Siber Casuslar: Küresel Firmalara Yönelik Saldırılar

ABD yetkilileri tarafından hazırlanan iddianamede, Rus Federal Güvenlik Servislerinden iki temsilcinin (Dmitry Dokuchaev ve Igor Sushchin) ve iki siber korsanın (Alexsey Belan ve Karim Baratov), ​​Yahoo’nun kullanıcılarını iki yıldan beri nasıl hedeflediğine dair bazı ayrıntılar açıklandı. FBI bürosundaki brifinginde, yetkililer, bir Yahoo çalışanına 2014 yılının başında, “hedef-odaklı oltalama” e-postası gönderilerek saldırının başladığına yer verildi.

Dmitry Dokuchaev, Igor Sushchin, Alexsey Belan ve Karim Baratov – Yahoo’ya sızma davasında suçlanan dört kişi.

Büronun Silikon Vadisi ofisinden sorumlu FBI uzmanı Malcolm Palmore, Ars’a yaptığı bir röportajda, yarım milyar Yahoo hesabının ele geçirilmesine neden olan ilk ihlalin muhtemelen “kısmi-ayrıcalıklı” bir Yahoo çalışanının hedeflenmesi üzerine başladığını söylemiştir. Yahoo’da çalışan ve şüphe çekmeyen bir kişinin kimlik bilgilerinin sosyal mühendislik ve hedef-odaklı oltalama saldırılarıyla ele geçirilmesiyle sızmalar gerçekleşmiştir.

Hedef odaklı bu saldırılar, farklı isimsiz grupların Yahoo’nun iç ağlarına doğrudan erişime olanak sağlamıştır. İddianamedeki bilgileri göre, iç ağlara doğrudan erişim sağlayanlardan biri olan Alexsey Belan (e-ticaret sağlayıcılarının ağlarına müdahale ettiği için ABD’de zaten arananlar listesindeydi) bu sefer de Yahoo ağlarına sızma gerçekleştirmiştir. FBI’a göre Alexsey Belan, bu süreçte iki önemli şeyi keşfetmiştir:

Yahoo Kullanıcı Veritabanı (YKV) ve bir yönetim aracı olan Hesap Yönetim Aracı.

YKV’nin içeriği bireysel kullanıcı hesaplarına erişmek için gerekli olan her şeyi vermese de, Belan ve iki FSB temsilcisine belirli hesapları bulmak ve bu hesapları hedeflemek için gerekli olan bilgileri sunmuştur. Ayrıca, Hesap Yönetimi Aracı, şifre değişiklikleri de dahil olmak üzere, hedeflenen hesaplarda değişiklikler yapmak için kullanılmıştır.

Siber saldırganlar daha sonra, belirli kullanıcı hesapları için çerez oluşturan ve şifrelerini değiştirmeden hesaplara erişmelerine izin veren bir araç keşfetmiştir. Her kullanıcı için YKV kayıtları, kullanıcı hesabıyla ilişkili bir “anlık” şifre içerip, kullanıcı doğrulamasından sonra verilen çerezleri oluşturmak için kullanılmaktadır. İddianameye göre, kod şablonunu ilk önce Yahoo ağında, daha sonra kontrol ettikleri sistemlerde kullanan FSB ajanları ve Belan, sahte tanımlama bilgileri oluşturarak, bunlarla hedeflenen hesaplara erişmişlerdir.

Ayrıca, iddianameye göre Belan, Dosya Aktarım Protokolünü kullanarak 2014 Kasım ve Aralık ayları arasında YKV verilerini kendi bilgisayarına taşımıştır. Bu noktadan sonra, grup Yahoo ağına doğrudan erişmeden çerezler oluşturabilmiştir. Ancak, kullanıcılar şifrelerini değiştirdiğinde, kullanıcılarla bu ilişkili kodlar da değiştiğinden, harici olarak oluşturulan çerezler geçersiz hale gelmiştir. Geçersiz olan bu çerezler Yahoo sistemine kaydedilmiştir.

Sahte çerezlerin kullanım şekli belgelenmiştir. 2015 yılının Temmuz ayında gönderilen bir e-postada Dokuchaev, Apple bilgisayarından Firefox için gelişmiş Çerez Yöneticisi adlı bir eklenti aracının bir ekran görüntüsü göndermiş ve buna ilave olarak, bir Yahoo hesabına sahte bir tanımlama bilgisi eklemek için aracın nasıl kullanılacağıyla ilgili talimatları da eklemiştir. FBI, ihlali takip ettiğinde, FSB ajanları ile Belan’ın “6,500’den fazla Yahoo hesabına” erişmek için çerezleri kullandıklarını söylemiştir.

İddianameye göre korsanlar Yahoo’ya giriş için gerekli verileri ellerinde bulundurmaları hasebiyle, Rus gazetecileri, Rus ve ABD hükümet yetkilileri, tanınmış bir Rus siber güvenlik şirketi çalışanları, ABD, Rusya ve Sırbistan’ın çok sayıda çalışanları hesaplarına ve çeşitli internet hizmet sağlayıcılarına sızmaya çalışmışlardır. Ayrıca, iddianameye göre, bilgisayar korsanları “önde gelen bir Rus yatırım bankasının yöneticileri, bir Fransız nakliye şirketi, bazı ABD finansal hizmetler ve özel sermaye şirketleri, bir İsviçre bankası ve bir ABD havayolu şirketi çalışanlarının hesaplarına erişmeye çalışmıştır.

San Francisco’da görevli olan FBI özel temsilcisi John Bennett, bir basın toplantısı düzenleyerek büroda Kremline bağlı siber saldırı zincirinin ne kadar ilerlediğini bilmediğini söylemiştir. Bennett, açılan iddianamelere atıf olarak, uzun süren zahmetli çalışmaların neticesinde araştırmanın bu noktaya geldiğini belirterek, soruşturma sırasında Yahoo’nun yöneticileri ve personelleriyle ortak hareket ettiklerini bildirmiştir.

https://arstechnica.com/tech-policy/2017/03/fbi-hints-that-hack-of-semi-privileged-yahoo-employee-led-to-massive-breach/