JumpCloud adlı Amerika merkezli bir kurumsal yazılım şirketi, devlet destekli bir APT (Gelişmiş Kalıcı Tehdit) hacker grubu tarafından hemen hemen bir ay önce sistemlerinin ihlal edildiğini açıkladı. Şirket, saldırıyı 27 Haziran tarihinde keşfettiğini ve saldırganların spear-phishing saldırısıyla sistemlerine sızdığını belirtti.
Müşterilerin etkilenmediğine dair herhangi bir kanıt bulunmasa da, şirket etkilenen altyapıyı yeniden yapılandırmak ve kimlik doğrulama bilgilerini değiştirmek için önlemler aldı.
JumpCloud, saldırıyı araştırmak ve kötü amaçlı aktivitelerin belirtilerini değerlendirmek için denetimler, test sonuçları ve diğer değerlendirme yöntemlerini kullanarak, 5 Temmuz tarihinde bazı müşterilerinde olağandışı faaliyetler tespit etti. Aynı gün içinde şirket tüm yönetici API anahtarlarını değiştirerek müşterilerin organizasyonlarını koruma altına aldı ve yeni anahtarlar oluşturmaları konusunda bilgilendirdi.
JumpCloud CISO’su Bob Phan, “Devam eden analiz, saldırı vektörünü belirledi: Analiz ayrıca saldırının son derece hedeflenmiş ve belirli müşterilere yönelik olduğu şüphesini doğruladı” dedi. JumpCloud aynı tehdit grubunun benzer saldırılardan gelebilecek diğer ağlara karşı güvenliklerini sağlamak için IOC’lar yayınladı.
JumpCloud, saldırının etkilediği müşteri sayısı hakkında henüz bilgi vermedi ve saldırıyı gerçekleştiren APT grubunu belirli bir devletle ilişkilendirmedi.
Phan, “Müşterilerimizi gelecekteki tehditlerden korumak için kendi güvenlik önlemlerimizi sürekli olarak geliştireceğiz ve bu tehdit ile ilgili bilgileri hükümet ve sektör ortaklarımızla yakın işbirliği içinde paylaşacağız” şeklinde konuştu.
JumpCloud, müşterilerine tek oturum açma ve çok faktörlü kimlik doğrulama hizmetleri sunan bir bulut tabanlı dizin hizmeti platformudur. Şirket, 160’tan fazla ülkede 180.000’den fazla organizasyona hizmet vermektedir.
Kaynak: bleepingcomputer.com