Orduya yönelik iddia edilen bir hack olayı araştırılıyor: Hangi veriler satılıyor ve ne işe yarıyor?

Arjantin Ordusu, 50.000 ordu mensubuna ait bilgi içerdiğini iddia eden, tanınmış bir kişisel bilgi alışveriş forumunda bir siber suçlunun yaptığı paylaşımı analiz ediyor.

Savunma Bakanlığı'ndan Federal Siber Güvenlik Ajansı'na kadar çeşitli kamu kurumları, sızıntıya yol açan iddia edilen saldırının potansiyel kapsamını analiz ediyor.

Bilgiler, hem devlet hem de özel sektördeki tehdit istihbaratı yapan ve saldırıları ve sızıntıları izleyen Birmingham Cyber ​​​​Arms LTD adlı şirket tarafından açıklandı. Sheriff, tehdit izleme sisteminde yaptığı paylaşımda, "Bir tehdit aktörü, Arjantin'deki 50.000 askeri personele ait verileri PDF formatında satıyor: Kimlik, doğum tarihi, ikametgah, seyahat kayıtları, diplomalar ve daha fazlası " ifadelerini kullandı.

Şirketin yöneticisi Mauro Eldritch, Clarín'e hangi bilgilerin sunulduğunu şöyle anlattı: "Bunlar, saldırganın, bilgileri çıkardıkları sisteme erişim düzeyini gösterecek, PDF'ler ve ekran görüntüleri de dahil olmak üzere, karışık formatlarda 50.000 belgeden oluşan bir paket."

Analist, gönderiden çıkarılabileceklere dayanarak hangi bilgilerin sunulduğunu şöyle açıkladı: "Bunlar bir belge sisteminden artımlı olarak çıkarılmış gibi görünüyor, bu da artan bir değerle ( örneğin 1, 2, 3, 4 ) tanımlanan verilerin (bu durumda kullanıcı profilleri) görselleştirilmesine izin veren bir güvenlik açığına işaret ediyor" diye açıkladı. Siber güvenlikte buna "IDOR" (Güvensiz Doğrudan Nesne Referansı) denir.

"Bu tür bir güvenlik açığının sağladığı şey, kötü niyetli herhangi bir kullanıcının diziyi sürdürmesine ve yabancı verileri görüntülemesine, veritabanını kazıyabilmesine (yani, sistemin izin verdiği şekilde çoğaltmak için sırayla ve otomatik olarak ziyaret edebilmesine) olanak sağlamaktır," diye devam etti. Örneğin, bir web adresi "445" ile bitiyorsa, bunu "446" olarak değiştirmeniz başka bir kullanıcının profilini görüntülemenize olanak tanır.

"Paket, askeri nitelikte olduğu için çok sayıda hassas bilgi içeriyor. Akademik kayıtlardan, fotoğraflara, seyahat bilgilerinden askerlerin aile bilgilerine kadar her şey var. Bu nedenle dosyalar içeren bir sistemin yedek kopyası olabilir" diye ekliyor.

Ordu, geçen Salı günü yaptığı açıklamada, "bunun, Gücün kabiliyetlerini tehlikeye atmayacak idari verilere erişimi içerebileceğini" belirtti. Clarín, olayla ilgili güncelleme almak için Ordu ile iletişime geçti ve onlar da 8 Mayıs'ta Federal Polis Siber Suç Birimi'ne yapılan şikayetin bu perşembe günü genişletildiğini doğruladılar.

Veri ihlali (veya siber güvenlik alanında adlandırıldığı şekliyle sızıntı), bilgilerin izinsiz olarak ifşa edilmesidir. Bunlar tam adınız, adresiniz, e-posta adresiniz, telefon numaranız, şifreleriniz veya dosyalarınız olabilir. Bunlar aynı zamanda orduda olduğu gibi hassas bilgiler de olabilir.

"Satılık olduğu iddia edilen şeyin kritik kısmı, her üyenin askeri kariyerini, nerede ("kol veya hizmet") görev yaptığını, hangi rolde ve o sırada hangi rütbeyle görev yaptığını ayrıntılı olarak görebileceğiniz hizmet kayıtlarıdır. Temel olarak her kişinin askeri geçmişidir ve bu genellikle yalnızca kişi hakkında değil, aynı zamanda Destiny'nin (askeri bir konum olarak Destiny) iç hareketleri hakkında da hassas bilgiler ortaya çıkarır," diye açıklıyor Eldritch.

Bu bilgiler, siber suçluların daha çok hedef aldığı yeraltı forumları ve Telegram kanalları gibi sitelerde sıklıkla pazarlanıyor. Bu sızıntıların genellikle karaborsada satılmasından, bu verileri sahte e-postalar göndererek kullanıcıları sahte web sitelerini ve servisleri ziyaret etmeye kandıran kimlik avı saldırıları gerçekleştirmek için kullanmaya kadar çeşitli hedefleri vardır.

Genellikle, sızdırılan veriler karaborsada (her ne kadar Telegram'da da satılsa da, herhangi bir tür yasa dışı faaliyeti düzenlemeyen karanlık web olarak adlandırılır) son bulur, her türlü dolandırıcılık için kullanılır veya hatta fidye yazılımı saldırıları için bir geçit olarak bile kullanılır.

Arjantin, son yıllarda devlet kurumlarına yönelik çok sayıda saldırı yaşadı: 2020'de Ulusal Göç Müdürlüğü'ne , 2022'de Ulusal Senato'ya , 2023'te PAMI ve CNV'ye ve geçen yıl en büyük vakalardan biri olan RENAPER'e saldırı düzenlendi.

Bu medya kuruluşu, geçen yıl RENAPER'a sızdırılan bilgilere ulaşabildi ve milyonlarca Arjantinlinin adını, soyadını, doğum tarihini, ölüm tarihini (varsa) ve kimlik numarasını bulduğunu tespit etti.

Ve hatta Arjantin'de ikamet eden yabancıların adreslerinin veri tabanlarını ve hatta Deniz Kuvvetleri personelinin tam adları ve askeri rütbelerinin bilgilerini içeren çok özel klasörler bile vardı; bu da bu yeni vakanın Silahlı Kuvvetleri etkileyen ilk vaka olmayacağını gösteriyor.