Siber güvenlik alanında hareketli bir yılın daha perdesini kapatırken, 2023 yılında meydana gelen yüksek profilli siber olaylardan bazılarını gözden geçirelim

Siber güvenlik alanında muazzam bir yıl daha geride kaldı. Tehdit aktörleri, makroekonomik ve jeopolitik belirsizliğin devam ettiği bir ortamda, kurumsal savunmaları aşmak için ellerindeki tüm araçları ve ustalıklarını kullanarak başarılı oldular. Tüketiciler içinse kişisel bilgilerinin etkilenip etkilenmediğini görmek için manşetleri endişeyle tıklayarak geçirdikleri bir yıl daha oldu.  

Verizon’un Veri İhlali Araştırmaları Raporu‘na (DBIR) göre, ihlallerin büyük çoğunluğundan (%83) dış aktörler sorumludur ve ihlallerin neredeyse tamamında (%95) finansal kazanç söz konusudur. Bu nedenle bu listede yer alan olayların çoğu fidye yazılımı veya veri hırsızlığı gaspçılarına bağlı olacaktır. Ancak durum her zaman böyle değildir. Bazen bunun nedeni insan hatası ya da içeriden kötü niyetli bir kişi olabilir. Bazen de kurbanların sayısı nispeten az olsa bile saldırıların büyük bir etkisi olur. 

Belirli bir sıralama olmaksızın, işte 2023’ün en büyük 10 saldırısını seçtik. 

1. MOVEit  

Lace Tempest (Storm0950) Clop fidye yazılımı iştirakine kadar uzanan bu saldırı, grubun Accellion FTA (2020) ve GoAnywhere MFT’ye (2023) karşı önceki kampanyalarının tüm özelliklerini taşıyordu. Yöntem basit; müşteri ortamlarına erişim sağlamak için popüler bir yazılım ürünündeki sıfır gün açığını kullanmak ve ardından fidye için mümkün olduğunca çok veri sızdırmak. Tam olarak ne kadar verinin ele geçirildiği ve kaç kurban olduğu hala belirsiz. Ancak bazı tahminler 2.600’den fazla kuruluş ve 83 milyondan fazla birey olduğunu gösteriyor. Bu kuruluşların birçoğunun başkaları için tedarikçi ya da hizmet sağlayıcı olması, bu etkiyi daha da arttırdı. 

2. Birleşik Krallık Seçim Komisyonu 

Birleşik Krallık’ın parti ve seçim finansmanından sorumlu bağımsız düzenleyici kurumu Ağustos ayında tehdit aktörlerinin, tahmini 40 milyon seçmene ait kişisel bilgileri çaldığını açıkladı. “Karmaşık” bir siber saldırının sorumlu olduğunu iddia etti ancak raporlar o zamandan beri güvenlik duruşunun zayıf olduğunu öne sürdü – kuruluş Cyber Essentials temel güvenlik denetiminde başarısız oldu. Suçlu yamalanmamış bir Microsoft Exchange sunucusu olabilir ancak komisyonun kamuoyunu bilgilendirmesinin neden 10 ay sürdüğü belirsizdir. Ayrıca tehdit aktörlerinin Ağustos 2021’den bu yana ağını araştırıyor olabileceğini iddia etti. 

3. Kuzey İrlanda Polis Teşkilatı (PSNI)  

Bu olay hem içeriden ihlal kategorisine giren hem de nispeten az sayıda mağdurun büyük bir etkiye maruz kalabileceği bir olaydır. PSNI Ağustos ayında bir çalışanının Bilgi Edinme Özgürlüğü (FOI) talebine yanıt olarak WhatDoTheyKnow web sitesine yanlışlıkla hassas kurum içi verileri gönderdiğini duyurdu. Bu bilgiler arasında gözetim ve istihbarat alanında çalışanlar da dahil olmak üzere yaklaşık 10.000 memur ve sivil personelin isimleri, rütbeleri ve departmanları yer alıyordu. Her ne kadar kaldırılmadan önce sadece iki saat süreyle erişilebilir olsa da bu süre, bilginin İrlandalı cumhuriyetçi muhalifler arasında yayılması için yeterli oldu. İki kişi terör suçlarından tutuklandıktan sonra kefaletle serbest bırakıldı.  

4. DarkBeam 

Yılın en büyük veri ihlalinde, dijital risk platformu DarkBeam’in Elasticsearch ve Kibana veri görselleştirme arayüzünü yanlış yapılandırmasının ardından 3,8 milyar kayıt açığa çıktı. Bir güvenlik araştırmacısı gizlilik hatasını fark ederek firmaya bildirmiş ve firma da sorunu hızla düzeltti. Bununla birlikte, verilerin ne kadar süredir açıkta olduğu ya da daha önce herhangi birinin kötü niyetle bu verilere erişip erişmediği belli değil. İronik bir şekilde, veri yığını hem daha önce bildirilmiş hem de bildirilmemiş veri ihlallerine ait e-postaları ve parolaları içeriyordu. Bu, sistemlerin yanlış yapılandırmaya karşı yakından ve sürekli olarak izlenmesi gerektiğinin bir başka örneğidir. 

