Mount Royal Üniversitesi Veri Sızıntısı ve Dosya Sistemlerine Yönelik Saldırıların Analizi

Mount Royal Üniversitesi'nde yaşanan siber saldırıda hackerlar ağa girerek dosya depolama sistemlerinden veri çaldı ve ardından silindi. Olayın teknik detayları ve alınabilecek önlemler.

I
ITWISE
2 görüntülenme
Mount Royal Üniversitesi Veri Sızıntısı ve Dosya Sistemlerine Yönelik Saldırıların Analizi

Giriş

Mount Royal Üniversitesi (Calgary, Kanada) tarafından yapılan resmi açıklamada, kurumun ağ altyapısına gerçekleştirilen bir siber saldırının ardından, dosya depolama sistemlerinden veri hırsızlığı ve silme işlemlerinin yaşandığı doğrulandı. Saldırganlar, üniversitenin ağına yetkisiz erişim sağlayarak hassas verileri elde etmiş ve ardından sistemdeki bazı dosyaları kalıcı olarak silmişlerdir. Bu olay, yükseköğretim kurumlarının siber güvenlik tehditlerine karşı ne kadar savunmasız olduğunu bir kez daha gözler önüne sermektedir.

Saldırı Detayları ve Etkileri

Saldırı Yöntemi

Başlangıç araştırmalarına göre, saldırganlar muhtemelen fidye yazılımı (ransomware) veya veri sızdırma saldırıları için tasarlanmış bir exploit kullanmışlardır. Yaygın olarak kullanılan saldırı vektörleri şunlardır:

  • Kimlik avı e-postaları (Phishing): Üniversite personeline gönderilen sahte e-postalar aracılığıyla kullanıcı kimlik bilgileri ele geçirilmiş olabilir.
  • Açık zayıflıklar (Zero-day vulnerabilities): Ağdaki sunucularda veya uygulamalarda bulunan ve henüz yamalanmamış güvenlik açıklarından faydalanılmış olabilir.
  • Zayıf kimlik doğrulama: Çok faktörlü kimlik doğrulaması (MFA) kullanılmayan sistemlere saldırı gerçekleştirilmiş olabilir.

Etkilenen Sistemler ve Veriler

Saldırıdan etkilenen sistemler arasında aşağıdakiler yer almaktadır:

  1. Dosya depolama sistemleri: Üniversitenin merkezi dosya sunucuları ve bulut tabanlı depolama çözümleri. Bu sistemlerdeki verilerin bir kısmı saldırganlar tarafından kopyalanmış ve ardından silinmiştir.
  2. Kişisel veriler: Öğrenci, öğretim görevlisi ve personel bilgileri, akademik kayıtlar ve finansal veriler gibi hassas bilgiler risk altındadır.
  3. İç ağ altyapısı: Üniversitenin yerel ağında (LAN) bulunan diğer sistemlere de saldırının yayılmış olma ihtimali bulunmaktadır.

Saldırının Zaman Çizelgesi

Olayın gerçekleştiği tahmini zaman çizelgesi aşağıdaki gibidir:

  1. Başlangıç Noktası (Tahmini): Saldırganlar, üniversitenin ağına yetkisiz erişimi sağlamak için kimlik avı saldırısı gerçekleştirmiş olabilir.
  2. Veri Erişimi: Ağdaki zayıflıkları kullanarak dosya sunucularına erişim sağlanmış ve veriler kopyalanmıştır.
  3. Veri Silme: Saldırganlar, verilerin iz bırakmadan silindiğini garanti etmek amacıyla dosyaları kalıcı olarak silmişlerdir.
  4. Olayın Fark Edilmesi: Üniversite yetkilileri, sistemlerdeki olağandışı aktiviteleri tespit etmiş ve saldırıyı doğrulamıştır.

Alınabilecek Önlemler: Adım Adım Rehber

1. Acil Müdahale ve İzolasyon

Saldırıdan hemen sonra uygulanması gereken adımlar:

  1. Etkilenen Sistemlerin İzole Edilmesi:
    # Linux sistemlerinde ağ bağlantısını kesmek için (örneğin eth0 arayüzü)
    ifconfig eth0 down
    
    # Windows sistemlerinde ağ bağlantısını devre dışı bırakmak için
    netsh interface set interface "Ethernet" disable
    
    Uyarı: Sistemleri izole ederken, saldırganların izlerini kaybetmemek için forensik analiz yapılabilecek bir ortam oluşturulmalıdır.
  2. Güvenlik Duvarı Kuralları Güncelleme:
    # Linux (iptables) örneği: Belirli IP'leri engellemek
    sudo iptables -A INPUT -s  -j DROP
    sudo iptables -A OUTPUT -d  -j DROP
    
    # Windows (Windows Defender Firewall) örneği
    New-NetFirewallRule -DisplayName "Block Attacker IP" -Direction Inbound -RemoteAddress  -Action Block
    
  3. Kullanıcı Hesaplarının Askıya Alınması:
    # Active Directory kullanıcı hesabını devre dışı bırakmak
    Disable-ADAccount -Identity