ABD’li ağ teknolojisi devi Cisco, geçtiğimiz günlerde yaptığı açıklamayla bir çalışanı üzerinden hack olayı yaşandığını açıklamıştı.
Söz konusu olayın ardından hızlı aksiyon alan Cisco nasıl hacklendi? Nasıl aksiyon aldı?
CISCO NASIL HACKLENDİ?
Cisco, 10 Ağustos Salı günü Çinli bir fidye yazılımı çetesinin kendilerini hacklediğini ve sızdırdıkları dosyaları yayınlayacağını bildirdiği dark web gönderisinden kısa süre sonra bir çalışanı üzerinden hacklendiğini doğrulamıştı.
Yapılan açıklamada saldırının tarihi 24 Mayıs olarak bildirilirken Cisco ekibi, bir çalışanının kişisel Google hesabının ele geçirildiği, ele geçirilen Google hesabında kayıtlı olan Cisco uzantılı kurumsal ağa giriş parolası çalınarak VPN üzerinden uzaktan sisteme erişildiğini tespit ettiklerini açıklamıştı.
Ekip, ikili kimlik doğrulamayı sesli kimlik avı saldırıları ve çok faktörlü doğrulamayı (MFA) atlama tekniklerini kullanarak atlayan tehdit aktörünün kullanıcıya gelen doğrulama kodu aşamasını da bir şekilde çözdüğünü belirtmişti.
Yapılan açıklamada saldırının tarihi 24 Mayıs olarak bildirilirken Cisco ekibi, bir çalışanının kişisel Google hesabının ele geçirildiği, ele geçirilen Google hesabında kayıtlı olan Cisco uzantılı kurumsal ağa giriş parolası çalınarak VPN üzerinden uzaktan sisteme erişildiğini tespit ettiklerini açıklamıştı.
Ekip, ikili kimlik doğrulamayı sesli kimlik avı saldırıları ve çok faktörlü doğrulamayı (MFA) atlama tekniklerini kullanarak atlayan tehdit aktörünün kullanıcıya gelen doğrulama kodu aşamasını da bir şekilde çözdüğünü belirtmişti.
VOICE PHISHING NEDİR?
Sesli kimlik avı saldırıları (voice phishing), tehdit aktörlerinin çalışanların hassas bilgilerini elde etmek için telefonları üzerinden aranarak kandırmaya çalıştığı giderek yaygınlaşan bir sosyal mühendislik yöntemi olarak biliniyor.
İlk erişimi elde eden tehdit aktörü, MFA için bir dizi yeni cihaz kaydederek Cisco VPN’de başarılı bir şekilde kimlik doğrulaması yaptı. Tehdit aktörü daha sonra ayrıcalık yükseltme zafiyetlerini kullanarak yönetici ayrıcalıklarından yararlanmaya başladı.
Tehdit aktörü, arka kapı oluşturmak ve kalıcılık kazanmak için LogMeIn ve TeamViewer gibi uzaktan erişim araçları, Cobalt Strike, PowerSploit, Mimikatz ve Impacket gibi saldırgan güvenlik araçları dâhil olmak üzere çeşitli araçları kullandı.
Çok sayıda sistemde oturum açmak için güvenliği ihlal edilmiş hesabı kullanmaya başlayan tehdit aktörü daha sonra etki alanı denetleyicilerine ayrıcalıklı erişim elde etti.
Kimlik bilgileri veritabanlarına erişim elde ettikten sonra tehdit aktörü, ayrıcalıklı kimlik doğrulama ve ortam boyunca yanal hareket için makine hesaplarından yararlandı.
İlk erişimi elde eden tehdit aktörü, MFA için bir dizi yeni cihaz kaydederek Cisco VPN’de başarılı bir şekilde kimlik doğrulaması yaptı. Tehdit aktörü daha sonra ayrıcalık yükseltme zafiyetlerini kullanarak yönetici ayrıcalıklarından yararlanmaya başladı.
Tehdit aktörü, arka kapı oluşturmak ve kalıcılık kazanmak için LogMeIn ve TeamViewer gibi uzaktan erişim araçları, Cobalt Strike, PowerSploit, Mimikatz ve Impacket gibi saldırgan güvenlik araçları dâhil olmak üzere çeşitli araçları kullandı.
