Airbus, bir bilgisayar korsanının Fransız havacılık devinin sistemlerinden çalındığı iddia edilen bilgileri sızdırmasının ardından soruşturma başlattı.
Siber suç istihbarat firması Hudson Rock Salı günü, çevrimiçi takma ad ‘USDoD’yi kullanan bir bilgisayar korsanının bu ayın başlarında bir siber suç forumunda Airbus’u hacklediğini iddia ettiğini bildirdi .
Aynı bilgisayar korsanı daha önce de FBI’ın, aralarında iş dünyası liderleri, BT uzmanları, ordu, kolluk kuvvetleri ve hükümet yetkililerinin de bulunduğu 80.000 kişi hakkında bilgi depolayan InfraGard veritabanını ihlal ettiğini iddia etmişti.
Yakın zamanda ortaya çıkan bir fidye yazılımı grubuna katıldığını duyuran bilgisayar korsanı, görünüşe göre Rockwell Collins ve Thales de dahil olmak üzere Airbus satıcılarıyla bağlantılı 3.200 kişinin kişisel bilgilerini ele geçirdi. Ele geçirilen veriler arasında isimler, iş unvanları, adresler, e-posta adresleri ve telefon numaraları yer alıyor.
Saldırgan, bir Türk havayolu şirketindeki bir çalışanın ele geçirilmiş hesabını kullanarak Airbus sistemlerine erişim elde ettiğini söyledi. Airbus, Hudson Rock’a bunun gerçekten de saldırı vektörü olduğunu doğruladı.
Siber güvenlik firmasının araştırması, hacker’ın hedef havayolu çalışanının Airbus sistemlerine ilişkin kimlik bilgilerini kötü amaçlı yazılım yardımıyla elde ettiğini gösterdi.
Bilgi çalan kötü amaçlı yazılımlar, virüs bulaştığı bilgisayarlardan büyük miktarda kimlik bilgisi toplar ve kötü amaçlı yazılım operatörleri daha sonra bu kimlik bilgilerini başkalarına satar. Bu durumda Hudson Rock, çalışanın muhtemelen .NET’in korsan sürümünü indirdikten sonra cihazına RedLine kötü amaçlı yazılım bulaştırdığını belirledi.
Hudson Rock, “Son yıllarda birincil saldırı vektörü haline gelen bilgi hırsızlığı enfeksiyonlarından elde edilen kimlik bilgileri, tehdit aktörlerine şirketlere kolay giriş noktaları sağlayarak veri ihlallerini ve fidye yazılımı saldırılarını kolaylaştırıyor” dedi.
Güvenlik firması, hacker forumu kimlik bilgilerini çaldığı da gözlemlenen bu tür bilgi hırsızları tarafından elde edilen verileri düzenli olarak analiz ediyor .
Airbus sözcüsü SecurityWeek’e yaptığı açıklamada şunları söyledi:
“Airbus, bir Airbus müşterisine ait BT hesabının saldırıya uğradığı bir siber olayla ilgili soruşturma başlattı. Bu hesap, bu müşteriye özel iş belgelerini Airbus web portalından indirmek için kullanıldı. Sistemlerimizin ele geçirilmesini önlemek için güvenlik ekiplerimiz tarafından derhal iyileştirici ve takip tedbirleri alındı”
Airbus Siber Saldırısı Hakkında Detaylar
Cybercrime firması Hudson Rock’un Baş Teknoloji Sorumlusu Alon Gal, Airbus veri sızıntısı hakkında ilk olarak bilgi paylaştı. Hacker iddia edilen olarak 3,200 Airbus tedarikçi verisine erişimi olduğunu belirtti.
Hacker, siber saldırıya yol açan bir çalışanın erişim kimlik bilgilerini kötüye kullanarak Airbus web sitesine erişim elde ettiğini iddia ediyor.
Bu çalışanın bir Türk havayolu şirketinden olduğunu ve hesabının daha sonra Airbus müşteri hesaplarını hacklemek için USDoD tarafından kötüye kullanıldığını belirtti. USDoD, Türk Hava Yolları çalışanı hesabını kullanarak başlayan hesap hacklemeleri serisi ile aşağıdaki verilere erişmeyi başardı:
- Kapsama alanı
- Departman
- Ad ve soyad
- İş unvanı
- Adres
- Telefon
- Faks
- E-posta
Hacker, Airbus siber saldırısından çalınan örnek verilerin altında profil bağlantısını paylaştı. Ardından bir sonraki hedeflerinin “Lockheed Martin, Raytheon ve tüm savunma yüklenicileri” olduğuna dair bir açıklama yaptı.
Airbus Veri Sızıntısı: Bir Çalışan Hesabı Aracılığıyla Erişim
Alon, Airbus siber saldırısıyla ilgili olarak, “USDoD, verilere bir Türk Hava Yolları çalışanının Airbus kimlik bilgilerine erişerek erişim elde ettiklerini açıkladı.” dedi.
“Tehdit aktörlerinin tipik olarak sızma tekniklerini açıklamaktan kaçındıklarını belirtmek önemlidir, bu nedenle bu açıklama son derece nadirdir”
Alon, iddiaları detaylı bir şekilde inceledi ve çığır açan sonuçlara ulaştı. Araştırması bir parçası olarak Hudson Rock Bilgisayar ve Ağ Güvenliği platformunda sunulan hizmetler aracılığıyla bulunan verileri inceledi.
Alon, Türk Hava Yolları çalışanı hesabının üçüncü taraf erişimini Airbus sistemlerine verdiğini buldu. Çalışan thy.com alanını kullanıyordu. Bu erişim, Airbus siber saldırısının neredeyse aynı zaman diliminde meydana geldiğini gösteriyor ve bu, Airbus tedarikçilerini hacklemek için kullanılan hesap olduğuna inanılmasına neden oldu. Alon ayrıca çalışan hesabının bir info-stealer tarafından saldırıya uğradığını buldu.
