Siber Güvenlikte İnanılmaz Olay Hackerlar Hacklendi

Ne Oldu

Siber güvenlik dünyası, son günlerde eşine az rastlanır bir olaylar zincirine sahne oluyor. Pazar istihbaratı ve rekabet analizi platformu olan Klue, bu ayın başlarında ciddi bir siber saldırıya uğradı. Bu saldırı, yalnızca Klue'yi değil, aynı zamanda onun hizmetlerini kullanan çok sayıda müşterisini de etkileyen bir tedarik zinciri saldırısı olarak kayıtlara geçti. Olayın ortaya çıkmasının ardından yaklaşık yirmi dört Klue müşterisi, Salesforce sistemlerinin bu saldırı sonucunda tehlikeye atıldığını kamuoyuna açıkladı ve doğruladı.

Saldırının ardından "Icarus" adını kullanan bir tehdit aktörü, saldırının sorumluluğunu üstlendi. Grup, ele geçirdiğini iddia ettiği verileri yayınlamakla tehdit ederek Klue ve müşterilerini hedef alan bir şantaj kampanyası başlattı. Bu amaçla Tor ağı üzerinde bir sızıntı sitesi kuran Icarus, talepleri karşılanmazsa verileri ifşa edeceğini duyurdu. Ancak hikaye burada bitmedi ve çok daha karmaşık bir hal aldı.

Klue'nün saldırganlarla pazarlık yaptığına dair güçlü işaretler ortaya çıktı. Bu görüşmelerin bir sonucu olarak, Icarus grubunun sızıntı sitesi son birkaç gündür erişilemez durumda. Bu durum, genellikle fidye ödemesi yapıldığı veya bir anlaşmaya varıldığı senaryolarda gözlemlenir. Tam bu sırada, siber güvenlik vakalarında nadiren görülen bir gelişme yaşandı. Klue, müşterilerine yaptığı özel bilgilendirmede, saldırıyı gerçekleştiren Icarus grubunun kendisinin de hacklendiğini bildirdi. Bu inanılmaz gelişme, Klue'den çalınan verilerin artık ikinci bir siber suç grubunun eline geçtiği anlamına geliyordu. İkinci grup, Icarus'tan ele geçirdiği bu verilerle kendi şantaj kampanyasını yürütmeye başladı.

Ele Geçirilen Veriler

Saldırı sonucunda sızdırılan verilerin niteliği, etkilenen şirketler için büyük bir endişe kaynağı oluşturuyor. İlk saldırgan grup olan Icarus tarafından ele geçirilen bilgilerin ağırlıklı olarak iş bağlantıları ve müşteri destek verilerinden oluştuğu belirtiliyor. Bu tür veriler, genellikle müşteri isimleri, e-posta adresleri, şirket bilgileri, iletişim geçmişleri ve destek talebi ayrıntılarını içerir. Bu bilgilerin kötü niyetli kişilerin eline geçmesi, hedefli oltalama (phishing) saldırıları, kimlik hırsızlığı ve kurumsal casusluk gibi ciddi riskler doğurabilir.

Olayı daha da karmaşık hale getiren ikinci hırsızlık vakasında ise durum biraz daha farklı. Klue'nün iddialarına göre, Icarus grubunu hackleyen ikinci siber suç örgütü, çalınan verilerin tamamını değil, yalnızca bir kısmını ele geçirdi. Bu verilerin "örnek veri" niteliğinde olduğu ifade ediliyor. Ancak bu "örnek verilerin" ne kadar kapsamlı olduğu veya hangi şirketlere ait bilgileri içerdiği henüz netlik kazanmış değil. Şu an itibarıyla Icarus dışında bilinen başka hiçbir şantaj grubu, Klue olayından çalınan verilere sahip olduğunu kamuya açık bir şekilde iddia etmedi. Bu belirsizlik, veri sızıntısından etkilenen şirketlerin ve müşterilerinin üzerindeki baskıyı artırıyor.

Saldırı Nasıl Gerçekleşti

Mevcut bilgilere göre saldırı, oldukça planlı bir tedarik zinciri operasyonu olarak gerçekleştirildi. Saldırganlar, ilk adım olarak Klue platformuna sızmayı başardı. Bu sızma işlemi için, şirkete ait olduğu düşünülen ve zamanla korumasız kalmış eski (legacy) sistemlere ait kimlik bilgileri kullanıldı. Bu kimlik bilgilerinin nasıl ele geçirildiği henüz bilinmiyor, ancak bu yöntem, siber saldırganların sıkça başvurduğu zayıf bir halkayı hedef aldıklarını gösteriyor.

