ABD’li yetkililer Perşembe günü yaptığı açıklamada, bir Rus fidye yazılımı grubunun bir saldırıda Enerji Bakanlığı da dahil olmak üzere federal kurumlardan gelen verilere eriştiğini ve kullanıcı verilerini çalmak ve geri satmak için dosya aktarım yazılımı kullandığını söyledi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı yöneticisi Jen Easterly, ihlali büyük ölçüde “fırsatçı” olarak nitelendirdi ve ne “belirli, değerli bilgilere” odaklandı ne de ABD hükümet kurumlarına yönelik önceki siber saldırılar kadar zarar vericiydi.
Bayan Easterly Perşembe günü gazetecilere verdiği demeçte, çok sayıda ABD gizli servisinin tehlikeye girmesine neden olan büyük ihlale atıfta bulunarak, “Bu kampanya hakkında çok endişeli olsak da, sistemik risk oluşturan SolarWinds gibi bir kampanya değil.”
Enerji Bakanlığı Perşembe günü yaptığı açıklamada, departman içindeki iki şirketin kayıtlarının ele geçirildiğini ve Kongre ve CISA’ya ihlali bildirdiğini söyledi.
Enerji Bakanlığı basın sekreter yardımcısı Chad Smith, “DOE, güvenlik açığına daha fazla maruz kalmamak için derhal harekete geçti” dedi.
Dışişleri Bakanlığı ve FBI yetkilileri, kurumlarının etkilenip etkilenmediği konusunda yorum yapmaktan kaçındı.
CISA ve FBI müfettişleri tarafından yapılan bir değerlendirmeye göre Easterly, ihlalin MOVEit yazılımındaki bir güvenlik açığından yararlanan ve çeşitli yerel yönetimleri, üniversiteleri ve işletmeleri hedef alan bir Rus fidye yazılımı çetesi olan Clop tarafından yürütülen daha büyük bir fidye yazılımı operasyonunun parçası olduğunu söyledi.
Bu ayın başlarında, Illinois, Nova Scotia ve Londra’daki yetkililer, saldırıdan etkilenen yazılım kullanıcıları arasında yer aldıklarını açıkladılar. British Airways ve BBC, ihlalden kendilerinin de etkilendiğini söyledi. Johns Hopkins Üniversitesi, University System of Georgia ve Avrupalı petrol ve gaz devi Shell de saldırıyla ilgili benzer açıklamalar yaptılar.
Üst düzey bir CISA yetkilisi, yalnızca az sayıda federal kurumun etkilendiğini söyledi, ancak hangisinin olduğunu söylemedi. Ancak yetkili, özel sektörden gelen ilk raporların en az birkaç yüz şirket ve kuruluşun etkilendiğini gösterdiğini de sözlerine ekledi. Memur, saldırıyı tartışmak için kimliğinin açıklanmaması koşuluyla konuştu.
GovSpend şirketi tarafından toplanan verilere göre, NASA, Hazine Bakanlığı, Sağlık ve İnsani Hizmetler Bakanlığı ve Savunma Bakanlığı’nın silahlı kuvvetleri dahil olmak üzere bir dizi devlet kurumu MOVEit yazılımını satın aldı. Ancak kaç ajansın aktif olarak kullandığı açıklanmadı.
Clop daha önce web sitesindeki önceki ihlallerin sorumluluğunu üstlenmişti.
Grup, hükümet veya kolluk kuvvetleri tarafından çalınan verileri kullanmakla “ilgilenmediğini”, bunları sildiğini ve yalnızca çalınan iş bilgilerine odaklandığını söyledi.
Siber güvenlik şirketi Cloudera Government Solutions’ın başkanı Robert J. Carey, fidye yazılımı saldırılarında çalınan verilerin diğer yasa dışı aktörlere kolayca satılabileceğini belirtti.
MOVEit yazılımına atıfta bulunarak, “Bunu kullanan herkes büyük olasılıkla risk altındadır” dedi.
Federal kurumların da etkilenenler arasında yer aldığının açığa çıkması daha önce CNN tarafından bildirilmişti.
Progress Software’in bir parçası olan MOVEit’ten bir temsilci, şirketin “federal ve diğer kolluk kuvvetleriyle çalıştığını” ve “yaygın olarak kullanılan yazılım ürünlerindeki güvenlik açıklarından kötü niyetli olarak yararlanmak isteyen, giderek daha karmaşık ve ısrarcı siber suçlularla savaşacağını” söyledi. Şirket, yazılımındaki güvenlik açığını ilk olarak Mayıs ayında tespit etmiş ve bir yama yayınlamıştı. 2 Haziran’da CISA, güvenlik açığını bilinen güvenlik açıklarının çevrimiçi kataloğuna ekledi.
CISA yetkilisi, Clop’un Rus hükümetiyle koordinasyon içinde hareket etme olasılığı sorulduğunda, teşkilatın böyle bir koordinasyonu önerecek hiçbir kanıtı olmadığını söyledi.
