Geçtiğimiz hafta meydana gelen Fireeye saldırısının analiz raporu Fireeye tarafından yayınlandı.
UNC2452 adı verilen kampanyada tüm dünyada etkili olan bir açıklığı kullanıldığı tespit edilmiştir. SolarWinds Orion business software güncellemelerinin Sunburst adı verilen bir arka kapıya neden olduğu ve bu sayede trojan yerleştirildiği Fireeye tarafından ifade edilmiştir. Atak teknikleri içinde yakalanmayı ve tespiti zorlaştırmak için birçok metot olduğu belirtilmiştir. Açıklık sebebiyle dünya çapında birçok kurumun benzer saldırılara karşı zaafiyetli olduğu bilgisi ve saldırının akabinde sızdırılan redteam araçları için bilgiler Fireeye tarafından paylaşılmıştır.
Aşağıdaki linkte zaafiyete neden olan yama linki paylaşılmıştır:
“hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp”
Saldırıda, Teardrop ve Beacon zararlı yazılımlarının kullanıldığı bilinmektedir. Kullanılan teknikler arasında Domain Generation Algorithm(DGA) gibi ilginç yöntemler bulunmaktadır. Rapor incelemesinde gerçekleştirilen siber saldırının son derece dikkatli ve özenli yapıldığı göze çarpmaktadır. Fireeye tarafından yayınlanan raporun tamamını kaynaklar başlığı altında bulabilirsiniz.
Solarwinds tarafından “Orion Platform version 2020.2.1 HF 1” güncellemesinin yapılmasının gerektiği bilgisi paylaşılmıştır. “Orion Platform version 2020.2.1 HF 2” güncellemesi 15 Aralık 2020 tarihinde kurum tarafından yayınlanacaktır.
Kaynaklar
https://www.solarwinds.com/securityadvisory
https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/