ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), son SolarWinds saldırısının arkasındaki tehdit aktörünün güçlü, karmaşık parolalar oluşturmak için parola yöneticisi kullanmayan birçok kurbanın parolalarını tahmin edebildiğini ortaya çıkardı.
CISA, sorumlu tehdit aktörünün şirketin Orion yazılımını çalıştırmayan hedefleri ihlal edebildiği vakaları da araştırdığını söyledi. Ajans tarafından yapılan yeni bir güncellemede şifre tahmin etme, şifre püskürtme ve güvenli olmayan kimlik bilgilerinin de rol oynadığı ortaya çıktı. CISA şu açıklamalarda bulundu:
“CISA sık sık APT aktörünün, tehlikeye atılmış SolarWinds Orion ürünleri aracılığıyla mağdurların kurumsal ağlarına İlk Erişim [TA0001] kazandığını gözlemlemiştir. Bununla birlikte CISA, güvenliği ihlal edilen SolarWinds Orion ürünlerini kullanmak yerine, tehdit aktörünün ilk erişime sahip olabileceği Parola Tahminleme [T1110.001], Parola Püskürtme [T1110.003] ve/veya uygun olmayan bir şekilde güvenliğe sahip yönetim veya hizmet kimlik bilgilerinden (Güvenli Olmayan Kimlik Bilgileri [T1552]) yararlanma örneklerini araştırmaktadır.”
Tehdit etkinliğini algılama
Bilgisayar korsanları dahili ağlara veya bulut altyapısına erişim kazandıktan sonra, CISA’ya göre yönetici hakları elde etmek için erişimi artırdılar. Ardından, geçerli kimlik bilgilerine ihtiyaç duymadan bir şirketin ağındaki diğer yerel veya bulutta barındırılan kaynaklara erişmelerine izin veren kimlik doğrulama token’larını (OAuth) taklit ettiler.
Microsoft’tan Aralık ayı sonunda yayınlanan bir rapora göre, bilgisayar korsanlarının ana hedefi, yazılım devinin Azure ve Microsoft 365 ortamları dahil olmak üzere bulutta barındırılan altyapıya erişim sağlamaktı. CISA, kuruluşların SolarWinds korsanlarının faaliyetlerinin izlerini bulmak için Microsoft tabanlı bulut kurulumlarını aramalarına ve sunucularını düzeltmelerine yardımcı olmak için ikinci bir tavsiye yayınladı. Ajans, kılavuzunun “ilk erişim vektöründen bağımsız” olduğunu söylüyor. Bu da truva atı haline getirilmiş Orion uygulamasını kullanan kuruluşların yanı sıra, şifre tahmininde veya püskürtme saldırılarında kimlik bilgileri elde geçirilenler için de geçerli olduğu anlamına geliyor.