Yazılım & İşletim SistemiOrta

Scattered Spider Siber Suç Grubu Üyelerinin Transport for London Saldırısına İlişkin Suç Kabulü

Scattered Spider siber suç grubunun iki üyesi, 2024 yılında Transport for London (TfL) sistemlerine yapılan saldırı nedeniyle suçlarını kabul etti. Saldırının teknik detayları ve savunma stratejileri.

B
Bleeping Computer Tutorials
4 görüntülenme
Scattered Spider Siber Suç Grubu Üyelerinin Transport for London Saldırısına İlişkin Suç Kabulü

Giriş

2024 yılında gerçekleşen ve Londra'nın toplu ulaşım sistemlerini hedef alan siber saldırı, Scattered Spider adlı siber suç grubunun iki üyesi tarafından gerçekleştirilmiştir. Bu saldırı, kurumsal sistemlerin nasıl hedef alındığını ve siber suçluların kullandığı yöntemleri ortaya koymaktadır. Saldırının ardından suçluların mahkeme tarafından suçlu bulunması, siber güvenlik alanında önemli bir vaka olarak kayıtlara geçmiştir.

Saldırının Arka Planı

Scattered Spider Grubu Hakkında

Scattered Spider, özellikle sosyal mühendislik ve kimlik avı saldırılarıyla tanınan bir siber suç grubudur. Grup, hedef sistemlere erişim sağlamak için genellikle çalışanları hedef alan sahte kimlik doğrulama sayfaları ve sahte destek aramaları kullanmaktadır. Bu yöntemler, saldırganların kurumsal ağlara sızmasını kolaylaştırmaktadır.

Hedef: Transport for London (TfL)

Transport for London (TfL), Londra'nın toplu ulaşım sistemlerini yöneten kamu kuruluşudur. TfL'nin sistemlerine yapılan saldırı, hem veri gizliliğini hem de hizmet sürekliliğini tehdit etmiştir. Saldırı sırasında, saldırganlar TfL'nin Active Directory ve e-posta sistemlerine erişim sağlamış ve bu sistemleri kötüye kullanmıştır.

Saldırının Teknik Detayları

Saldırının Başlangıcı: Kimlik Avı ve Sosyal Mühendislik

Saldırının ilk aşamasında, Scattered Spider üyeleri, TfL çalışanlarını hedef alan kimlik avı e-postaları göndermiştir. Bu e-postalar, çalışanları sahte bir portal aracılığıyla kimlik bilgilerini girmeye ikna etmeyi amaçlamıştır. E-postalarda kullanılan dil ve içerik, çalışanların dikkatini çekmeye yönelik olarak tasarlanmıştır.

İkinci Aşama: Ağ Erişimi ve Yatay Hareket

Kimlik bilgilerinin ele geçirilmesinin ardından, saldırganlar TfL'nin VPN sistemine erişim sağlamıştır. VPN'e erişim, saldırganların kurumsal ağa sızmasını ve Active Directory gibi kritik sistemlere ulaşmasını mümkün kılmıştır. Ardından, saldırganlar ağ içinde yatay hareket ederek diğer sistemlere de erişim sağlamıştır.

Üçüncü Aşama: Veri Sızdırma ve Hizmet Engelleme

Saldırganlar, TfL sistemlerinden veri sızdırmak için dosya aktarım protokolleri ve bulut depolama hizmetlerini kullanmıştır. Ayrıca, saldırganlar sistemlerdeki verileri şifreleyerek ransomware saldırısı gerçekleştirmiş ve hizmetlerin durmasına neden olmuştur. Bu aşama, saldırının hem veri gizliliğini hem de hizmet sürekliliğini nasıl tehdit ettiğini göstermektedir.

Savunma ve Tepki Stratejileri

TfL'nin Aldığı Önlemler

TfL, saldırının ardından aşağıdaki adımları uygulamıştır:

  1. Sistem İzolasyonu: Saldırganların erişimini engellemek için kritik sistemler izole edilmiştir.
  2. Kimlik Doğrulama Güçlendirme: Çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilmiştir.
  3. Güvenlik Yazılımlarının Güncellenmesi: Tüm sistemlerdeki güvenlik yazılımları ve güvenlik duvarları güncellenmiştir.
  4. Çalışan Eğitimi: Çalışanlara siber güvenlik farkındalığı eğitimleri verilmiştir.

Siber Güvenlik Uzmanlarının Önerileri

Siber güvenlik uzmanları, benzer saldırılardan korunmak için aşağıdaki adımları önermektedir:

  1. Çalışan Farkındalığı: Çalışanlara düzenli olarak kimlik avı ve sosyal mühendislik saldırıları hakkında eğitim verilmelidir.
  2. Güvenlik Politikalarının Güncellenmesi: Kurumsal güvenlik politikaları sürekli olarak güncellenmeli ve test edilmelidir.
  3. İzleme ve Tespit Sistemleri: Ağ trafiği ve sistem aktiviteleri sürekli olarak izlenmeli ve anormal aktiviteler tespit edilmelidir.
  4. Yedekleme Stratejileri: Kritik verilerin yedekleri alınmalı ve bu yedekler izole bir ortamda saklanmalıdır.

Saldırının Sonuçları ve Yasal Süreç

Suçluların Suç Kabulü

Scattered Spider grubunun iki üyesi, TfL sistemlerine yapılan saldırı nedeniyle mahkeme tarafından suçlu bulunmuştur. Suçlular, bilgisayar sistemlerine izinsiz erişim ve veri hırsızlığı gibi suçlamalarla karşı karşıya kalmıştır. Mahkeme süreci, siber suçlarla mücadelede hukuki süreçlerin önemini vurgulamaktadır.

TfL'nin Sistemlerine Etkisi

Saldırı, TfL'nin sistemlerinde geçici olarak hizmet kesintilerine neden olmuştur. Ancak, TfL'nin aldığı önlemler sayesinde sistemler kısa sürede normale dönmüştür. Bu olay, kamu kuruluşlarının siber güvenlik konusunda ne kadar dikkatli olmaları gerektiğini göstermektedir.

Siber Güvenlik Önlemleri: Adım Adım Kılavuz

Kurumsal Ağların Güçlendirilmesi

Aşağıdaki adımlar, kurumsal ağların siber saldırılara karşı korunmasına yardımcı olacaktır:

  1. Kimlik Doğrulama: 
    # Active Directory'de MFA zorunlu hale getirme
Set-MsolUser -UserPrincipalName
İlgili Makaleler