Kiber Təhlükəsizlikdə İnanılmaz Hadisə Xakerlər Xak Edildi

Nə Baş Verdi

Kiber təhlükəsizlik dünyası son günlərdə bənzəri az görülən hadisələr silsiləsi ilə üzləşir. Bazar kəşfiyyatı və rəqabət analizi platforması olan Klue, bu ayın əvvəllərində ciddi bir kiberhücuma məruz qaldı. Bu hücum, yalnız Klue-ni deyil, həm də onun xidmətlərindən istifadə edən çoxsaylı müştərilərini təsir edən bir təchizat zənciri hücumu kimi qeydə alındı. Hadisənin ortaya çıxmasından sonra təxminən iyirmi dörd Klue müştərisi, Salesforce sistemlərinin bu hücum nəticəsində təhlükəyə atıldığını ictimaiyyətə açıqladı və təsdiqlədi.

Hücumdan sonra "Icarus" adını istifadə edən bir təhdid qrupu, hücumun məsuliyyətini öz üzərinə götürdü. Qrup, ələ keçirdiyini iddia etdiyi məlumatları dərc etməklə təhdid edərək Klue və müştərilərini hədəf alan bir şantaj kampaniyasına başladı. Bu məqsədlə Tor şəbəkəsində bir sızma saytı quran Icarus, tələbləri yerinə yetirilməzsə məlumatları ifşa edəcəyini bildirdi. Ancaq hekayə burada bitmədi və daha mürəkkəb bir hal aldı.

Klue-nin təcavüzkarlarla danışıqlar apardığına dair güclü işarələr ortaya çıxdı. Bu danışıqların bir nəticəsi olaraq, Icarus qrupunun sızma saytı son bir neçə gündür əlçatmazdır. Bu vəziyyət, adətən fidyə ödənişi edildiyi və ya bir razılaşmaya gəlindiyi ssenarilərdə müşahidə olunur. Məhz bu zaman, kiber təhlükəsizlik hadisələrində nadir görülən bir inkişaf yaşandı. Klue, müştərilərinə etdiyi xüsusi məlumatlandırmada, hücumu həyata keçirən Icarus qrupunun özünün də xak edildiyini bildirdi. Bu inanılmaz inkişaf, Klue-dən oğurlanan məlumatların artıq ikinci bir kiber cinayətkar qrupun əlinə keçdiyi mənasını verirdi. İkinci qrup, Icarus-dan ələ keçirdiyi bu məlumatlarla öz şantaj kampaniyasını aparmağa başladı.

Ələ Keçirilən Məlumatlar

Hücum nəticəsində sızdırılan məlumatların xarakteri, təsirlənən şirkətlər üçün böyük bir narahatlıq mənbəyidir. İlkin təcavüzkar qrup olan Icarus tərəfindən ələ keçirilən məlumatların əsasən iş əlaqələri və müştəri dəstəyi məlumatlarından ibarət olduğu bildirilir. Bu cür məlumatlar, adətən müştəri adları, e-poçt ünvanları, şirkət məlumatları, əlaqə tarixçələri və dəstək sorğusu təfərrüatlarını ehtiva edir. Bu məlumatların pis niyyətli şəxslərin əlinə keçməsi, hədəfli fişinq hücumları, şəxsiyyət oğurluğu və korporativ casusluq kimi ciddi risklər yaradır.

Hadisəni daha da mürəkkəbləşdirən ikinci oğurluq hadisəsində isə vəziyyət bir qədər fərqlidir. Klue-nin iddialarına görə, Icarus qrupunu xak edən ikinci kiber cinayətkar təşkilat, oğurlanmış məlumatların hamısını deyil, yalnız bir hissəsini ələ keçirdi. Bu məlumatların "nümunə məlumat" xarakterində olduğu ifadə edilir. Ancaq bu "nümunə məlumatların" nə qədər əhatəli olduğu və ya hansı şirkətlərə aid məlumatları ehtiva etdiyi hələ dəqiq deyil. Hazırda Icarus xaricində bilinən heç bir şantaj qrupu, Klue hadisəsindən oğurlanan məlumatlara sahib olduğunu açıq şəkildə iddia etməyib. Bu qeyri-müəyyənlik, məlumat sızmasından təsirlənən şirkətlərin və müştərilərinin üzərindəki təzyiqi artırır.

Hücum Necə Həyata Keçirildi

Mövcud məlumatlara görə hücum, olduqca planlı bir təchizat zənciri əməliyyatı olaraq həyata keçirildi. Təcavüzkarlar, ilk addım olaraq Klue platformasına sızmağı bacardılar. Bu sızma əməliyyatı üçün, şirkətə aid olduğu düşünülən və zamanla qorunmasız qalmış köhnə (legacy) sistemlərə aid giriş məlumatları istifadə edildi. Bu giriş məlumatlarının necə ələ keçirildiyi hələ bilinmir, ancaq bu üsul, kiber təcavüzkarların tez-tez müraciət etdiyi zəif bir həlqəni hədəf aldıqlarını göstərir.

