Shadowserver Foundation ve Eye Security hangi firmaların etkilendiğini açıklamadı.
Microsoft sunucu yazılımlarını hedef alan kapsamlı bir siber casusluk operasyonu, hafta sonu yaklaşık 100 farklı kuruluşu tehlikeye attı.
Saldırıyı ortaya çıkarmaya yardımcı olan iki kuruluş, Pazartesi günü bulgularını açıkladı.
Microsoft, Cumartesi günü, kuruluşlar tarafından belgeleri paylaşmak ve başkalarıyla iş birliği yapmak için yaygın olarak kullanılan, kendi kendine barındırılan SharePoint sunucularına yönelik “aktif saldırılar” hakkında bir uyarı yayınladı. Microsoft sunucularından çalıştırılan SharePoint örnekleri etkilenmedi.
Daha önce açıklanmamış bir dijital zayıflıktan yararlandığı için “sıfır günlük” olarak adlandırılan bu saldırılar, casusların savunmasız sunuculara sızmasına ve potansiyel olarak kurban kuruluşlara sürekli erişim sağlamak için bir arka kapı bırakmasına olanak tanıyor.
Cuma günü müşterilerinden birini hedef alan saldırıyı keşfeden Hollanda merkezli siber güvenlik firması Eye Security’nin baş hacker’ı Vaisha Bernard, Shadowserver Vakfı ile birlikte yapılan internet taramasının toplamda 100’e yakın kurbanı ortaya çıkardığını ve bunun saldırının ardındaki tekniğin yaygın olarak bilinmesinden önce olduğunu söyledi.
“Kesinlikle,” dedi Bernard. “Diğer düşmanların o zamandan beri başka arka kapılar yerleştirmek için neler yaptığını kim bilebilir?”
Etkilenen kuruluşların isimlerini açıklamaktan kaçınan yetkili, konuyla ilgili ulusal makamlara bilgi verildiğini söyledi.
Shadowserver Vakfı, 100 rakamını doğruladı ve etkilenenlerin çoğunun ABD ve Almanya’da olduğunu, kurbanlar arasında hükümet kuruluşlarının da bulunduğunu söyledi.
Bir diğer araştırmacı ise şu ana kadar casusluğun tek bir hacker veya hacker grubunun işi gibi göründüğünü söyledi.
Microsoft sözcüsü, gönderdiği e-postada “güvenlik güncellemeleri sağladığını ve müşterilerini bunları yüklemeye teşvik ettiğini” söyledi.
Devam eden saldırının arkasında kimin olduğu henüz belli değil. FBI Pazar günü yaptığı açıklamada, saldırıların farkında olduğunu ve federal ve özel sektör ortaklarıyla yakın bir şekilde çalıştığını belirtti, ancak başka ayrıntı vermedi. İngiltere Ulusal Siber Güvenlik Merkezi yaptığı açıklamada, Birleşik Krallık’ta “sınırlı sayıda” hedef olduğunun farkında olduğunu belirtti. Saldırıları takip eden bir araştırmacı, saldırının başlangıçta hükümetle bağlantılı dar bir kuruluş grubunu hedef aldığı izlenimi verdiğini söyledi.
Potansiyel hedefler
Potansiyel hedef havuzu hala çok geniş. İnternete bağlı ekipmanları tespit etmeye yardımcı olan bir arama motoru olan Shodan’ın verilerine göre, çevrimiçi 8.000’den fazla sunucu teorik olarak bilgisayar korsanları tarafından ele geçirilmiş olabilir.
Bu sunucular arasında büyük sanayi şirketleri, bankalar, denetçiler, sağlık şirketleri ve çeşitli ABD eyalet düzeyindeki ve uluslararası hükümet kuruluşları yer alıyor.
İngiliz siber güvenlik danışmanlık şirketi PwnDefend’den Daniel Card, “SharePoint olayının dünya genelindeki çok sayıda sunucuda geniş çaplı bir tehlikeye yol açtığı görülüyor” dedi.
“Varsayılan bir ihlal yaklaşımı benimsemek akıllıcadır ve ayrıca sadece yamayı uygulamanın burada gereken tek şey olmadığını anlamak da önemlidir.”
Microsoft’un hisseleri Wall Street’te New York saatiyle 15:00 (GMT) itibarıyla piyasa açılışına yakın bir seviyede seyrediyor ve sadece yüzde 0,06 artış gösterdi. Son beş günlük işlemde ise yüzde 1,5’ten fazla değer kazandı.
