere ulaşmak için de Teardrop adlı hacking sonrası ikincil yükü yükleyen araç kullanılmış.

CrowdStrike tarafından yapılan analiz sonucunda, bilgisayar korsanlarının Sunspot'u SolarWinds sistemlerine yerleştirdiği ortaya çıktı. Sunspot, tehlike altındaki sistemde Orion ürününün ile ilişkili süreçlerin varlığını her saniye kontrol etmek için tasarlanmıştır. Ve Sunspot, özellikle Microsoft Visual Studio gibi geliştirme araçlarıyla ilişkili olan MsBuild.exe işlemini tarar.

SolarWinds Saldırısının Kaynağı Nedir?

Ocak ayında gerçekleşen saldırıda ilk başta güvenlik şirketleri açıklama yapmaktan uzak durdu. Öte yandan, ABD hükümet yetkilileri SolarWinds saldırısını muhtemel menşesini Rus olarak nitelendirdi.

ABD hükümeti öte yandan belirli bir hacker grubuna bağlamadı. Bazı haber kaynakları saldırıyı APT29 (veya Cozy Bear) olarak bilinen bir gruba yöneltirken, sürece dahil olan tüm siber güvenlik firmaları ve araştırmacılar tedbirli davranarak şu an bir hacker grubunu ifşa etmedi.

Peki sebebi neydi, nasıl başladı?

Merak edilen konu ve siber güvenlik önlemleri için de cevaplanması kaçınılmaz olan soru, bilgisayar korsanları ilk etapta SolarWinds şirketin ağını ihlal etmeyi ve Sunspot isimli bu yeni kötü amaçlı yazılımını kurmayı nasıl başardılar. Bir e-posta hedefli kimlik avı yani oltalama saldırısı mıydı yoksa tahmin edilebilir bir parola ile sebebi ile kötüye kullanılan bir kullanıcı profili ya da sunucu şifresi hackleme miydi?

Bilgisayar Korsancılığına Karşı Güvenlik Önlemleri

Hem firmalar hem de bireyler günümüzde daha önce hiç olmadığı kadar internete bağımlı ve bağlı olduklarından dolayı, tüm internet kullanıcıları belirli düzeyde risklere her gün maruz kalabiliyor. Size yani kişisel internet kullanımınıza veya işinize yönelik siber güvenlik saldırıları ihtimalini en aza indirmek için tüm siber güvenlik suçları ve ilgili teknik konular hakkında uzman olmanız gerekmez. Aşağıda bahsedilen örnekler hem bireysel kullanımda son kullanıcılara hem de ölçeklendiğinde enterprise seviyesinde kullanıcılara hitap edebilir.

Kimlik avı – Oltalama Saldırılarına Karşı Kendinizi Koruyun

Günümüzde oldukça yaygın olan oltalama saldırıları kullanıcıların iyi niyetini ve dikkatsizliğini suiistimal eden email gönderilerinden ve ilettiği kötü amaçlı linklerden oluşur. Bir piyango veya başka bir ödül kazandığınızı söyleyen bir email ya da gerçek olması çok uzak ya da çok iyi görünen bir bağlantıya tıklamamak en iyisidir. Yapmanız gereken kendi epostanızda iseniz bu tür e-postaları spam olarak bildirmek ve şirket içinde iseniz BT ekibine de haber vermeniz olacaktır.

Eğer program indirecekseniz güvenli kaynaklardan indirin

Herhangi bir yazılım indirmek istiyorsanız kesinlikle torrent sitelerine güvenmeyin. Güvenilir olmayan kaynaklardan yazılım indirmek demek bu yazılımı kendi çıkarları için değiştiren bilgisayar korsanlarına karşı savunmasız kalmak ve aynı zamanda kendi ellerinizle bu manipüle edilmiş yazılımları bilgisayarınıza almak demektir. 

VPN Kullanın

Virtual Private Network yani Sanal Özel Ağ programları, şifreleme teknolojileri ile sizin cihazınız ile internet sağlayıcısı ile aradaki bağlantı trafiğini şifreler, anonim hale getirir ve gizler. Güncel ve iyi performansa sahip güvenilir bir VPN kullanmak üçüncü tarafların sizi tespit etmesini imkansızlaştıracağı için atakta bulunmaları ihtimalini de azaltacaktır. Araştırma yaparak en iyi ücretsiz VPN’ler sayesinde de bu korumayı eşit derecede sağlamak mümkün olabilir.

Toplu Kullanıma Açık Cihazlarda Mutlaka Gizli Modu Kullanın

Gizli modu kullandığınız zaman cihazlar üzerinde yani tarayıcı üzerinde kullanıcı kimlik bilgileriniz veya tarayıcı geçmişiniz saklamaz. Eğer halka açık bilgisayarları veya başka birinin telefonunu veya bilgisayarını kullanmak zorunda kalırsanız, kendi bilgilerinizi girmeden önce mutlaka gizli sekme kullanın ve ardından güvenli çıkış yapmayı ihmal etmeyin. Böylece kişisel ve hassas bilgilerinizi kendi elinizle ve sadece dikkatsizlik sebebi ile başkalarına sunmamış olursunuz.

Hassas bilgileri (banka şifreleri vb.) girmek için ekran klavyesini kullanın

İnternet üzerinde klavye hareketlerini kaydeden birçok yazılım dolaşıyor. Özellikle banka, finansal hizmet ve kredi kartı bilgilerinin girildiği e-ticaret siteleri gibi platformlara yönelik kullanıcı veri hırsızlığı saldırılarında klavye kayıtlarını tutabilen ajan yazılımlar kullanılır. Bu nedenle, kullanmakta olduğunuz cihazda kullanıcı adınız ve şifreniz gibi hassas bilgileri girerken ekran klavyesini kullanın. Çoğu internet bankacılığı bu imkanı sunuyor hatta bazı devlet kuruluşu ödeme platformları karma bir düzendeki ekran klavyesi ile giriş yapmayı mecbur kılıyor.

Tıklamadan önce URL'yi kontrol edin

Bir saldırıyı kurtarmaya çalışmaktansa en baştan önlemek en iyisidir. Kullanıcılar olarak herhangi bir web sitesine giriş yaptığınızda ya da email içerisindeki uzantılara tıklamadan önce, erişmeye çalıştığınız sitenin URL'sini kontrol ettiğinizden emin olun. Ve girmeye çalıştığınız URL, erişmek istediğiniz sitenin aynısıysa kendi kişisel bilgileriniz ile giriş yapın. Siber suçlular genellikle standart web sitelerine çok ama çok benzeyen sahte oturum açma web sayfaları oluşturabilir, bu firmaların newsletter ya da bilgilendirme emaili gibi iletilerini de hem görsel hem tasarım olarak kopyalamaya çalışabilirler. Ve bunları kişinin bilgilerini çalmak için yaparlar. Sahte bir web sayfasını belirlemek zor göründüğü kadar zor değil çünkü her zaman URL’leri orijinalinden farklı olacaktır, sadece dikkatle bakmak yeterli.