5. Hindistan Tıbbi Araştırma Konseyi (ICMR) 

Bir başka mega ihlal, bu kez Hindistan’ın en büyüklerinden biri, Ekim ayında bir tehdit aktörünün 815 milyon sakinin kişisel bilgilerini satışa çıkarmasının ardından ortaya çıktı. Verilerin ICMR’nin COVID testi veritabanından sızdırıldığı ve isim, yaş, cinsiyet, adres, pasaport numarası ve Aadhaar (devlet kimlik numarası) içerdiği görülüyor. Bu durum, siber suçlulara bir dizi kimlik dolandırıcılığı saldırısı için ihtiyaç duydukları her şeyi verebileceğinden özellikle zarar vericidir. Aadhaar Hindistan’da dijital kimlik olarak ve fatura ödemeleri ile Müşterini Tanı kontrolleri için kullanılabiliyor. 

6. 23andMe 

Bir tehdit aktörü, ABD merkezli genetik ve araştırma şirketinden 20 milyon kadar veri çaldığını iddia etti. Görünüşe göre ilk olarak kullanıcı hesaplarına erişmek için klasik kimlik bilgisi doldurma tekniklerini kullandılar – temel olarak bu kullanıcıların 23andMe’de geri dönüştürdükleri daha önce ihlal edilmiş kimlik bilgilerini kullandılar. Sitedeki DNA Akrabaları hizmetini seçmiş olan kullanıcılar için tehdit aktörü daha sonra potansiyel akrabalardan çok daha fazla veri noktasına erişebildi ve bunları kazıyabildi. Veri dökümünde listelenen bilgiler arasında profil fotoğrafı, cinsiyet, doğum yılı, konum ve genetik soy sonuçları vardı.  

7. Hızlı Sıfırlama DDoS saldırıları 

Bir başka alışılmadık vaka da Ekim ayında açıklanan ve tehdit aktörlerinin şimdiye kadar görülen en büyük DDoS saldırılarından bazılarını başlatmasına olanak tanıyan HTTP/2 protokolündeki sıfır gün açığı ile ilgilidir. Google bu saldırıların saniyede 398 milyon istek (rps) ile zirveye ulaştığını, daha önceki en yüksek oranın ise 46 milyon rps olduğunu söyledi. İyi haber şu ki Google ve Cloudflare gibi internet devleri hatayı düzeltti. Kendi internet varlıklarını yöneten firmalara da derhal aynı şeyi yapması çağrısında bulunuldu. 

8. T-Mobile 

ABD’li telekomünikasyon şirketi son yıllarda pek çok güvenlik ihlaline maruz kaldı ancak Ocak ayında ortaya çıkardığı ihlal, bugüne kadarki en büyüklerinden biri. Bir tehdit aktörü tarafından çalınan müşteri adresleri, telefon numaraları ve doğum tarihleri ile 37 milyon müşteriyi etkiledi. Nisan ayında açıklanan ikinci bir olay sadece 800 küsur müşteriyi etkiledi ancak T-Mobile hesap PIN’leri, sosyal güvenlik numaraları, resmi kimlik bilgileri, doğum tarihleri ve firmanın müşteri hesaplarına hizmet vermek için kullandığı dahili kodlar da dahil olmak üzere çok daha fazla veri noktası içeriyordu. 

9. MGM International/Cesars 

Las Vegas’ın en büyük iki ismi, Scattered Spider iştirakı olarak bilinen aynı ALPHV/BlackCat fidye yazılımı tarafından birbirlerinden birkaç gün sonra vuruldu. MGM örneğinde, sadece LinkedIn’de araştırma yaparak ağ erişimi elde etmeyi başardılar ve ardından BT departmanını taklit ederek kimlik bilgilerini istedikleri kişiye bir vishing saldırısı düzenlediler. Ancak bu saldırı firmaya büyük bir mali zarar verdi. Slot makinelerini, restoran yönetim sistemlerini ve hatta oda anahtar kartlarını günlerce kesintiye uğratan büyük BT sistemlerini kapatmak zorunda kaldı. Firmanın tahmini maliyeti 100 milyon dolar. Cesars’a maliyeti belirsiz olmakla birlikte, firma şantajcılara 15 milyon dolar ödediğini kabul etti. 

10. Pentagon Sızıntıları

Son olay, ABD ordusu ve içerideki kötü niyetli kişilerden endişe duyan tüm büyük kuruluşlar için uyarıcı bir öyküdür. Massachusetts Hava Ulusal Muhafızları’nın istihbarat kanadının 21 yaşındaki bir üyesi olan Jack Teixeira, Discord topluluğuyla övünme hakkı kazanmak için son derece hassas askeri belgeleri sızdırdı. Bunlar daha sonra diğer platformlarda paylaşıldı ve Ukrayna’daki savaşı takip eden Ruslar tarafından yeniden yayımlandı. Bu belgeler Rusya’ya Ukrayna’daki savaşı için bir askeri istihbarat hazinesi sağladı ve Amerika’nın müttefikleriyle ilişkilerini baltaladı. İnanılmaz bir şekilde Teixeira çok gizli belgelerin çıktısını alabilmiş ve bunları fotoğraflamak ve daha sonra yüklemek üzere evine götürebilmiştir. 

Umalım ki bu hikayeler bazı faydalı dersler çıkarılmasını sağlasın. Daha güvenli bir 2024 için.