Scattered Spider Siber Suç Örgütü Üyelerinin TfL Saldırısındaki Rolü ve Hapis Cezaları

Scattered Spider üyesi iki siber suçlu, 2024 yılında TfL sistemlerine yapılan saldırı nedeniyle 5 yıl 6 ay hapis cezasına çarptırıldı. Saldırı yöntemleri ve siber güvenlik önlemleri detaylandırılıyor.

I
ITWISE
6 görüntülenme
Scattered Spider Siber Suç Örgütü Üyelerinin TfL Saldırısındaki Rolü ve Hapis Cezaları

Giriş

2024 yılında Transport for London (TfL) sistemlerine yapılan siber saldırı, İngiltere’nin altyapı güvenliğini ciddi şekilde tehdit eden bir olay olarak kayıtlara geçti. Bu saldırının arkasındaki Scattered Spider siber suç örgütü üyelerinden ikisi, İngiltere mahkemeleri tarafından 5 yıl 6 ay hapis cezasına çarptırıldı. Saldırı, sosyal mühendislik, kimlik avı ve çok faktörlü kimlik doğrulama (MFA) bypass tekniklerini içeren karmaşık bir siber saldırı zincirinden oluşuyordu. Bu makalede, saldırının teknik detayları, savunma mekanizmaları ve siber güvenlik uzmanlarının alması gereken önlemler adım adım açıklanacaktır.

Saldırının Arka Planı

Scattered Spider Örgütü ve Faaliyetleri

Scattered Spider, genellikle MFA bypass ve sosyal mühendislik teknikleriyle tanınan bir siber suç örgütüdür. Bu grup, kurumsal ağlara sızmak için çalışanları hedef alan kimlik avı saldırıları ve telefonla dolandırıcılık (vishing) yöntemlerini yaygın olarak kullanır. 2024 yılında TfL’ye yapılan saldırı, örgütün son yıllardaki en sofistike operasyonlarından biri olarak değerlendirilmektedir.

TfL Saldırısının Teknik Detayları

Saldırı, aşağıdaki aşamalardan oluşuyordu:

  1. Hedef Belirleme: Scattered Spider üyeleri, TfL’nin üçüncü taraf tedarikçilerinden birinin çalışanını hedef aldı. Bu çalışan, kurumsal ağa uzaktan erişim yetkisine sahipti.
  2. Sosyal Mühendislik: Hedef alınan çalışan, Microsoft Teams üzerinden gönderilen sahte bir mesajla kandırıldı. Mesaj, çalışanın kimlik bilgilerini girmesi için tasarlanmış sahte bir oturum açma sayfasına yönlendirdi.
  3. Kimlik Bilgilerinin Elde Edilmesi: Çalışan, kimlik bilgilerini girdiğinde, Scattered Spider üyeleri bu bilgileri ele geçirdi. Ardından, MFA bypass için SIM swap saldırısı gerçekleştirdi. SIM swap, hedef alınan kişinin telefon numarasını ele geçirerek MFA kodlarını doğrudan saldırganlara yönlendirmeyi içerir.
  4. İç Ağ Erişimi: Elde edilen kimlik bilgileri ve MFA kodlarıyla saldırganlar, TfL’nin iç ağına sızmayı başardı. Buradan, Active Directory ve Azure AD gibi sistemlere erişim sağladılar.
  5. Veri Sızdırma ve fidye talebi: Saldırganlar, TfL’nin veritabanlarından müşteri verilerini sızdırdı ve fidye talebinde bulundu. TfL, fidye ödemeyi reddederek saldırıyı kamuoyuna duyurdu.

Siber Güvenlik Uzmanları İçin Adım Adım Savunma Rehberi

1. Sosyal Mühendislik Saldırılarını Önleme

Sosyal mühendislik, siber suçluların en sık kullandığı saldırı vektörlerinden biridir. Bu saldırılara karşı korunmak için aşağıdaki adımlar izlenmelidir:

  1. Çalışan Eğitimi:
    • Tüm çalışanlara kimlik avı ve vishing saldırıları hakkında düzenli eğitimler verilmelidir. Bu eğitimlerde, sahte e-postaların ve mesajların nasıl tanınacağı öğretilmelidir.
    • Eğitimler, simülasyon saldırıları yoluyla gerçekçi senaryolarla desteklenmelidir. Örneğin, çalışanlara sahte bir kimlik avı e-postası gönderilerek yanıt verme oranları ölçülebilir.
  2. Çok Faktörlü Kimlik Doğrulama (MFA) Güçlendirme:
    • MFA, tek başına yeterli değildir. FIDO2 veya WebAuthn gibi parolasız kimlik doğrulama yöntemleri tercih edilmelidir. Bu yöntemler, SIM swap saldırılarına karşı daha dirençlidir.
    • MFA kodlarının uygulama tabanlı (Google Authenticator, Authy) veya donanım tabanlı (YubiKey) olması önerilir. SMS tabanlı MFA, SIM swap saldırılarına karşı zayıftır.

