LAPSUS$ siber suç grubuna üye hackerlar, Okta’nın bilgi sistemlerinden alındığı iddia edilen ekran görüntülerini yayınladı. İddialar doğruysa, yalnızca şirketin internet sitesine değil, aynı zamanda oldukça kritik olanlar da dahil olmak üzere bir dizi başka dahili sisteme de erişimleri erişmiş olabilirler.
LAPSUS$, şirkete ait herhangi bir veri çalmadıklarını ve hedeflerinin ağırlıklı olarak Okta’nın müşterileri olduğunu iddia ediyor. Ekran görüntülerindeki tarihlere bakılırsa, saldırganlar 2022 Ocak ayı başı gibi sistemlere erişim sağladılar.
Okta nedir ve ihlal neden bu kadar tehlikeli olabilir?
Okta, kimlik ve erişim yönetim sistemleri geliştiriyor ve sağlıyor. Özellikle, tek oturum açma (single sign-on) çözümü sunuyorlar. Çok sayıda büyük şirket Okta’nın çözümlerini kullanıyor.
Kaspersky Lab uzmanları, hacker’ın Okta sistemlerine erişiminin, LAPSUS$ hackerlarının sorumluluğunu üstlendiği, büyük şirketlere ait oldukça yüksek profilli bir dizi veri sızıntısına ışık tutabileceğine inanıyor.
Siber suçlular Okta’nın sistemlerine nasıl erişim sağladılar?
Şu anda, hackerların gerçekten sistemlere erişim sağladığına dair kesin bir kanıt bulunmuyor. Okta’nın resmi açıklamasına göre, şirket uzmanları hali hazırda bir soruşturma yürütüyor ve şirket, soruşturma tamamlanır tamamlanmaz ayrıntıları paylaşacağı sözünü veriyor. Yayınlanan ekran görüntüleri, Ocak ayında yaşanan, bilinmeyen bir aktörün üçüncü taraf bir alt yüklenici adına çalışan bir teknik destek mühendisine ait hesabın güvenliğinin ihlal edilmeye çalıştığı olayla ilgili olabilir.
Kim bu LAPSUS$ grubu ve hakkında ne biliyoruz?
LAPSUS$, 2020’de Brezilya Sağlık Bakanlığı’na ait sistemlerin güvenliğini ihlal etmesiyle adını duyurdu. Muhtemelen grup, fidye için büyük şirketlerden bilgi çalan bir Latin Amerikalı bir hacker grubu. Kurbanların fidye ödemeyi reddetmesi halinde hackerlar, çaldıkları bilgileri internette yayınlıyorlar. Diğer birçok fidye yazılımı grubunun aksine LAPSUS$, saldırdıkları kuruluşların verilerini şifrelemiyor ancak fidyenin ödenmemesi durumunda verileri sızdırmakla tehdit ediyor.
LAPSUS$’ın önemli kurbanları arasında Nvidia, Samsung ve Ubisoft yer alıyor. Buna ek olarak, yakın zamanda Microsoft’un iç projeleriyle ilgili olduğuna inanılan 37 GB kod yayınladılar.
Kendinizi korumanın yolları
Şu anda kesin olarak olayın gerçekten yaşandığını söylemek pek mümkün değil. Yalnızca ekran görüntülerinin yayınlanması oldukça garip bir hareket. Hackerlar kendi reklamlarını yapmayı, Okta’nın itibarına yönelik bir saldırı veya LAPSUS$’ın Okta’nın müşterilerinden birine erişmesini sağlayan gerçek yöntemi gizlemeyi amaçlıyor olabilir.
Bununla birlikte uzmanlarımız, tedbiri elden bırakmamaları adına, Okta müşterilerine aşağıdaki koruyucu önlemleri almalarını tavsiye ediyor:
- Ağ etkinliğinin ve bilhassa dahili sistemlerdeki kimlik doğrulamayla ilgili herhangi bir etkinliğin özellikle sıkı bir şekilde izlenmesini zorunlu hale getirilmesi,
- Çalışanlara ek siber güvenlik hijyeni eğitimi verilmesi ve herhangi bir şüpheli etkinlik hakkında uyanık olmaları ve bu tarz olayları bildirmeleri konusuna hazırlıklı olunması,
- Açıkları ve savunmasız sistemleri ortaya çıkarmak için kuruluşun BT altyapısında bir güvenlik denetimi gerçekleştirilmesi,
- Harici IP adreslerinden uzaktan yönetim araçlarına erişimin kısıtlanması,
- Uzaktan kontrol arayüzlerine yalnızca sınırlı sayıda uç noktadan erişilebildiğinden emin olunması,
- Çalışanlara sınırlı ayrıcalıklar sunma ilkesine uyulması ve yalnızca görevlerini yerine getirmek için bu ayrıcalıklara ihtiyacı olanlara yüksek ayrıcalıklı hesaplar verilmesi,
- Potansiyel olarak teknolojik süreci ve ana kurumsal varlıkları tehdit eden saldırılara karşı daha iyi koruma için ICS ağ trafiği izleme, analiz ve tespit çözümleri kullanılması.
BT altyapılarındaki şüpheli etkinlikleri izlemek için dahili kaynaklara sahip olmayan şirketler bunun yerine harici uzmanları istihdam edebilir.