Giriş
Son dönemde, SharePoint ortamlarına yönelik veri hırsızlığı saldırılarında yeni bir tehdit grubu olan Helix ortaya çıkmıştır. Bu grup, kimlik odaklı saldırı tekniklerini kullanarak kurumsal verileri ele geçirmeyi hedeflemektedir. Helix grubunun tercih ettiği yöntemler arasında sesli phishing (vishing), cihaz kodu phishing ve çok faktörlü kimlik doğrulama (MFA) kötüye kullanımı bulunmaktadır. Bu saldırılar, özellikle SharePoint gibi bulut tabanlı işbirliği platformlarını hedef almakta ve ciddi veri kayıplarına yol açabilmektedir.
Saldırı Yöntemleri ve Teknik Detaylar
1. Sesli Phishing (Vishing) Saldırıları
Vishing, saldırganların telefon görüşmeleri aracılığıyla hedef kullanıcıları manipüle ederek kimlik bilgilerini veya erişim kodlarını elde etmeye çalıştıkları bir sosyal mühendislik saldırısıdır. Helix grubu, SharePoint ortamlarına erişim sağlamak için bu yöntemi kullanmaktadır. Saldırganlar, genellikle IT destek ekibi gibi davranarak kullanıcıları arayıp acil bir durum olduğunu iddia edebilir ve onların kimlik doğrulama bilgilerini paylaşmalarını isteyebilir.
2. Cihaz Kodu Phishing
Cihaz kodu phishing, kullanıcıların cihazlarına gönderilen kimlik doğrulama kodlarını çalmayı hedefleyen bir saldırı türüdür. Helix grubu, SharePoint'e erişim sağlamak için bu kodları kullanmaktadır. Saldırganlar, kullanıcıların e-posta veya mesaj yoluyla gönderilen kodları paylaşmalarını sağlayarak hesaplarını ele geçirebilirler. Bu saldırı, özellikle MFA (Çok Faktörlü Kimlik Doğrulama) kullanılan ortamlarda etkili olmaktadır.
3. MFA Kötüye Kullanımı
Helix grubu, MFA sistemlerini de kötüye kullanmaktadır. Saldırganlar, kullanıcıların cihazlarına gönderilen onay kodlarını çalmak için sosyal mühendislik tekniklerini kullanabilirler. Örneğin, kullanıcıları arayarak acil bir durum olduğunu iddia edip, onlardan MFA kodlarını paylaşmalarını isteyebilirler. Bu kodlar kullanılarak SharePoint ortamlarına erişim sağlanabilir.
Saldırı Süreci ve Hedefler
Saldırı Adımları
- Hedef Belirleme: Saldırganlar, SharePoint ortamlarında hassas veriler bulunduran hedefleri belirler. Bu hedefler genellikle kurumsal verilerin saklandığı departmanlar veya projeler olabilir.
- Kimlik Bilgilerinin Elde Edilmesi: Helix grubu, vishing veya cihaz kodu phishing yöntemlerini kullanarak kullanıcıların kimlik bilgilerini veya MFA kodlarını elde eder.
- SharePoint'e Erişim: Elde edilen kimlik bilgileri veya MFA kodları kullanılarak SharePoint ortamlarına erişim sağlanır.
- Veri Çalma: Saldırganlar, SharePoint ortamlarında bulunan hassas verileri çalmak için yetkilerini kullanır. Bu veriler daha sonra fidye talebi veya veri satışı için kullanılabilir.
Hedeflenen Veriler
Helix grubunun hedefinde genellikle aşağıdaki veriler bulunmaktadır:
- Müşteri verileri ve kişisel bilgiler
- Finansal belgeler ve raporlar
- Proje planları ve stratejik dokümanlar
- Firma içi iletişim kayıtları
Korunma Yöntemleri ve En İyi Uygulamalar
1. Kullanıcı Farkındalığı ve Eğitimi
Kullanıcıların sosyal mühendislik saldırılarına karşı farkındalığını artırmak, Helix grubunun saldırılarını engellemenin en etkili yollarından biridir. Kurumlar, çalışanlarına aşağıdaki konularda eğitim vermelidir:
- Vishing ve phishing saldırılarının tanınması
- Kimlik bilgilerinin paylaşılmaması gereken durumlar
- Aciliyet ve tehdit algısının saldırganlar tarafından nasıl manipüle edildiği
2. Çok Faktörlü Kimlik Doğrulama (MFA) Güçlendirme
MFA, SharePoint ortamlarına erişimi korumak için kritik bir öneme sahiptir. Ancak, Helix grubu MFA sistemlerini de hedef almaktadır. Bu nedenle, MFA'nın güçlendirilmesi gerekmektedir:
- Fiziksel Anahtarlar Kullanımı: MFA için fiziksel anahtarlar (örneğin, YubiKey) kullanmak, saldırganların kodları çalmasını zorlaştırır.
