Sektörden Haberler

Yeni Bir Siber Saldırı Daha: Kurban Dev Havayolu Şirketi, AirAsia.

21 Kasım 2022

Daixin Ekibi, gerçekleştirdiği fidye yazılımı saldırısı sonrasında, AirAsia’nın beş milyon müşteri kaydının sızdırıldığını iddia etti.

AirAsia, 60 milletten yaklaşık 22.000 çalışanı olan, yurt içi ve dünya çapında 165'ten fazla lokasyonda faaliyet gösteren, Kuala Lumpur merkezli Malezya'nın en büyük havayolu şirketidir.

Dev Havayolu şirketinin, FBI tarafından son aylarda inceleme altına alınan Daixin Ekibi çetesinin saldırısına uğradığı iddia ediliyor.

AirAsia Havayolu Şirketinin müşterilerine ve çalışanlarına ait beş milyondan fazla kayıt fidye yazılımı saldırısına konu olmuş gibi.

AirAsia Havayolu Şirketine yapılan fidye yazılımı saldırısının ayrıntılarına gelirsek:

Saldırı ilk olarak, Daixin Team'in web sitesindeki bir listeden alınan ekran görüntülerini Dark Web’de paylaşan, güvenlik araştırmacısı Soufiane Tahiri tarafından Twitter'da bildirildi. Bu arada bu iddia AirAsia tarafından henüz doğrulanmadı.

Saldırının 11 ve 12 Kasım tarihlerinde gerçekleştiği iddia edilmektedir. Daixin Ekibi, yolcuların ve havayolu çalışanlarının doğum tarihi, doğum yeri; havayolu çalışanlarının mülakat bilgileri ve hesap güvenliği bilgileri gibi kişisel bilgilerini gösteren iki e-tablo paylaşmıştır.  

Grup, veritabanını şifreledikten sonra verilerin bir örneğini AirAsia ile paylaştığını ve dosya kilitlerini açmak ve ağa nasıl girebildiğini açıklamak için miktarını belirtmedikleri bir ücret talep ettiklerini söylemektedir.

Daixin Ekibi, hayatı tehdit edebilecek herhangi bir veriyi şifrelemekten veya yok etmekten kaçınmanın bir parçası olarak uçuş ekipmanıyla ilgili kritik dosyaları kilitlemekten kaçındıklarını, ancak ödeme yapılana kadar personel ve yolcu kayıtlarına erişimin tamamen kilitlendiğini bildirmiştir.

Fidye yazılımı çetesinin bir sözcüsü, DataBreaches’a yaptığı açıklamada, ağın daha büyük bir kısmını kilitleyecek ve daha fazla veri toplayacak imkanlarının olduğunu, ancak AirAsia veri altyapısının "kaotik" olduğunu ve gözden geçirilmesi için çok fazla zaman gerektireceğini belirtmiştir.

“Dahili ağın herhangi bir kural olmadan yapılandırıldığını ve sonuç olarak zayıf çalıştığını, Her yeni sistem yöneticisinin eskiye sadık (!) kalarak sisteme eklendiğini ve ağ korumasının çok zayıf olduğunu” açıklamıştır.

Daixin Ekibi gelecekte yeni saldırılar başlatabilir.

Daixin, Dark web sitesinde yolcu ve çalışan verilerini sızdırmanın yanı sıra, diğer bilgisayar korsanlarının ağa erişmesine izin verecek arka kapılar da dahil olmak üzere, AirAsia ağında bulunan güvenlik açıklarını ayrıntılarıyla yayınlamayı planladığını söylemektedir. AirAsia'nın fidyeyi ödemeyi planlamadığı anlaşıldıktan sonra bu kararı aldıklarını belirmiştir.

Bilgisayar korsanı forumlarında, firmanın sömürüye açık sistemlerine erişim ve bunların ayrıntılarının sağlanması, uçuş donanımını daha kötü niyetli gruplar için potansiyel olarak açık bırakabilecektir. Sözcü, grubun eylemlerinden kaynaklanacak gelecekteki olumsuz sonuçların sorumluluğunu Daixin grubunun üstlendiğini açıklamıştır.

Daixin Ekibi, ABD'de FBI ve CISA tarafından ortak bir Siber Güvenlik Danışma bildirimine konu olmuştu. Bu bildirimde son birkaç aydır sağlık ve kamu hizmetleri sektörleri de dahil olmak üzere ABD'deki işletmeleri aktif olarak hedef aldıkları belirtilmiştir.

CISA'ya göre Daixin Ekibi, elektronik sağlık kayıtları hizmetleri, teşhis hizmetleri, görüntüleme hizmetleri ve intranet hizmetleri ve çalınan kişisel tanımlanabilir bilgiler (PII) ve hasta sağlık bilgileri (PHI) dahil olmak üzere sağlık hizmetlerinden sorumlu sunucuları şifrelemek için fidye yazılımı saldırısı yapmış ve fidye ödenmediği taktirde bilgileri ifşa etmekle tehdit etmiştir.

Bu olaydan yapacağımız çıkarım: Saldırganların herkesin güvenli addettiği VPN üzerinden sistemlere erişim elde ettiği, ağı ele geçirmek için yama uygulanmamış güvenlik açıklarından yararlandığı ve ardından ağ üzerinden secure-shell ve uzak masaüstü protokolü aracılığıyla yatay olarak hareket ettiklerini (yatay hareketin izlenmemesi sonucu fark edilemediği) ve verinin yeterince korunmadığı olmalıdır.

Kaynak: https://techmonitor.ai/technology/cybersecurity/airasia-ransomware-daixin-team