Çok sayıda sistemde oturum açmak için güvenliği ihlal edilmiş hesabı kullanmaya başlayan tehdit aktörü daha sonra etki alanı denetleyicilerine ayrıcalıklı erişim elde etti.
Kimlik bilgileri veritabanlarına erişim elde ettikten sonra tehdit aktörü, ayrıcalıklı kimlik doğrulama ve ortam boyunca yanal hareket için makine hesaplarından yararlandı.
CISCO HEMEN YANIT VERDİ
Olayı fark eder fark etmez şirket çapında parola sıfırlaması uygulayan Cisco, daha sonra gerek güvenlik korumaları gerekse de iki ClamAV imzası oluşturarak tehdit aktörünün ilerlemesinin yavaşlatılmasında ve kontrol altında tutulmasında etkili oldu.
Stratejik ve Uluslararası Çalışmalar Merkezi’nde başkan yardımcısı olarak görev yapan Jim Lewis, “Cisco’nun başarısının sırrı, hızlı bir şekilde olayı tespit etmek.” ifadelerini kullandı.
Legendary Entertainment’ın başkan yardımcısı Dan Meacham ise saldırı vektörünün şeffaflığı ve Calm AntiVirüs imzalarının oluşturulmasını tebrik ederken bu saldırıdan çıkarılacak birkaç dersin olduğunu söyledi. Meacham, “Kullanıcılar, Google gibi kişisel hesaplarında kişisel bilgilerini önbelleğe almamasının yanında tüm hesaplarda MFA’yı etkinleştirmeleri gerekir.” dedi.
Bununla birlikte Meacham, “Kullanıcı davranış analizlerini izlemek her zaman güvenliği ihlal edilmiş hesabın belirlenmesinde birincil öncelik taşır. Cisco’nun da bu davranışları izlediğini ve bu durumun Cisco SOC’yi uyardığını Cisco Güvenlik Olayı Müdahale Merkezi’ni harekete geçirdiğini düşünüyorum.” dedi.
Cisco’nun söz konusu olaya hızlı bir şekilde yanıt vermesi ve tehdit aktörünün daha fazla ilerleyememesinin değerini belirten ve diğer güvenlik ekiplerinin de benzer hızda yanıt vermesi için yorumda bulunan Meacham, “MFA Fatigue saldırılarını önlemek için çeşitli mekanizmalar kullanılması gerekiyor. Cihaz kaydını kısıtlamak için önlemlerin olması gerekiyor. Chrome hesaplarıyla diğer hesapların senkronize edilmemesi gerekiyor. Parola güvenliği uygulamalarının kullanılması gerekiyor.” ifadelerini kullandı.
Stratejik ve Uluslararası Çalışmalar Merkezi’nde başkan yardımcısı olarak görev yapan Jim Lewis, “Cisco’nun başarısının sırrı, hızlı bir şekilde olayı tespit etmek.” ifadelerini kullandı.
Legendary Entertainment’ın başkan yardımcısı Dan Meacham ise saldırı vektörünün şeffaflığı ve Calm AntiVirüs imzalarının oluşturulmasını tebrik ederken bu saldırıdan çıkarılacak birkaç dersin olduğunu söyledi. Meacham, “Kullanıcılar, Google gibi kişisel hesaplarında kişisel bilgilerini önbelleğe almamasının yanında tüm hesaplarda MFA’yı etkinleştirmeleri gerekir.” dedi.
Bununla birlikte Meacham, “Kullanıcı davranış analizlerini izlemek her zaman güvenliği ihlal edilmiş hesabın belirlenmesinde birincil öncelik taşır. Cisco’nun da bu davranışları izlediğini ve bu durumun Cisco SOC’yi uyardığını Cisco Güvenlik Olayı Müdahale Merkezi’ni harekete geçirdiğini düşünüyorum.” dedi.
Cisco’nun söz konusu olaya hızlı bir şekilde yanıt vermesi ve tehdit aktörünün daha fazla ilerleyememesinin değerini belirten ve diğer güvenlik ekiplerinin de benzer hızda yanıt vermesi için yorumda bulunan Meacham, “MFA Fatigue saldırılarını önlemek için çeşitli mekanizmalar kullanılması gerekiyor. Cihaz kaydını kısıtlamak için önlemlerin olması gerekiyor. Chrome hesaplarıyla diğer hesapların senkronize edilmemesi gerekiyor. Parola güvenliği uygulamalarının kullanılması gerekiyor.” ifadelerini kullandı.
.