- Uygulama Bazlı Doğrulama: MFA doğrulamasının uygulama tabanlı olması (örneğin, Microsoft Authenticator), saldırganların kodları çalmasını engelleyebilir.
- SMS Doğrulamasından Kaçınma: SMS tabanlı MFA, saldırganlar tarafından kolayca ele geçirilebilir. Bunun yerine, uygulama tabanlı doğrulama tercih edilmelidir.
3. SharePoint Güvenlik Ayarlarının İyileştirilmesi
SharePoint ortamlarının güvenliğini artırmak için aşağıdaki adımlar izlenmelidir:
- İzinlerin Sıkılaştırılması: SharePoint'teki izinler, yalnızca gerekli kullanıcıların erişimine izin verecek şekilde ayarlanmalıdır. Gereksiz izinler kaldırılmalıdır.
- Günlük İzleme ve Uyarılar: SharePoint ortamlarında gerçekleşen tüm aktiviteler günlük olarak izlenmeli ve şüpheli aktiviteler için anında uyarılar oluşturulmalıdır.
- Veri Şifreleme: SharePoint'te saklanan veriler, hem dinlenme hem de aktarım sırasında şifrelenmelidir. Bu, veri hırsızlığı durumunda verilerin korunmasını sağlar.
- Çoklu Kullanıcı Doğrulaması: SharePoint'e erişim için birden fazla kullanıcının onayı gerekebilir. Bu, saldırganların tek bir kullanıcının kimlik bilgilerini çalması durumunda bile erişimi engelleyebilir.
4. Acil Durum Planları ve Yedekleme Stratejileri
Veri hırsızlığı durumunda hızlı müdahale ve kurtarma için acil durum planları oluşturulmalıdır. Bu planlar aşağıdaki unsurları içermelidir:
- Veri Yedekleme: SharePoint verileri düzenli olarak yedeklenmeli ve yedekler güvenli bir şekilde saklanmalıdır.
- Kurtarma Planları: Veri kaybı durumunda, verilerin hızlı bir şekilde kurtarılması için kurtarma planları oluşturulmalıdır.
- İletişim Planları: Veri hırsızlığı durumunda, ilgili taraflara (çalışanlar, müşteriler, yasal merciler) bilgilendirme için iletişim planları hazırlanmalıdır.
Saldırı Tespiti ve Müdahale
Saldırı Belirtileri
Helix grubunun saldırılarına karşı aşağıdaki belirtiler dikkatle izlenmelidir:
- SharePoint ortamlarında beklenmedik aktiviteler (örneğin, yeni kullanıcıların eklenmesi)
- Kullanıcıların MFA kodlarını paylaşmaya zorlanması
- SharePoint'teki verilerin izinsiz olarak indirilmesi
- Kullanıcıların hesaplarında şüpheli giriş denemeleri
Müdahale Adımları
- Saldırı Tespiti: SharePoint ortamlarında şüpheli aktiviteler tespit edildiğinde, IT ekibi hemen müdahale etmelidir.
- Kullanıcı Hesaplarının Askıya Alınması: Saldırıya maruz kalan kullanıcıların hesapları derhal askıya alınmalıdır.
- Günlüklerin İncelenmesi: SharePoint ve diğer sistemlerin günlükleri incelenerek saldırının kapsamı belirlenmelidir.
- Veri Kurtarma: Veri hırsızlığı durumunda, yedeklerden veri kurtarma işlemleri başlatılmalıdır.
- Yasal Bildirim: Veri hırsızlığı durumunda, ilgili yasal mercilere ve etkilenen taraflara bildirim yapılmalıdır.
Uyarı: Helix grubunun saldırılarına karşı korunmak için kullanıcı farkındalığı ve teknik önlemlerin bir arada uygulanması gerekmektedir. Tek başına MFA veya kullanıcı eğitimi yeterli olmayabilir.
Sonuç
Helix grubunun SharePoint ortamlarına yönelik saldırıları, kurumlar için ciddi bir tehdit oluşturmaktadır. Bu saldırılara karşı korunmak için kullanıcı farkındalığı, MFA güçlendirme, SharePoint güvenlik ayarlarının iyileştirilmesi ve acil durum planlarının oluşturulması gerekmektedir. Kurumlar, bu önlemleri uygulayarak veri hırsızlığı riskini minimize edebilir ve SharePoint ortamlarını daha güvenli hale getirebilirler.