Klue-nin sistemlərinə giriş əldə edən xakerlər, əsas hədəfləri olan müştəri məlumatlarına çatmaq üçün növbəti mərhələyə keçdilər. Bu mərhələdə, Klue-nin müştərilərinin Salesforce kimi platformlarla inteqrasiyasını təmin edən OAuth nişanlarını (tokens) ələ keçirdilər. OAuth, bir tətbiqin (Klue) başqa bir tətbiqdəki (Salesforce) məlumatlara istifadəçi şifrəsini bilmədən, təhlükəsiz bir şəkildə daxil olmasına imkan verən bir icazə standartıdır. Təcavüzkarlar bu nişanları ələ keçirərək, özlərini Klue tətbiqi kimi göstərib müştəri məlumatlarına kütləvi şəkildə daxil oldular və bu məlumatları öz sistemlərinə çəkdilər. Hücumun 11 və 12 iyun tarixləri arasında bu üsulla həyata keçirildiyi müəyyən edildi.

Kimlər Təsirləndi

Hücumun təsir dairəsi olduqca geniş görünür. Bu günə qədər təxminən iyirmi dörd Klue müştərisi, bu təchizat zənciri hücumu səbəbindən Salesforce hesablarının ələ keçirildiyini rəsmən təsdiqlədi. Bu şirkətlər arasında texnologiya, təhlükəsizlik və maliyyə sektorlarından əhəmiyyətli adlar var. İctimaiyyətə açıqlanan və təsirlənən şirkətlərdən bəziləri bunlardır: AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 və Tines.

Ancaq bu siyahının aysberqin yalnız görünən hissəsi ola biləcəyindən narahatlıq duyulur. Klue-nin yüzlərlə müştərisi olduğu bilinir və hücumun həqiqi təsir dairəsinin daha geniş ola biləcəyi təxmin edilir. Klue tərəfindən müştərilərə edildiyi iddia edilən bir məlumatlandırmada, ümumilikdə 195 müştərinin hadisədən təsirləndiyi bildirilir. Bu rəqəm hələ rəsmi olaraq təsdiqlənməsə də, sızıntının miqyası haqqında əhəmiyyətli bir ipucu verir.

Digər tərəfdən, bütün Klue müştərilərinin hücumdan təsirlənmədiyini qeyd etmək faydalıdır. Məsələn, aparıcı proqram təminatı şirkətlərindən Autodesk kimi bəzi müştərilər, Klue platformasını Salesforce inteqrasiyası olmadan istifadə etdikləri üçün bu xüsusi hücumdan təsirlənmədilər. Bu vəziyyət, hücumun xüsusi olaraq Salesforce inteqrasiyasına sahib müştəriləri hədəf aldığını göstərir.

Nə Edə Bilərsiniz

Hadisədən sonra həm Klue, həm də təsirlənən üçüncü tərəf platformaları tərəfindən bir sıra tədbirlər görüldü. Məlumat sızmasının daha da yayılmasının qarşısını almaq məqsədilə, Salesforce 17 iyunda Klue inteqrasiyasını deaktiv etdi. Salesforce-un status səhifəsində bu inteqrasiyanın hələ də yenidən aktivləşdirilmədiyi görülür. Bənzər bir tədbir olaraq, digər bir populyar platforma olan Gong da Klue ilə olan inteqrasiyasını dayandırdı.

Klue və ya təsirlənən digər şirkətlərin müştərisi olan qurum və şəxslərin atması lazım olan xüsusi addımlara dair hələ rəsmi və ətraflı bir təlimat yayımlanmayıb. Bu məqamda, adı çəkilən şirkətlərin müştərilərinin, birbaşa bu şirkətlərdən gələcək rəsmi elanları və e-poçt bildirişlərini diqqətlə izləmələri böyük əhəmiyyət daşıyır. Xüsusilə iş əlaqələri və dəstək məlumatlarının sızdırılması səbəbindən, qarşıdakı dövrdə arta biləcək fişinq hücumlarına qarşı diqqətli olmaq tövsiyə olunur.

Şirkət Nə Deyir

Klue, məlumat pozuntusunu Bazar ertəsi günü ictimaiyyətə təsdiqləyərək bir araşdırma başlatdığını açıqladı. Ancaq şirkət, araşdırmanın nəticələrinə dair hələ ictimaiyyətə açıq detallı bir yeniləmə paylaşmayıb. Qapalı qapılar arxasında isə şirkətin daha aktiv olduğu aydın olur.

TechCrunch-ın xəbərinə görə Klue, müştərilərinə xüsusi olaraq göndərdiyi məlumatlandırma notlarında, hücumu öz üzərinə götürən Icarus qrupu ilə əlaqə qurduğunu və qrupun oğurlanmış məlumatları silməyə başladığını bildirdi. Bu inkişaf, Klue-nin məlumatların dərc edilməməsi üçün bir fidyə ödəmiş ola biləcəyi yönündəki spekulyasiyaları gücləndirir.

Eyni məlumatlandırmada Klue, Icarus qrupunun da xak edildiyi və məlumatların artıq başqa bir qrupun əlinə keçdiyi kimi təəccüblü bir məlumatı da paylaşdı. Şirkət, bu mövzudakı inkişafları yaxından izlədiyini bildirdi. SecurityWeek xəbər mənbəyi, mövzu ilə bağlı daha çox məlumat almaq üçün Klue-yə müraciət etdiyini, ancaq hələ bir cavab almadığını bildirdi.

Mənbə

https://www.securityweek.com/more-klue-breach-victims-identified-as-hackers-get-hacked/