Gaz ve Petrol Şirketi Shell Hacklendi! Beşinci en büyük Fortune Global 500 petrol ve gaz şirketi olan Shell (Royal Dutch Shell), eski dosya paylaşım hizmeti Accellion FTA’ya (Dosya Aktarım Uygulaması) yapılan bir saldırının ardından yeniden saldırıya uğradı.
Shell, saldırıyla ilgili bilgileri resmi web sitesinde yayınladığı bir basın açıklamasında açıkladı. Şirket temsilcileri, olayın yalnızca büyük dosyaları güvenli bir şekilde aktarmak için kullanılan Accellion FTA’lı cihazı etkilediğini garanti ediyor.
Açıklamada, “Dosya aktarım hizmeti Shell’in altyapısının geri kalanından izole edildiğinden, Shell’in temel BT sistemleri üzerinde herhangi bir etki olduğuna dair bir işaret yok.” denildi.
Saldırganlar, ele geçirilen Accellion FTA cihazı kullanılarak aktarılan dosyalara erişim sağladığından Shell, olayı ilgili makamlara ve düzenleyicilere zaten bildirmiştir. Bu verilerin bir kısmının paydaşlara ve Shell iştiraklerine ait olduğu bildiriliyor.
Şirket, “Shell, etkilenen bireyler ve paydaşlarla temas halindedir ve potansiyel riskleri ele almak için onlarla birlikte çalışıyoruz.” dedi.
Geçen ay bilgi güvenliği uzmanları savunmasız Accellion FTA kurulumlarına yönelik saldırıları FIN11 hack grubu ile ilişkilendirdiğini söyledi. FireEye’deki analistler, o dönemde 100’den fazla şirketin siber suçluların kurbanı olduğunu yazdı.
Accellion’un geliştiricilerine göre, yaklaşık 300 FTA müşterisi arasında 100’den azı saldırı kurbanıydı ve aralarında 25’ten azı hack saldırısından etkilendi. FireEye, bu 25 müşteriden bazılarına şantaj yapıldığını ve bilgisayar korsanlarının onlardan fidye talep ettiğini açıkladı.
Gaz ve Petrol Şirketi Shell Hacklendi!
Bu saldırıların bir parçası olarak, bilgisayar korsanları FTA’daki dört güvenlik açığından ( CVE-2021-27101 , CVE-2021-27102 , CVE-2021-27103 CVE-2021-27104 ) yararlanır. Ardından DEWMODE web kabuğunu yükler ve dosyaları çalmak için kullanır. Bunlar kurbanların şifresiz cihazlarında saklanır. Bundan sonra saldırganlar genellikle kurbanlara şantaj yapar. Fidye talep eder ve çalınan bilgileri kamuya açık alanlara sızdırmakla tehdit eder.
Çalınan verilerin Clop fidye yazılımının operatörlerine ait bir web sitesinde yayınlanması, ancak etkilenen şirketlerin ağlarında tek bir makinenin şifrelenmemiş olması dikkat çekicidir. Yani fidye yazılımı saldırılarının değil, bilgisayar korsanlığının ve klasik gaspın kurbanı oldular.
Accellion geliştiricileri halihazırda birkaç düzeltme yaması yayınladı. Ancak her defasında FTA’nın uzun süredir kullanılmayan bir ürün olduğunu vurguladılar. Müşterilerini yeni Kiteworks platformuna geçmeye çağırdılar. Sonuç olarak, şirket nihayet 30 Nisan 2021’de FTA’yı desteklemeyi bırakacağını söyledi.
