Otel ve eğlence devi MGM Resorts, Hizmet Masalarına yapılan hileli bir çağrıyla başlayan ciddi bir siber saldırının ardından sarsıldı. Geçtiğimiz haftadan bu yana, MGM Grand, Bellagio, Aria ve Cosmopolitan dahil olmak üzere ünlü Las Vegas kumarhanelerindeki yaygın kesintilerin ardından sistemleri tekrar çevrimiçi hale getirmek için çalışmalar devam ediyor.
Saldırının dahili ağlarda, ATM’lerde, kumar makinelerinde, dijital oda anahtar kartlarında ve elektronik ödeme sistemlerinde kesintilere yol açtığı bildirildi. TV hizmetleri ve telefon hatları bile kesildi ve personeller, kalabalık misafir kuyruklarıyla başa çıkmak için kağıda not almak zorunda kalıyorlar.
Saldırının Özeti
- Kim hedef alındı: MGM Resorts
- Saldırı türü: Fidye yazılımı, Veri hırsızlığı
- Giriş tekniği: Sosyal mühendislik (hizmet masası bilgilerinin çalınması), Ayrıcalık yükseltme
- Etki: Sistem kesintisi, Operasyonel kesinti, Veri ihlali (muhtemelen daha fazlası var çünkü saldırı hâlâ devam ediyor)
- Sorumlu kim: Scattered Spider/UNC3944 (ALPHV fidye yazılımı grubunun alt grubu olduğuna inanılıyor) 23.09.2023 tarihinde sorumluluğu üstlendi
Saldırı Nasıl Gerçekleşti?
Scattered Spider/UNC3944 saldırının sorumluluğunu üstlendi ve 08.09.2023 tarihinden bu yana MGM Resorts sistemlerinde olduklarını söylediler. Saldırganların daha büyük ALPHV fidye yazılımı grubunun bir alt grubu olduğuna inanılıyor. Bilgisayar korsanları vx-underground’a ilk giriş noktası olarak sosyal mühendisliği kullandıklarını söyledi. LinkedIn’de bir MGM Resorts çalışanını bulup onu taklit ettiler ve kuruluşun hizmet masasını arayarak hesaplarına erişim talebinde bulundular. Bu bilgi, MGM Resorts’un hizmet masasında son kullanıcı doğrulamasını zorunlu kılacak bir sisteme sahip olmadıklarını gösteriyor. Sonuç olarak ilk girişin ardından yönetici haklarını elde ettiler ve bir fidye yazılımı saldırısı uygulamaya başladılar.
Hacker grubu, 14.09.23 tarihinde yayınlanan ‘Kayıtları düzeltmek’ başlıklı bir açıklamada, saldırının nasıl gerçekleştiğine dair ayrıntılı bir açıklama yaptı. “Okta Agent sunucularında gizlendiğimizi ve etki alanı denetleyici karma dökümlerinden şifreleri kırılamayan kişilerin, şifrelerini yokladığımızı öğrendikten sonra MGM, Okta Sync sunucularının her birini kapatmak için aceleci bir karar verdi. Bunun sonucunda Okta’larını tamamen kilitledik. Bu arada, Okta’ları için süper yönetici ayrıcalıklarına ve Azure tenant için Genel Yönetici ayrıcalıklarına sahip olmaya devam ettik.”
“Pazar gecesi MGM, yetersiz idari yetenekler ve zayıf olay müdahale taktikleri nedeniyle Okta (MGMResorts.okta.com) ortamına tüm erişimi engelleyen koşullu kısıtlamalar uyguladı. Ağlarına Cuma gününden beri sızıyoruz. Ağ mühendislerinin ağın nasıl çalıştığını anlamaması nedeniyle ağ erişimi Cumartesi günü sorunluydu. Daha sonra Pazar günü altyapılarının görünüşte önemli bileşenlerini “çevrimdışına alma” kararı aldılar.”
“Bir gün bekledikten sonra, 11 Eylül’de ortamlarındaki 100’den fazla ESXi hipervizörüne karşı, iletişime geçmeye çalışıp başarısız olduktan sonra fidye yazılımı saldırılarını başarıyla başlattık. Fidye yazılımı saldırısı, olayın kontrol altına alınmasına yardımcı olmak için dışarıdan uzmanlar getirildikten sonra oldu.”
ALPHV’nin geçmişte çalınan dosyaları Dark Web’de yayınladığı bilinmesine rağmen, hangi verilerin sızdırıldığı veya zincirleme etkinin ne olabileceği henüz bilinmiyor. Scattered Spider Grubu da pes etmeye hazır gibi görünmüyor.
Açıklamanın devamında “MGM’nin bazı altyapılarına hâlâ erişimimiz var. Eğer bir anlaşmaya varılamazsa, yeni saldırılar gerçekleştireceğiz. MGM’nin bize ulaşmasını beklemeye devam ediyoruz, çünkü bizimle nerede iletişime geçeceklerini bildiklerini açıkça gösterdiler.” diye yazan grup istediklerini almadan çekileceğe benzemiyorlar.
MGM Resorts hack’inden ne öğrenebiliriz?
Öncelikle bunun tek seferlik bir durum olmadığını belirtmekte fayda var. MGM Resorts son iki ayda hedef alınan ilk casino grubu bile değil. Yakın zamanda hizmet masalarının sosyal mühendislik aracılığıyla hedef alındığı başka ciddi ihlaller de gördük; 2021’de EA Games’in ihlaliyle ürkütücü derecede benzer bir olay yaşanmıştı.
Mevcut bilgilere göre, bu olayı önlemenin anahtarı ilk erişimden kaçınmak. Bu saldırı, hizmet masasının ‘hesabı kilitlenen çalışanın’ iddia ettiği kişi olmadığını doğrulamasını sağlayacak daha iyi kimlik doğrulama protokolleri ile önlenebilirdi. Kaynaklara göre saldırgan, başka bir faktör aracılığıyla kimlik doğrulaması yapmaya zorlanmadan bir hizmet masası temsilcisine sesli arama yoluyla kimlik avı saldırısı yaptı.
Daha önce yayınladığımız bazı makalelerde de önemini vurguladığımız MFA (Çoklu kimlik doğrulama) ve benzeri ek güvenlik tedbirleri ile ilk kimlik doğrulama aşamasında bu saldırı başlamadan bitebilirdi.