Gitlocker Kimlik Avı Saldırıları
Gelişen siber güvenlik tehditleri ortamında, GitHub depolarını hedef alan yeni bir Gitlocker saldırı kampanyası ortaya çıktı. Bu operasyon, kötü niyetli aktörlerin hesapları tehlikeye atmasını, veri deposu içeriklerini silmesini ve kurbanların daha fazla talimat için Telegram aracılığıyla kendileriyle iletişime geçmesini talep etmesini içeriyor. Bu makalede, bu kampanyanın ayrıntıları, çalışma şekli ve bu tür saldırılara karşı korunmak için önerilen güvenlik önlemleri ele alınmaktadır.
İçindekiler
Saldırı Yöntemleri
Gitlocker kampanyasındaki saldırganlar özellikle GitHub depolarını hedef alıyor. Bir depoya erişim sağladıklarında içeriğini silmeye başlarlar. Saldırganlar daha sonra depoyu yeniden adlandırıyor ve kurbanlara kendileriyle Telegram üzerinden iletişime geçmeleri talimatını veren bir fidye notu içeren bir README.me dosyası bırakıyor.
Çalınan Kimlik Bilgileri
Bu kampanyanın arkasındaki tehdit aktörü, Telegram'da Gitloker adı altında faaliyet gösteriyor ve çalıntı kimlik bilgilerini kullanarak GitHub hesaplarına erişim sağlıyor gibi görünüyor. Bir siber olay analisti gibi davranarak ele geçirilen verileri yedeklediklerini iddia ediyorlar ve geri yüklemeye yardım etmeyi teklif ediyorlar. Fidye notunun tam metni şöyle:
'Umarım bu mesaj seni iyi bulur. Bu, verilerinizin tehlikeye girdiğini ve bir yedeklemeyi güvence altına aldığımızı size bildirmek için gönderilen acil bir bildirimdir.'
Yanıt ve Öneriler
Önceki saldırıların ardından GitHub, hesaplarını yetkisiz erişime karşı korumak için kullanıcılara şifrelerini değiştirmelerini tavsiye etti. Bu eylem, yeni SSH anahtarlarının eklenmesi, yeni uygulamaların yetkilendirilmesi veya ekip üyelerinin değiştirilmesi gibi kötü niyetli etkinliklerin önlenmesi açısından çok önemlidir.
Gelişmiş Güvenlik Önlemleri
Daha fazla güvenliğin ihlal edilmesini önlemek ve şüpheli etkinlikleri tespit etmek için kullanıcıların aşağıdaki güvenlik önlemlerini uygulaması teşvik edilir:
- İki Faktörlü Kimlik Doğrulamayı Etkinleştir (2FA) : Oturum açma işlemine ekstra bir güvenlik katmanı ekler.
- Geçiş Anahtarı Ekle : Güvenli, parolasız oturum açmak için.
- Yetkisiz Erişimi İnceleyin ve İptal Edin : SSH anahtarlarını, dağıtım anahtarlarını ve yetkili entegrasyonları düzenli olarak kontrol edin ve yönetin.
- E-posta Adreslerini Doğrulayın : İlgili tüm e-posta adreslerinin doğru ve güvenli olduğundan emin olun.
- Hesap Güvenliği Günlüklerini İnceleyin : Yetkisiz değişiklikleri belirlemek için depo değişikliklerini izleyin.
- Web Kancalarını Yönetin : Depolardaki web kancalarını düzenli olarak denetleyin ve yönetin.
GitHub Uzlaşmalarının Tarihsel Bağlamı
Gitlocker saldırısı münferit bir olay değil. GitHub hesapları daha önce hedef alınıp ele geçirilmiş ve bu durum önemli veri ihlallerine yol açmıştı.
Mart 2020 Microsoft İhlali : Bilgisayar korsanları Microsoft'un hesabını ele geçirerek özel depolardan 500 GB'tan fazla dosya çaldı. Çalınan veriler çoğunlukla kod örneklerinden ve test projelerinden oluşsa da, özel API anahtarlarının ve şifrelerinin açığa çıkması konusunda endişeler vardı. Tehdit aktörü ShinyHunters, başlangıçta satmayı planladıktan sonra sonunda verileri ücretsiz olarak sızdırdı.
Eylül 2020 Kimlik Avı Kampanyası : GitHub kullanıcıları, sahte CircleCI bildirimlerini içeren bir kimlik avı kampanyasında hedef alındı. Saldırganlar, ters proxy'ler aracılığıyla GitHub kimlik bilgilerini ve 2FA kodlarını çalmayı amaçlıyordu. Hesapların güvenliğini ihlal ettikten sonra verileri sızdırdılar ve kalıcı erişimi sürdürmek için yeni kullanıcı hesapları eklediler.
Çözüm
Gitlocker Kimlik Avı Saldırısı, çevrimiçi veri havuzlarına yönelik kalıcı tehdidin ve güçlü güvenlik uygulamalarının öneminin altını çiziyor. Kullanıcılar önerilen güvenlik önlemlerini uygulayarak ve dikkatli kalarak GitHub hesaplarını yetkisiz erişime ve olası veri kaybına karşı daha iyi koruyabilirler. Siber tehditler gelişmeye devam ederken, değerli dijital varlıkların korunması için güvenliğe proaktif bir yaklaşımın sürdürülmesi şarttır.
