Microsoft ve FireEye, SolarWinds Saldırısını Açıkladı
Şimdiye kadar bilinen kurbanlar arasında ABD Hazinesi, ABD NTIA (Ulusal Telekomünikasyon ve Bilgi İdaresi) ve FireEye’ın kendisi bulunuyor.
Microsoft ve güvenlik firması FireEye bugün, yabancı bir hükümet adına çalıştığına inanılan bilgisayar korsanlarının yazılım sağlayıcısı SolarWinds ‘i ihlal ettiğini ve ardından Orion yazılımı için kötü amaçlı yazılım içeren bir güncellemeyi birden fazla ABD şirketinin ve devlet kurumlarının ağlarına bulaştırmak için kullandığını söyledi.
Reuters, Washington Post ve Wall Street Journal, Pazar günü ABD Hazine Bakanlığı ve ABD Ticaret Bakanlığı Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA) kurumlarının saldırıya uğradığını duyurmuştu. FireEye’ın açıklaması tam da bu haberlerin ardından geldi.
Washington Post, başka birçok devlet kurumunun da saldırıdan etkilendiğini iddia eden kaynaklara atıfta bulundu.
Reuters, saldırıların Cumartesi günü Beyaz Saray’da ABD Ulusal Güvenlik Konseyi’nde bir toplantı gerçekleştirecek derecede ciddi bir olaya sebep olduğunu bildirdi.
Washington Post ile konuşan kaynaklar, saldırıyı siber güvenlik endüstrisi tarafından Rus Dış İstihbarat Servisi (SVR) ile ilişkili bilgisayar korsanlarını tanımlamak için kullanılan bir kod adı olan APT29 ile ilişkilendirdi.
FireEye, APT29 atıfını onaylamadı ve gruba tarafsız bir UNC2452 kod adı verdi, ancak siber güvenlik topluluğundaki kimi kaynaklar ABD hükümeti tarafından yapılan APT29 atıfının mevcut kanıtlara göre büyük olasılıkla doğru olduğunu söyledi.
Pazar günü müşterilerine özel olarak gönderdiği güvenlik uyarılarında Microsoft, SolarWinds’in açığını doğruladı ve etkilenmiş olabilecek müşterilere karşı çeşitli önlemler sağladı.
Bilgisayar korsanları Orion güncellemesi yoluyla Sunburst kötü amaçlı yazılımını kurdu
SolarWinds, Pazar günü geç saatlerde bir basın bülteni yayınladı ve Orion’un saldırıya uğradığını kabul etti. Orion, genellikle büyük ağlarda sunucular, iş istasyonları, cep telefonları ve IoT cihazları gibi tüm BT kaynaklarını takip etmek için merkezi izleme ve yönetim için bir yazılım platformu olarak kullanılıyor.
Yazılım firması, Mart 2020 ile Haziran 2020 arasında yayınlanan Orion güncellemesinin 2019.4 ile 2020.2.1 arasındaki sürümlerinin kötü amaçlı yazılımlardan etkilendiğini söyledi.
FireEye bu kötü amaçlı yazılımı SUNBURST olarak adlandırdı ve bugün erken saatlerde GitHub’da tespit kurallarının yanı sıra bir teknik rapor yayınladı.
Microsoft ise, kötü amaçlı yazılımı Solorigate olarak adlandırdı ve Defender antivirüsüne algılama kuralları ekledi.
Kurbanların sayısı henüz tam olarak bilinmiyor.
Pazar günü yayınlanan ilk raporların aksine söz konusu bilgisayar korsanlığı olayının sadece ABD’yi hedef almadığı düşünülüyor.
FireEye, “Saldırı dünya çapında kamu ve özel kuruluşlarını etkiledi. Kurbanlar arasında Kuzey Amerika, Avrupa, Asya ve Orta Doğu’daki hükümet, danışmanlık, teknoloji, telekom ve maden çıkarma kuruluşları yer alıyor. Diğer ülkelerde de başka kurbanlar olacağını tahmin ediyoruz,” açıklamasını yaptı.
SolarWinds, 15 Aralık Salı günü yeni bir güncelleme (2020.2.1 HF 2) yayınlamayı planladığını söyledi. Bu güncelleme ile güvenliği ihlal edilen bileşenin yerini alan ve birkaç ek güvenlik geliştirmesi sağlanması hedefleniyor.
Kaynak. zdnet.com
Bunlar da İlginizi Çekebilir
Dosya paylaşımının yeni adresi lifebox transfer
Rus Hacker’ların ABD Hazine ve Ticaret Bakanlığına Sızdığından Şüpheleniliyor