Cars.com, GoFundMe ve Foursquare’i ödeme yapan 5.000 müşterisi arasında listeleyen bulut tabanlı bir BT yönetim hizmeti olan JumpCloud, geçen hafta bir ulus devlet için çalışan bilgisayar korsanları tarafından gerçekleştirilen bir güvenlik ihlali yaşadı.
Şirket geçen Çarşamba günü yaptığı açıklamada, saldırının 22 Haziran’da bir mızraklı kimlik avı kampanyası olarak başladığını açıkladı. JumpCloud, bu olayın bir parçası olarak, “gelişmiş ulus-devlet destekli tehdit aktörünün” JumpCloud dahili ağının belirtilmemiş bir bölümüne erişim kazandığını söyledi. O sırada müfettişler herhangi bir müşterinin etkilendiğine dair bir kanıt bulamasa da, şirket hesap kimlik bilgilerini döndürdüğünü, sistemlerini yeniden kurduğunu ve başka savunma önlemleri aldığını söyledi.
5 Temmuz’da müfettişler, ihlalin “küçük bir müşteri grubu için komutlar çerçevesinde olağandışı etkinlik” içerdiğini keşfettiler. Yanıt olarak şirketin güvenlik ekibi, tüm yönetici API anahtarlarının zorunlu rotasyonunu gerçekleştirdi ve etkilenen müşterileri bilgilendirdi.
Müfettişler analizlerine devam ederken, ihlalin aynı zamanda “saldırı vektörü” olarak tanımlanan açıklamanın “komutlar çerçevesine veri enjeksiyonu” içerdiğini keşfettiler. Açıklama, veri enjeksiyonu ile 22 Haziran’daki spear-phishing saldırısıyla elde edilen erişim arasındaki bağlantıyı açıklamadı. Ars, JumpCloud PR’dan ayrıntılar istedi ve çalışanlar, bu tür ayrıntıları atlayan aynı açıklama gönderisini göndererek yanıt verdi.
Müfettişler ayrıca saldırının son derece hedefli olduğunu ve şirketin adını vermediği belirli müşterilerle sınırlı olduğunu tespit etti.
JumpCloud, web sitesinde, 200.000’den fazla kuruluştan oluşan küresel bir kullanıcı tabanına ve 5.000’den fazla ödeme yapan müşterisine sahip olduğunu söylüyor. Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance ve Foursquare’i içerir. JumpCloud, Sapphire Ventures, General Atlantic, Sands Capital, Atlassian ve CrowdStrike dahil olmak üzere yatırımcılardan 400 milyon doların üzerinde para topladı.
Geçen haftaki açıklamada, JumpCloud Bilgi Güvenliği Sorumlusu Bob Phan şunları yazdı:
27 Haziran saat 15:13 UTC’de, 22 Haziran’da tehdit aktörü tarafından gerçekleştirilen gelişmiş bir mızraklı kimlik avı kampanyasına kadar izini sürdüğümüz dahili bir orkestrasyon sisteminde anormal bir etkinlik keşfettik. Bu etkinlik, altyapımızın belirli bir alanına yetkisiz erişimi içeriyordu. O sırada müşteri etkisine dair kanıt görmedik. Fazlasıyla ihtiyatlı davranarak kimlik bilgilerini değiştirdik, altyapıyı yeniden oluşturduk ve ağımızı ve çevremizi daha da güvenli hale getirmek için bir dizi başka önlem aldık. Ek olarak, hazırlanmış olay müdahale planımızı etkinleştirdik ve Olay Müdahalesi (IR) ortağımızla çalışarak tüm sistemleri ve günlükleri potansiyel faaliyetler açısından analiz ettik. Aynı zamanda, IR planımızın bir parçası olarak, soruşturmamız için kolluk kuvvetleriyle temasa geçtik ve görevlendirdik.
JumpCloud Güvenlik Operasyonları, IR ortaklarımız ve kolluk kuvvetleriyle işbirliği içinde adli soruşturmaya devam etti. 5 Temmuz 03:35 UTC’de, küçük bir müşteri grubu için komutlar çerçevesinde olağandışı etkinlik keşfettik. Bu noktada, müşteri etkisine dair kanıtlarımız vardı ve etkilenen müşterilerle yakın bir şekilde çalışarak onlara ek güvenlik önlemleri konusunda yardımcı olmaya başladık. Ayrıca, 5 Temmuz 23:11 UTC’den başlayarak tüm yönetici API anahtarlarının zorunlu rotasyonunu gerçekleştirmeye karar verdik. Müşterileri bu işlemden hemen haberdar ettik.
Devam eden analiz, saldırı vektörünü ortaya çıkardı: komut çerçevemize veri enjeksiyonu. Analiz, saldırının son derece hedefli ve belirli müşterilerle sınırlı olduğuna dair şüpheleri de doğruladı. Öğrendiklerimiz, bu kampanya için gözlemlediğimiz bir IOC (Uzlaşma Göstergeleri) listesi oluşturmamıza ve şimdi paylaşmamıza olanak sağladı.
Bunlar, gelişmiş yeteneklere sahip sofistike ve ısrarcı düşmanlardır. En güçlü savunma hattımız bilgi paylaşımı ve işbirliğidir. Bu nedenle, bu olayın ayrıntılarını paylaşmak ve ortaklarımızın kendi ortamlarını bu tehdide karşı korumalarına yardımcı olmak bizim için önemliydi. Müşterilerimizi gelecekteki tehditlerden korumak için kendi güvenlik önlemlerimizi geliştirmeye devam edeceğiz ve bu tehdide ilişkin bilgileri paylaşmak için hükümet ve sektör ortaklarımızla yakın bir şekilde çalışacağız.
Şirket ayrıca, diğer kuruluşların aynı saldırganlar tarafından hedef alınıp alınmadığını belirtmek için kullanabilecekleri, saldırgan tarafından kullanılan IP adreslerinin, alan adlarının ve kriptografik karmaların bir listesini yayınladı. JumpCloud henüz menşe ülkesini veya sorumlu tehdit grubuyla ilgili diğer ayrıntıları belirtmedi.