Klue'nün sistemlerine erişim sağlayan hackerlar, asıl hedefleri olan müşteri verilerine ulaşmak için bir sonraki aşamaya geçti. Bu aşamada, Klue'nün müşterilerinin Salesforce gibi platformlarla entegrasyonunu sağlayan OAuth jetonlarını (tokens) ele geçirdiler. OAuth, bir uygulamanın (Klue) başka bir uygulamadaki (Salesforce) verilere kullanıcı şifresini bilmeden, güvenli bir şekilde erişmesine olanak tanıyan bir yetkilendirme standardıdır. Saldırganlar bu jetonları ele geçirerek, kendilerini Klue uygulaması gibi gösterip müşteri verilerine toplu halde eriştiler ve bu verileri kendi sistemlerine çektiler. Saldırının 11 ve 12 Haziran tarihleri arasında bu yöntemle gerçekleştirildiği tespit edildi.

Etkilenenler Kim

Saldırının etki alanı oldukça geniş görünüyor. Bugüne kadar yaklaşık iki düzine Klue müşterisi, bu tedarik zinciri saldırısı nedeniyle Salesforce hesaplarının ele geçirildiğini resmen doğruladı. Bu şirketler arasında teknoloji, güvenlik ve finans sektörlerinden önemli isimler bulunuyor. Kamuoyuna yansıyan ve etkilenen şirketlerden bazıları şunlardır: AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 ve Tines.

Ancak bu listenin buzdağının sadece görünen kısmı olabileceğinden endişe ediliyor. Klue'nün yüzlerce müşterisi olduğu biliniyor ve saldırının gerçek etki alanının çok daha geniş olabileceği tahmin ediliyor. Klue tarafından müşterilere yapıldığı iddia edilen bir bilgilendirmede, toplamda 195 müşterinin olaydan etkilendiği belirtiliyor. Bu rakam henüz resmi olarak doğrulanmamış olsa da, sızıntının boyutları hakkında önemli bir ipucu veriyor.

Öte yandan, tüm Klue müşterilerinin saldırıdan etkilenmediğini belirtmekte fayda var. Örneğin, önde gelen yazılım şirketlerinden Autodesk gibi bazı müşteriler, Klue platformunu Salesforce entegrasyonu olmadan kullandıkları için bu özel saldırıdan etkilenmediler. Bu durum, saldırının spesifik olarak Salesforce entegrasyonuna sahip müşterileri hedef aldığını gösteriyor.

Ne Yapabilirsin

Olayın ardından hem Klue hem de etkilenen üçüncü parti platformlar tarafından bir dizi önlem alındı. Veri sızıntısının daha fazla yayılmasını önlemek amacıyla, Salesforce 17 Haziran'da Klue entegrasyonunu devre dışı bıraktı. Salesforce'un durum sayfasında, bu entegrasyonun hala yeniden etkinleştirilmediği görülüyor. Benzer bir önlem olarak, bir diğer popüler platform olan Gong da Klue ile olan entegrasyonunu askıya aldı.

Klue veya etkilenen diğer şirketlerin müşterisi olan kurum ve kişilerin alması gereken spesifik adımlara dair henüz resmi ve detaylı bir rehber yayınlanmadı. Bu noktada, adı geçen şirketlerin müşterilerinin, doğrudan bu şirketlerden gelecek resmi duyuruları ve e-posta bildirimlerini dikkatle takip etmeleri büyük önem taşıyor. Özellikle iş bağlantıları ve destek verilerinin sızdırılmış olması nedeniyle, önümüzdeki dönemde artabilecek oltalama (phishing) saldırılarına karşı dikkatli olunması tavsiye ediliyor.

Şirket Ne Diyor

Klue, veri ihlalini Pazartesi günü kamuoyuna doğrulayarak bir soruşturma başlattığını açıkladı. Ancak şirket, soruşturmanın bulgularına ilişkin henüz kamuya açık detaylı bir güncelleme paylaşmadı. Kapalı kapılar ardında ise şirketin daha aktif olduğu anlaşılıyor.

TechCrunch'ın haberine göre Klue, müşterilerine özel olarak gönderdiği bilgilendirme notlarında, saldırıyı üstlenen Icarus grubuyla temas kurduğunu ve grubun çalınan verileri silmeye başladığını bildirdi. Bu gelişme, Klue'nün verilerin yayınlanmaması için bir fidye ödemiş olabileceği yönündeki spekülasyonları güçlendiriyor.

Aynı bilgilendirmede Klue, Icarus grubunun da hacklendiği ve verilerin artık başka bir grubun eline geçtiği gibi şaşırtıcı bir bilgiyi de paylaştı. Şirket, bu konudaki gelişmeleri yakından takip ettiğini belirtti. SecurityWeek haber kaynağı, konuyla ilgili daha fazla bilgi almak için Klue'ye ulaştığını ancak henüz bir yanıt alamadığını bildirdi.

Kaynak

https://www.securityweek.com/more-klue-breach-victims-identified-as-hackers-get-hacked/