Hackerlar, Trend Micro OfficeScan’deki sıfır gün açığından faydalanarak Mitsubishi Electric firmasının sunucularına kötü amaçlı dosyalar yerleştirdi.
Yakın kaynaklardan edinilen bilgilere göre, Çinli bir hacker grubu Mitsubishi Electric’e saldırabilmek için Trend Micro OfficeScan antivirüsündeki sıfır gün açığını kullandılar.
Trend Micro bu güvenlik açığını düzeltti, ancak sıfır gün açığının Mitsubishi Electric firması dışındaki başka saldırılarda kullanılıp kullanılmadığı hakkında bilgi vermedi.
MİTSUBİSHİ ELECTRİC HACKLENDİ
Mitsubishi Electric 20.01.2019 tarihinde web sitesinde yayınladığı basın açıklaması ile geçen yıl saldırıya uğradığını belirtti.
Şirket, 28 Haziran 2019’da sistemlerinde bir saldırı tespit edildiğini, bir ay süren bir araştırma sonucunda bilgisayar korsanlarının yaklaşık 200 MB’lık bir dosya çaldığını ve sistemlerine erişebildiğini keşfettiklerini, ayrıca çalınan belgelerin çalışanlar hakkında bilgiler içerdiğini söyledi.
Mitsubishi’ye göre çalınan belgeler şunları içeriyordu:
- 1987 kişi için istihdam başvurusu verileri
- Merkez ofisinden 4566 kişi tarafından doldurulan 2012 yılı çalışan anketi sonuçları
- 2007-2019 yılları arasında emekli olan 1569 Mitsubishi Electric çalışanı hakkında bilgi
- Şirkete ait gizli teknik malzemeler, satış malzemeleri ve diğer dosyaları içeren dosyalar
SIFIR GÜN
Japon medyasında yayınlanan raporlara göre, hackleme ilk olarak Çin’de Mitsubishi Electric firmasına bağlı olan bir kuruluşta meydana geldi ve daha sonra şirketin 14 departmanına yayıldı.
Saldırının, Mitsubishi Electric personelinin şirketin sunucularından birinde şüpheli bir dosya bulmasının ardından tespit edildiği iddia edildi. Ancak bunların hiçbiri Japon şirketi tarafından onaylanmadı. Mitsubishi Electric hacklenme olayı ile ilgili tek teknik detay, bilgisayar korsanlarının şirketin kullandığı antivirüs programlarından birindeki güvenlik açığından yararlandığı gerçeğiydi.
Saldırıyı bilen bir kaynağa göre, bilgisayar korsanlarının Trend Micro OfficeScan antivirüsündeki bir dizin geçişi ve isteğe bağlı dosya yükleme güvenlik açığı olan CVE-2019-18187’yi kullandığını söyledi.
Trend Micro, müşterilerini CVE-2019-18187 yamasındaki güvenlik açığının bilgisayar korsanları tarafından aktif bir şekilde kullanıldığını belirterek uyardı.
Japon medyası, saldırının Çin devlet destekli bir siber casusluk grubu olan Tick tarafından yapıldığını iddia etti. Tick grubunun, son birkaç yıl içinde tüm dünyadaki çok sayıda hedefi hackleme kampanyası yürüttüğü biliniyor. Grubun OfficeScan sıfır gün açığını diğer hedeflere karşı da kullanıp kullanmadığı belirsizliğini korurken. Trend Micro bu iddialar için yorum yapmayı reddediyor.
Kaynak