Orange İspanya, RIPE Hesabı Kötü Amaçlı Yazılım Tarafından Saldırıya Uğradıktan Sonra BGP Trafik Kaçırma ile Karşı Karşıya
Mobil ağ operatörü Orange Spain, bir tehdit aktörünün sınır ağ geçidi protokolü (BGP) trafiğini ele geçirmek için hırsız kötü amaçlı yazılım aracılığıyla ele geçirilen yönetici kimlik bilgilerini kullanmasının ardından 3 Ocak'ta birkaç saat boyunca internet kesintisi yaşadı.
Şirket, X'te (eski adıyla Twitter) yayınlanan bir mesajda, "IP ağ koordinasyon merkezindeki (RIPE) Orange hesabı, bazı müşterilerimizin göz atmasını etkileyen uygunsuz erişime maruz kaldı" dedi.
Ancak şirket, hiçbir kişisel verinin tehlikeye atılmadığını ve olayın yalnızca bazı tarama hizmetlerini etkilediğini vurguladı.
X'te Ms_Snow_OwO adını kullanan tehdit aktörü, Orange Spain'in RIPE hesabına erişim sağladığını iddia etti. RIPE, Avrupa, Orta Asya, Rusya ve Batı Asya'da IP adreslerinin ve otonom sistem (AS) numaralarının tahsisini ve kaydını denetleyen bölgesel bir İnternet kayıt defteridir (RIR).
Siber güvenlik firması Hudson Rock, "Tehdit aktörü, çalınan hesabı kullanarak Orange'ın IP adresine ait AS numarasını değiştirerek Orange'da büyük kesintilere ve trafikte %50'lik bir kayba neden oldu" dedi.
Daha fazla analiz, yönetici hesabının e-posta adresinin, 4 Eylül 2023'te Raccoon Stealer kötü amaçlı yazılımının sızdığı bir Orange Spain çalışanının bilgisayarıyla ilişkili olduğunu ortaya çıkardı.
Hırsızın çalışanın sistemine nasıl girdiği şu anda bilinmiyor, ancak bu tür kötü amaçlı yazılım aileleri genellikle kötü amaçlı reklam veya kimlik avı dolandırıcılığı yoluyla yayılır.
Şirket, "Makinede tanımlanan kurumsal kimlik bilgileri arasında, çalışanın tehdit aktörü (adminripe-ipnt@orange.es) tarafından ortaya çıkarılan e-posta adresini kullanarak 'https://access.ripe.net' için belirli kimlik bilgileri vardı" diye ekledi.
Daha da kötüsü, Orange'ın RIPE yönetici hesabını güvence altına almak için kullanılan parola, hem zayıf hem de kolayca tahmin edilebilir olan "ripeadmin" idi.
Güvenlik araştırmacısı Kevin Beaumont ayrıca, RIPE'nin ne iki faktörlü kimlik doğrulamayı (2FA) zorunlu kıldığını ne de hesapları için güçlü bir parola politikası uyguladığını ve bu da onu kötüye kullanıma açık hale getirdiğini belirtti.
Beaumont, "Şu anda, bilgi hırsızı pazarları access.ripe.net binlerce kimlik bilgisi satıyor ve bunu Avrupa'daki kuruluşlarda ve ISS'lerde etkili bir şekilde tekrarlamanıza izin veriyor" dedi.
Şu anda başka hesapların benzer şekilde etkilenip etkilenmediğini araştıran RIPE, etkilenen hesap sahiplerine doğrudan ulaşacağını söyledi. Ayrıca, RIPE NCC Access hesabı kullanıcılarını parolalarını güncellemeye ve hesapları için çok faktörlü kimlik doğrulamayı etkinleştirmeye çağırdı.
"Uzun vadede, tüm RIPE NCC Access hesapları için mümkün olan en kısa sürede zorunlu hale getirmek ve çeşitli doğrulama mekanizmaları sunmak için 2FA uygulamasını hızlandırıyoruz" diye ekledi.
Olay, bilgi hırsızı enfeksiyonlarının sonuçlarını vurgulamaya hizmet ediyor ve kuruluşların ağlarını bilinen ilk saldırı vektörlerinden korumak için adımlar atmasını gerektiriyor.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi