Rusya’nın bayrak taşıyıcı havayolu şirketi Aeroflot’un bu yaz onlarca uçuşu iptal etmesine neden olan siber saldırının, şirketin iç sistemlerine erişimi olan küçük ve az bilinen bir Moskova yazılım geliştiricisi aracılığıyla gerçekleştirildiği ortaya çıktı.
İşte The Record tarafından yayınlanan ve bağımsız yayın kuruluşu The Bell’in raporuna dayanan saldırının detayları:
Saldırının merkezinde, Aeroflot’un iOS uygulamaları ve kalite yönetim sistemleri üzerinde çalışmış olan Bakka Soft adlı küçük bir mobil uygulama geliştirme firması vardı.
Rapora göre, saldırganlar Bakka Soft’un Aeroflot altyapısına olan uzaktan erişimini kullandı. Havayolu şirketinin bazı terminal sunucularında iki faktörlü kimlik doğrulamanın (2FA) eksik olması da girişin kolaylaşmasında rol oynadı.
İlk şüpheli aktivite Ocak ayında tespit edildi, ancak Aeroflot tedarikçilerle ilgili güvenliği önemli ölçüde sıkılaştırmadı.
Hackerler, Mayıs ayında aynı tedarikçi üzerinden yeniden giriş yaptı.
Yaz ortasına gelindiğinde, saldırganlar havayolu içinde kalıcı erişim sağlamışlardı.
Temmuz ayındaki saldırı, Aeroflot’un operasyonlarını felç etti, yüzden fazla uçuşun iptal edilmesine ve on binlerce yolcunun mahsur kalmasına neden oldu. Yalnızca uçuş iptallerinden kaynaklanan zararın en az 3,3 milyon dolar olduğu tahmin edilirken, toplam zararın on milyonlarca doları bulduğu belirtiliyor.
Saldırıyı, Ukrayna yanlısı hacker kolektifi Silent Crow ve müttefiki Belarus Siber Partizanları üstlendi.
İçeri girdikten sonra, saldırganların şirketin Active Directory ortamına sızdığı, yüksek ayrıcalıklı hesaplar edindiği ve yaklaşık iki düzine kötü amaçlı yazılım aracı kullandığı iddia edildi.