2. SIM Swap Saldırılarını Engelleme

SIM swap, saldırganların hedef alınan kişinin telefonunu ele geçirerek MFA kodlarını almasından oluşan bir saldırı türüdür. Bu saldırıya karşı korunmak için:

  1. Telekom Operatörleriyle İş Birliği:
    • Çalışanların telefon numaralarında yapılan değişiklikler, onay mekanizmaları yoluyla doğrulanmalıdır. Örneğin, telefon numarası değişimi için yüz yüze doğrulama veya video görüşmesi talep edilebilir.
    • Telekom operatörleriyle SIM swap saldırıları konusunda iş birliği yapılmalı ve şüpheli aktiviteler bildirilmelidir.
  2. Uygulama Tabanlı MFA Kullanımı:
    # Google Authenticator kurulumu (Android)
    $ sudo apt update
    $ sudo apt install google-authenticator
    $ google-authenticator
    
    # Authy kurulumu (Windows)
    # https://authy.com/download/ adresinden indirilebilir
    
    Uyarı: SMS tabanlı MFA kullanılıyorsa, mümkün olduğunca hızlı bir şekilde uygulama tabanlı MFA’ya geçiş yapılmalıdır. SMS’ler, SIM swap saldırılarına karşı savunmasızdır.

3. İç Ağ Güvenliği ve Erişim Kontrolleri

Saldırganlar, TfL’nin iç ağına sızmayı başardıktan sonra, Active Directory ve Azure AD gibi sistemlere erişim sağlamışlardır. Bu tür saldırılara karşı korunmak için:

  1. En Az Ayrıcalık İlkesi:
    • Çalışanlara, görevleri için gerekli olan minimum düzeyde erişim hakkı verilmelidir. Örneğin, bir çalışanın sadece veri tabanı sorguları yapması gerekiyorsa, yönetici hakları verilmemelidir.
    • Just-In-Time (JIT) Erişim: Yönetici hakları, sadece belirli görevler için geçici olarak verilmelidir. Bu, saldırganların kalıcı erişim elde etmesini zorlaştırır.
  2. Sıfır Güven (Zero Trust) Modeli:
    • Tüm ağ trafiği, sürekli doğrulama gerektirmelidir. Hiçbir cihaz veya kullanıcı, varsayılan olarak güvenilir kabul edilmemelidir.
    • Microsegmentation: Ağ, küçük parçalara bölünerek saldırganların hareket alanının sınırlandırılması sağlanmalıdır. Örneğin, VMware NSX veya Cisco ACI gibi araçlar kullanılabilir.
  3. Günlük Analizi ve Tespit:
    # Windows Event Log'ları incelenmesi (PowerShell)
    Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4625} | Select-Object TimeCreated, Message
    
    # Linux syslog analizleri
    $ sudo grep "failed" /var/log/auth.log
    İpucu: SIEM (Security Information and Event Management) araçları kullanılarak, anormal aktiviteler otomatik olarak tespit edilebilir. Örneğin, Splunk veya Elastic Stack gibi araçlar kullanılabilir.

4. Veri Sızdırma ve Fidye Taleplerine Karşı Önlemler

Saldırganlar, TfL’nin veritabanlarından müşteri verilerini sızdırdıktan sonra fidye talebinde bulunmuşlardır. Bu tür saldırılara karşı korunmak için:

  1. Veri Yedekleme ve Kurtarma Planları:
    • Tüm kritik veriler, 3-2-1 kuralına göre yedeklenmelidir: 3 kopya, 2 farklı ortam, 1 kopya offsite (bulut veya fiziksel olarak uzak bir konum).
    • Yedekler, havuzdan izole edilmiş bir şekilde saklanmalı ve şifrelenmiş olmalıdır.
  2. Veri Sızıntısı Tespit Sistemleri:
    • DLP (Data Loss Prevention) araçları kullanılarak, hassas verilerin kurum dışına aktarılması engellenmelidir. Örneğin, Microsoft Purview veya Symantec DLP gibi araçlar kullanılabilir.
    • Veri tabanlarına yapılan SQL enjeksiyonu saldırılarını tespit etmek için WAAP (Web Application and API Protection) çözümleri kullanılmalıdır. Örneğin, Cloudflare WAF veya Imperva gibi araçlar.
  3. Fidye Yazılımlarına Karşı Korunma:
    # Windows sistemlerinde fidye yazılım koruması (PowerShell)
    Set-MpPreference -DisableRealTimeMonitoring $false
    Set-MpPreference -ScanParameters 2
    
    # Linux sistemlerinde SELinux kullanımı
    $ sudo dnf install selinux-policy
    $ sudo setenforce 1
    
    Uyarı: Fidye ödemesi, saldırganları motive eder ve gelecekteki saldırıları teşvik eder. Fidye ödemesi yerine, saldırıyı yetkili makamlara bildirmek ve yedeklerden kurtarma işlemine odaklanmak gerekir.

Sonuç

Scattered Spider üyesi iki siber suçlunun TfL’ye yapılan saldırı nedeniyle aldıkları hapis cezası, siber suç örgütlerinin ciddiyetini ve siber güvenlik uzmanlarının karşı karşıya olduğu tehditleri bir kez daha gözler önüne serdi. Bu saldırıdan çıkarılması gereken en önemli ders, sosyal mühendislik ve MFA bypass gibi saldırı vektörlerine karşı katmanlı savunma stratejileri uygulamaktır. Siber güvenlik uzmanları, çalışan eğitimleri, güçlü kimlik doğrulama yöntemleri, iç ağ güvenliği ve veri koruma stratejileriyle bu tür saldırıları önleyebilirler.

Unutulmamalıdır ki, siber güvenlik bir sürekli iyileştirme sürecidir. Yeni saldırı teknikleri ortaya çıktıkça, savunma mekanizmaları da güncellenmelidir. Bu makalede bahsedilen adımlar, siber güvenlik stratejilerinizi güçlendirmenize yardımcı olacaktır.