Dağınık Örümcek, Clorox'u İhlal Etmek İçin Sahte Çağrıları Nasıl Kullandı?

Temizlik ürünleri devi Clorox, Ağustos 2023'te gerçekleşen ve üretimi sekteye uğratan, şirketin 380 milyon dolar gelir kaybına uğramasına neden olan yıkıcı fidye yazılımı saldırısının şirketin ihmalinden kaynaklandığını iddia ederek BT hizmetleri ortağı Cognizant'a dava açtı .

Clorox, Kaliforniya Yüksek Mahkemesi'nde açtığı davada, Scattered Spider grubuyla bağlantılı bilgisayar korsanlarının, şifre sıfırlama için Cognizant'ın hizmet masasını arayarak kimlik bilgilerini ele geçirdiğini iddia ediyor. Clorox ayrıca, Cognizant'ın yanıtını yanlış verdiğini ve bu nedenle kurtarma süresinin uzadığını iddia ediyor.

Şimdi, bir güvenlik analiz şirketi olan Specops Software, bu olayın ayrıntılı bir analizini yayınlayarak, bu basit hizmet masası saldırısının tam olarak nasıl gerçekleştiğini ortaya koydu ve kuruluşlar için kritik dersler sundu.

Hackread.com ile paylaşılan araştırmaya göre, olay 11 Ağustos 2023'te başladı. Gerçek çalışanları taklit eden saldırganlar, Cognizant'ın hizmet masasına birden fazla çağrı yaptı. Amaçları, kilitlenen çalışanların parolalarını ve Çok Faktörlü Kimlik Doğrulama ( MFA ) sıfırlamalarını ele geçirmekti.

Clorox'un açık prosedürlerine rağmen, hizmet masası görevlisinin bu protokolleri atlattığı, arayanın kimliğini doğrulamadığı ve yeni kimlik bilgileri sağladığı bildirildi. Gözetimi daha da kötüleştiren bir diğer husus ise, kimliği değiştirilen çalışana veya yöneticisine herhangi bir uyarı e-postası gönderilmemiş olmasıydı; bu, Clorox'un güvenlik ekibini uyarabilecek basit bir bildirimdi.

Bilgisayar korsanları daha sonra bu taktiği tekrarlayarak bir BT güvenlik çalışanına ait ikinci bir hesaba erişim sağladılar. Bu sayede, etki alanı yöneticisi ayrıcalıklarına erişimleri anında yükseldi ve ağ genelinde kullanıcı erişimini kontrol eden Clorox'un temel Active Directory ortamına sınırsız erişim sağladılar.

Saldırganlar, üst düzey kimlik bilgilerine sahip olarak güvenlik kontrollerini hızla devre dışı bıraktı, yetkilerini daha da artırdı ve kilit sunuculara fidye yazılımı yerleştirdi. Bu yazılımlar, verileri sessizce şifreleyerek üretim, dağıtım ve BT sistemleri arasındaki hayati bağlantıları kopardı. Üretim hatları durdu ve sipariş karşılama işlemleri durduruldu. Clorox, 49 milyon dolarlık doğrudan iyileştirme gideri ve 380 milyon dolarlık şaşırtıcı bir gelir kaybı bildirdi.

Kritik BT destek işlevlerinin dış kaynak kullanımıyla sağlanması, maliyet tasarrufu sağlamasına rağmen, güvenlik açıklarına yol açabilir. Örneğin, İngiliz perakendeci Marks and Spencer, Scattered Spider'ın BT yardım masası yüklenicisi Tata Consultancy Services'daki (TCS) çalışanları ayrıcalıklı kimlik bilgilerini sıfırlamaları için kandırdığı ve Active Directory erişimi elde ettiği benzer bir olayla karşı karşıya kalmıştı.

Bu olay, Scattered Spider'ın (diğer adıyla Oktapus, UNC3944) oluşturduğu devam eden tehdidi gözler önüne seriyor. Hackread.com'un bildirdiğine göre, bu grup, MGM Resorts ve diğer büyük perakendeciler de dahil olmak üzere çok sayıda önemli ihlale karışmıştır.

VMware vSphere ortamlarını hipervizörden Clorox olayına fidye yazılımı dağıtımı için hedef almak amacıyla yardım masalarını sürekli olarak istismar etmeleri, basit insan güvenlik açıklarının, eğer ele alınmazsa, devasa mali ve operasyonel yıkıma yol açabileceğini gösteriyor.

Bu riskleri azaltmak için kuruluşların, yüklenicilerle sıkı Hizmet Seviyesi Anlaşmaları (SLA'lar) uygulaması, dış kaynaklı süreçlerde düzenli kırmızı takım tatbikatları ( simüle edilmiş saldırılar ) gerçekleştirmesi ve yüksek riskli faaliyetlerin şeffaf ve gerçek zamanlı olarak raporlanmasını talep etmesi gerekir. En önemlisi, temsilcilerin ikincil onay iş akışları olmadan yönetici veya BT ayrıcalıklı hesapları sıfırlamasını önlemek için hizmet masası izinleri kilitlenmelidir.