SolarWinds Siber Korsanları Windows’un Bazı Kaynak Kodlarına Erişim Sağladı

Microsoft, geçtiğimiz hafta yaptığı açıklamada SolarWinds tedarik zinciri saldırısında siber korsanların az sayıda kurum içi hesaba erişim sağladığı, dolayısıyla şirket içi ağa erişim olanağı yakaladığını duyurdu. Microsoft açıklamasında, “ileri seviyeli devlet sponsorluğundaki saldırının” veri havuzlarındaki kaynak kodlarının “incelenmesine izin verdiğini, ancak kodların değiştirilmediğinin tespit edildiği” ifadeleri yer aldı.

Siber saldırıda şirket içi bazı hesaplarda sıra dışı faaliyetler tespit edildiği ve yapılan inceleme sonucunda bir hesabın birkaç veri havuzundaki kaynak kodlarını incelemek için kullanıldığı ifade edildi. Söz konusu hesabın kaynak kodlarını veya mühendislik sistemlerini değiştirmek için herhangi bir yetkiye sahip olmadığı belirtilirken, kontroller sonucu hiçbir değişiklik yapılmadığının anlaşıldığı not düşüldü. Ayrıca, müdahale edilen hesaplardaki sorunların giderildiği de belirtildi.

SolarWinds Bilişim Teknolojileri (BT) denetim ve yönetim aracı kullanılarak gerçekleştirilen sanayi casusluğu saldırılarına ilk olarak ABD merkezli siber güvenlik şirketi FireEye maruz kalmıştı. FireEye, sistemlerinin trojan özelliği eklenen SolarWinds güncellemesi ile ihlal edildiğini ve siber korsanların Red Team penetrasyon test aracını çalmaya çalıştığını belirtti.

Saldırı öncesinde Microsoft, sistemlerinde SolarWind dizinleri tespit edildiğini kabul etmiş, ancak sistemlerinin hedef alındığı veya saldırganların ürün hizmetleri veya müşteri bilgilerine erişimi olduğu iddialarını reddetmişti.

“Kaynak kodunun incelenmesi daha yüksek risklere kapı aralamıyor”

Microsoft, siber saldırının risk seviyesini gözünde çok büyütmediğine dair açıklamada bulunarak, “kaynak kodunun incelenmesi daha yüksek risklere kapı aralamıyor” ifadesini kullandı ve diğer siber saldırı girişimlerinin koruma sistemleriyle ortadan kaldırıldığını ifade etti.

Teknoloji şirketi son olarak 28 Aralık 2020’de yaptığı açıklamada siber saldırıyı, “çapraz alan adı müdahalesi” şeklinde tanımlarken, saldırganların SolarWinds Orion Platformu dizinlerine kötü amaçlı kod enjekte etmeye çalıştıkları, böylece tespit edilmeden saldırıya devam ederek hedefi bulut kaynaklarına yönlendirmeyi, bu sayede hassas bilgileri dışarı aktarmayı umdukları kaydedildi.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından verilen bilgiye göre, SolarWinds Orion yazılımı siber saldırganların güvenlik ihlali için denediği tek yöntem değil. CISA, diğer yöntemlerin kamuya henüz açıklanmadığını belirtti. CISA aynı zamanda tüm Amerikan federal ajanslarının SolarWinds Orion yazılım güncellemelerini en son sunulan 2020.2.1 HF2 versiyonuna yükseltmelerini istedi.

Açıklamada, Ulusal Güvenlik Ajansı (NSA) tarafından yazılımın incelendiği ve tanımlanmış tüm kötü amaçlı kodları geçersiz kıldığı ifade edildi.