Güvenlik firması Malwarebytes da SolarWinds’e saldıran hackerlardan nasibini aldı.
Güvenlik firması Malwarebytes, birçok ABD devlet kurumu ve özel şirketi hackleyen bilgisayar korsanları tarafından hacklendiğini ve bilgi gizliliğinin ihlal edildiğini duyurdu. Saldırgan grup en çok Texas merkezli SolarWinds’a düzenledikleri saldırıyla tanınmıştı. Grup, yazılım dağıtım sistemini tehlikeye atmış ve SolarWinds’ın ağ yönetim yazılımını kullanan müşterilerin ağlarına gizlice sızmıştı. Bu kez ise Malwarebytes aynı grubun saldırılarından nasibini aldı. Firma, saldırganların bu defa farklı bir vektör kullandıklarını açıkladı.
Şirket, yayınladığı bir bildiride SolarWinds’ı kullanmıyor olmalarına rağmen, diğer birçok şirketle beraber yakın zamanda aynı tehdit aktörü tarafından hedef alındığını söylüyor. Firma ayrıca, Microsoft Office 365 ve Azure ortamlarına ayrıcalıklı erişime sahip uygulamaları kötüye kullanarak çalışan başka bir saldırı vektörünün varlığını da doğrulayabileceklerini ifade ediyor. Bunun üzerine durumu tespit etmek isteyen araştırmacılar, saldırgan grubun şirket içi e-postaların sınırlı bir alt kümesine erişim sağladığını belirlediler. Ancak şimdiye kadar herhangi bir Malwarebytes üretim ortamında yetkisiz erişim veya uzlaşma olduğuna dair bir kanıt elde edilemedi.
Mimecast de saldırının kurbanı
E-posta yönetimi sağlayıcısı Mimecast de bilgisayar korsanlarının yayınladığı dijital bir sertifikayı ele geçirdiğini ve korsanların bunu şirketin bulut tabanlı hizmeti aracılığıyla gönderdikleri ve aldıkları verileri şifrelemek için kullanan belirli müşterileri hedeflemek için kullandığını belirtti. Mimecast, sertifika uzlaşmasının devam eden saldırı ile ilgili olduğunu söylemese de, diğer saldırılar ile olan benzerlik, bu iki saldırının da birbiriyle ilişkili olma olasılığını artırıyor.
Bilgisayar korsanları, şirketlerin yazılım geliştirme sistemini tehlikeye atmak için SolarWinds ağına erişimlerini kullanıyordu. Bu nedenle Malwarebytes araştırmacıları da böyle bir saldırı için kullanılıyor olma ihtimallerini soruşturmaya başladı. Şimdiye kadar böyle bir enfeksiyonun herhangi bir kanıtına ulaşılabilmiş değil. Firma ayrıca, kaynak kodu depolarını kötü amaçlı değişiklik belirtileri açısından da inceledi ancak buradan da henüz kesin bir sonuç çıkmadı. Malwarebytes, bu şüphelerle birlikte SolarWinds’a saldırı düzenleyen grubun etkilediği dördüncü şirket olma özelliğini taşıyor. Malwarebytes’tan önce Microsoft, FireEye ve CrowdStrike da aynı grubun saldırılarından etkilenmişti.
Son olarak Malwarebytes’ın, müşterilerinin verilerinin henüz tehlikede olmadığını söylediğini belirtelim. Ancak araştırmacıların incelemelerinin devam ediyor olması her an her şeyin olabileceği anlamına geliyor.