MOVEit ihlali, büyük ölçüde Batılı hedefleri hedefleyen fidye yazılımı kampanyaları hastaneler, güç sistemleri ve şehir hizmetleri gibi kritik sivil altyapıyı defalarca sakatladığından, devlet kurumlarının Rus gruplar tarafından organize siber suça kurban gitmesinin bir başka örneğidir.
Geçmişte, örneğin 2021’de dünya çapında 1.500’e kadar şirket bir Rus fidye yazılımı saldırısına uğradığında, bazı saldırıların birincil olarak finansal amaçlı olduğu görülüyordu.
Ancak son aylarda, Rus fidye yazılımı grupları, Rus hükümetinin zımni onayıyla, geçen yılki Rus işgalinden bu yana Ukrayna’yı destekleyen ülkeleri hedef alan, görünüşte siyasi saldırılar da yürütüyor.
İşgalden kısa bir süre sonra Kosta Rika’daki 27 devlet kurumu, başka bir Rus grup olan Conti tarafından fidye yazılımı saldırılarına maruz kaldı ve ülke başkanını ulusal olağanüstü hal ilan etmeye zorladı.
Rusya tarafından başlatılan siber saldırılar, Ukrayna’daki savaştan önce bile ABD-Rusya ilişkilerinde bir tartışma konusuydu. Başkan Biden, 2021’de Rusya Devlet Başkanı Vladimir V. Putin ile görüştüğünde konu Beyaz Saray’ın gündeminde üst sıralarda yer almıştı.
Rusya merkezli olduğu iddia edilen bir grup tarafından ABD’nin en büyük benzin boru hatlarından birine düzenlenen fidye yazılımı saldırısı, boru hattı operatörünü, Bay Biden ve Bay Putin’in görüşmesinden sadece bir ay önce çalınan verileri kurtarmak için 5 milyon dolar ödemeye zorladı. Federal müfettişler daha sonra fidye parasının çoğunu bir siber operasyondan geri aldıklarını söylediler.
Yine Perşembe günü, siber güvenlik şirketi Mandiant’taki analistler, bir e-posta güvenlik sağlayıcısı olan Barracuda Networks’e yönelik bir saldırı tespit ettiler ve bunun bir Çin casusluk operasyonunun parçası gibi göründüğünü söylediler. Mandiant raporunda, ASEAN dışişleri bakanlığı ve Hong Kong ve Tayvan’daki dış ticaret ofisleri de dahil olmak üzere bir dizi hükümet ve özel kuruluşun da bu ihlalden etkilendiğini yazdı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı yöneticisi Jen Easterly, ihlali büyük ölçüde “fırsatçı” olarak nitelendirdi ve ne “belirli, değerli bilgilere” odaklandı ne de ABD hükümet kurumlarına yönelik önceki siber saldırılar kadar zarar vericiydi.
Bayan Easterly Perşembe günü gazetecilere verdiği demeçte, çok sayıda ABD gizli servisinin tehlikeye girmesine neden olan büyük ihlale atıfta bulunarak, “Bu kampanya hakkında çok endişeli olsak da, sistemik risk oluşturan SolarWinds gibi bir kampanya değil.”
Enerji Bakanlığı Perşembe günü yaptığı açıklamada, departman içindeki iki şirketin kayıtlarının ele geçirildiğini ve Kongre ve CISA’ya ihlali bildirdiğini söyledi.
Enerji Bakanlığı basın sekreter yardımcısı Chad Smith, “DOE, güvenlik açığına daha fazla maruz kalmamak için derhal harekete geçti” dedi.
Dışişleri Bakanlığı ve FBI yetkilileri, kurumlarının etkilenip etkilenmediği konusunda yorum yapmaktan kaçındı.
CISA ve FBI müfettişleri tarafından yapılan bir değerlendirmeye göre Easterly, ihlalin MOVEit yazılımındaki bir güvenlik açığından yararlanan ve çeşitli yerel yönetimleri, üniversiteleri ve işletmeleri hedef alan bir Rus fidye yazılımı çetesi olan Clop tarafından yürütülen daha büyük bir fidye yazılımı operasyonunun parçası olduğunu söyledi.
Bu ayın başlarında, Illinois, Nova Scotia ve Londra’daki yetkililer, saldırıdan etkilenen yazılım kullanıcıları arasında yer aldıklarını açıkladılar. British Airways ve BBC, ihlalden kendilerinin de etkilendiğini söyledi. Johns Hopkins Üniversitesi, University System of Georgia ve Avrupalı petrol ve gaz devi Shell de saldırıyla ilgili benzer açıklamalar yaptılar.
