Malwarebytes, SolarWinds’ı Hackleyen Küme Tarafından Atağa Uğradı

Güvenlik firması Malwarebytes, birçok ABD devlet kurumu ve özel şirketi hackleyen bilgisayar korsanları tarafından hacklendiğini ve bilgi kapalılığının ihlal edildiğini duyurdu. Saldırgan küme en çok Texas merkezli SolarWinds’a düzenledikleri taarruzla tanınmıştı. Küme, yazılım dağıtım sistemini tehlikeye atmış ve SolarWinds’ın ağ idare yazılımını kullanan müşterilerin ağlarına gizlice sızmıştı. Bu sefer ise Malwarebytes tıpkı kümenin taarruzlarından nasibini aldı. Firma, saldırganların bu kez farklı bir vektör kullandıklarını açıkladı.

Şirket, yayınladığı bir bildiride SolarWinds’ı kullanmıyor olmalarına karşın, öteki birçok şirketle birlikte yakın vakitte birebir tehdit aktörü tarafından gaye alındığını söylüyor. Firma ayrıyeten, Microsoft Office 365 ve Azure ortamlarına ayrıcalıklı erişime sahip uygulamaları berbata kullanarak çalışan diğer bir akın vektörünün varlığını da doğrulayabileceklerini tabir ediyor. Bunun üzerine durumu tespit etmek isteyen araştırmacılar, saldırgan kümenin şirket içi e-postaların hudutlu bir alt kümesine erişim sağladığını belirlediler. Lakin şimdiye kadar rastgele bir Malwarebytes üretim ortamında yetkisiz erişim yahut uzlaşma olduğuna dair bir delil elde edilemedi.

Mimecast de atağın kurbanı

E-posta idaresi sağlayıcısı Mimecast de bilgisayar korsanlarının yayınladığı dijital bir sertifikayı ele geçirdiğini ve korsanların bunu şirketin bulut tabanlı hizmeti aracılığıyla gönderdikleri ve aldıkları bilgileri şifrelemek için kullanan muhakkak müşterileri hedeflemek için kullandığını belirtti. Mimecast, sertifika uzlaşmasının devam eden taarruz ile ilgili olduğunu söylemese de, öbür hücumlar ile olan benzerlik, bu iki hücumun da birbiriyle alakalı olma mümkünlüğünü artırıyor.

Bilgisayar korsanları, şirketlerin yazılım geliştirme sistemini tehlikeye atmak için SolarWinds ağına erişimlerini kullanıyordu. Bu nedenle Malwarebytes araştırmacıları da bu türlü bir hücum için kullanılıyor olma ihtimallerini soruşturmaya başladı. Şimdiye kadar bu türlü bir enfeksiyonun rastgele bir deliline ulaşılabilmiş değil. Firma ayrıyeten, kaynak kodu depolarını makûs maksatlı değişiklik belirtileri açısından da inceledi fakat buradan da şimdi kesin bir sonuç çıkmadı. Malwarebytes, bu kuşkularla birlikte SolarWinds’a akın düzenleyen kümenin etkilediği dördüncü şirket olma özelliğini taşıyor. Malwarebytes’tan evvel Microsoft, FireEye ve CrowdStrike da birebir kümenin hücumlarından etkilenmişti.

Son olarak Malwarebytes’ın, müşterilerinin datalarının şimdi tehlikede olmadığını söylediğini belirtelim. Fakat araştırmacıların incelemelerinin devam ediyor olması her an her şeyin olabileceği manasına geliyor.