Çin merkezli ‘Spiral’ hacker grubunun SolarWind Orion’da yer alan zafiyeti kullandığı düşünülüyor. Kimlik bilgileriyle uzaktan çalışanların kılığına giren grup, bir ABD kuruluşunun ağına erişim sağladı. SolarWinds sunucusunda veri hırsızlığı araştırmaları yaptı.
ABD İç Güvenlik Bakanlığı Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), soruşturma raporunda Mart 2020’den Şubat 2021’e ağa erişim sağlandığını yazdı.
CISA raporunda saldırıyı gerçekleştiren grup ya da ülke için bir isim telaffuz etmedi. Ancak Supernova malware üzerine araştırma yapan birçok güvenlik firması, yazılımı Çinli APT grubu Spiral’le bağdaştırıyor.
Raporda, geçtiğimiz günlerde zafiyeti olduğu ortaya çıkan Pulse Secure da yer aldı. VPN için kullanılan Pulse Secure’daki zafiyetin kullanılarak ağlara erişildiği tespit edildi. Saldırganların giriş için kimlik bilgilerini nasıl ele geçirdiği ise bilinmiyor. Bilgilerle yapılan bağlantı sayesinde çalışanların kılığına girildi.
Hackerlar ağa erişim sağladıktan SolarWinds sunucusuna girdi ve bir .NET Web kabuğu kurdu. Bu kabuğu çalıştırmak için CVE-2020-10148 zafiyetinin kullanıldığı düşünülüyor. Zafiyetin kullanımından sonra SolarWinds Orion API’sinin kullandığı da tahminler arasında.
Supernova ile yapılan saldırının az sayıda kuruluşu etkilediği düşünülüyor.
Editör : SavunmaTR Haber Merkezi