Üst düzey bir CISA yetkilisi, yalnızca az sayıda federal kurumun etkilendiğini söyledi, ancak hangisinin olduğunu söylemedi. Ancak yetkili, özel sektörden gelen ilk raporların en az birkaç yüz şirket ve kuruluşun etkilendiğini gösterdiğini de sözlerine ekledi. Memur, saldırıyı tartışmak için kimliğinin açıklanmaması koşuluyla konuştu.
GovSpend şirketi tarafından toplanan verilere göre, NASA, Hazine Bakanlığı, Sağlık ve İnsani Hizmetler Bakanlığı ve Savunma Bakanlığı’nın silahlı kuvvetleri dahil olmak üzere bir dizi devlet kurumu MOVEit yazılımını satın aldı. Ancak kaç ajansın aktif olarak kullandığı açıklanmadı.
Clop daha önce web sitesindeki önceki ihlallerin sorumluluğunu üstlenmişti.
Grup, hükümet veya kolluk kuvvetleri tarafından çalınan verileri kullanmakla “ilgilenmediğini”, bunları sildiğini ve yalnızca çalınan iş bilgilerine odaklandığını söyledi.
Siber güvenlik şirketi Cloudera Government Solutions’ın başkanı Robert J. Carey, fidye yazılımı saldırılarında çalınan verilerin diğer yasa dışı aktörlere kolayca satılabileceğini belirtti.
MOVEit yazılımına atıfta bulunarak, “Bunu kullanan herkes büyük olasılıkla risk altındadır” dedi.
Federal kurumların da etkilenenler arasında yer aldığının açığa çıkması daha önce CNN tarafından bildirilmişti.
Progress Software’in bir parçası olan MOVEit’ten bir temsilci, şirketin “federal ve diğer kolluk kuvvetleriyle çalıştığını” ve “yaygın olarak kullanılan yazılım ürünlerindeki güvenlik açıklarından kötü niyetli olarak yararlanmak isteyen, giderek daha karmaşık ve ısrarcı siber suçlularla savaşacağını” söyledi. Şirket, yazılımındaki güvenlik açığını ilk olarak Mayıs ayında tespit etmiş ve bir yama yayınlamıştı. 2 Haziran’da CISA, güvenlik açığını bilinen güvenlik açıklarının çevrimiçi kataloğuna ekledi.
CISA yetkilisi, Clop’un Rus hükümetiyle koordinasyon içinde hareket etme olasılığı sorulduğunda, teşkilatın böyle bir koordinasyonu önerecek hiçbir kanıtı olmadığını söyledi.
MOVEit ihlali, büyük ölçüde Batılı hedefleri hedefleyen fidye yazılımı kampanyaları hastaneler, güç sistemleri ve şehir hizmetleri gibi kritik sivil altyapıyı defalarca sakatladığından, devlet kurumlarının Rus gruplar tarafından organize siber suça kurban gitmesinin bir başka örneğidir.
Geçmişte, örneğin 2021’de dünya çapında 1.500’e kadar şirket bir Rus fidye yazılımı saldırısına uğradığında, bazı saldırıların birincil olarak finansal amaçlı olduğu görülüyordu.
Ancak son aylarda, Rus fidye yazılımı grupları, Rus hükümetinin zımni onayıyla, geçen yılki Rus işgalinden bu yana Ukrayna’yı destekleyen ülkeleri hedef alan, görünüşte siyasi saldırılar da yürütüyor.
İşgalden kısa bir süre sonra Kosta Rika’daki 27 devlet kurumu, başka bir Rus grup olan Conti tarafından fidye yazılımı saldırılarına maruz kaldı ve ülke başkanını ulusal olağanüstü hal ilan etmeye zorladı.
Rusya tarafından başlatılan siber saldırılar, Ukrayna’daki savaştan önce bile ABD-Rusya ilişkilerinde bir tartışma konusuydu. Başkan Biden, 2021’de Rusya Devlet Başkanı Vladimir V. Putin ile görüştüğünde konu Beyaz Saray’ın gündeminde üst sıralarda yer almıştı.
Rusya merkezli olduğu iddia edilen bir grup tarafından ABD’nin en büyük benzin boru hatlarından birine düzenlenen fidye yazılımı saldırısı, boru hattı operatörünü, Bay Biden ve Bay Putin’in görüşmesinden sadece bir ay önce çalınan verileri kurtarmak için 5 milyon dolar ödemeye zorladı. Federal müfettişler daha sonra fidye parasının çoğunu bir siber operasyondan geri aldıklarını söylediler.
Yine Perşembe günü, siber güvenlik şirketi Mandiant’taki analistler, bir e-posta güvenlik sağlayıcısı olan Barracuda Networks’e yönelik bir saldırı tespit ettiler ve bunun bir Çin casusluk operasyonunun parçası gibi göründüğünü söylediler. Mandiant raporunda, ASEAN dışişleri bakanlığı ve Hong Kong ve Tayvan’daki dış ticaret ofisleri de dahil olmak üzere bir dizi hükümet ve özel kuruluşun da bu ihlalden etkilendiğini yazdı.