2022’de Silahlaştırılan 55 Sıfırıncı Gün Güvenlik Açığı

21 Mart 2023Ravie LakshmananSiber Tehdit Intel / Güvenlik Açığı

2022’de 55 kadar sıfır gün güvenlik açığından yararlanıldı ve kusurların çoğu Microsoft, Google ve Apple’ın yazılımlarında keşfedildi.

Bu rakam, 81 sıfır günün şaşırtıcı bir şekilde silah haline getirildiği bir önceki yıla göre bir düşüşü temsil etse de, son yıllarda tehdit aktörlerinin bilinmeyen güvenlik açıklarını kendi avantajlarına kullanan önemli bir artışı temsil ediyor.

Bulgular, masaüstü işletim sistemlerinin (19), web tarayıcılarının (11), BT ve ağ yönetimi ürünlerinin (10) ve mobil işletim sistemlerinin (altı) en çok istismar edilen ürün türleri olduğunu belirten tehdit istihbarat firması Mandiant’tan geliyor.

55 sıfır gün hatasından 13’ünün siber casusluk grupları tarafından kötüye kullanıldığı, diğer dördünün ise fidye yazılımıyla ilgili operasyonlar için finansal olarak motive olmuş tehdit aktörleri tarafından istismar edildiği tahmin ediliyor. Ticari casus yazılım satıcıları, üç sıfır günün istismarıyla ilişkilendirildi.

Devlet destekli gruplar arasında, Çin’e atfedilenler, yedi sıfır günden yararlanarak en üretken olanlar olarak ortaya çıktı – CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022 -42475, CVE-2022-27518 ve CVE-2022-41328 – yıl boyunca.

İstismarın çoğu, ilk erişimi elde etmek için güvenlik duvarları gibi uç ağ cihazlarındaki güvenlik açıklarına odaklanmıştır. Farklı kampanyaların bir parçası olarak Microsoft Teşhis Aracı’ndaki (namı diğer Follina) bir kusurdan yararlanan çeşitli China-nexus kümeleri de tespit edildi.

Mandiant, “Birden fazla ayrı kampanya, sıfırıncı günün birden fazla şüpheli Çin casusluk grubuna dijital bir malzeme sorumlusu aracılığıyla dağıtıldığını gösterebilir,” diyen Mandiant, bunun “ortak bir geliştirme ve lojistik altyapısının ve muhtemelen merkezi bir koordinasyon biriminin varlığına” işaret ettiğini de sözlerine ekledi.

Öte yandan Kuzey Koreli ve Rus tehdit aktörleri, her biri iki sıfır-gün istismarıyla ilişkilendirildi. Buna CVE-2022-0609, CVE-2022-41128, CVE-2022-30190 ve CVE-2023-23397 dahildir.

Açıklama, tehdit aktörlerinin yeni açıklanan güvenlik açıklarını dünya çapında çok çeşitli hedefleri ihlal etmek için güçlü istismarlara dönüştürme konusunda daha iyi hale gelmesiyle birlikte geliyor.

“Sıfır gün güvenlik açıklarının keşfi yoğun kaynak gerektiren bir çaba olsa da ve başarılı bir kullanım garanti edilmese de, açıklanan ve yararlanılan güvenlik açıklarının toplam sayısı artmaya devam etti, Nesnelerin İnterneti (IoT) cihazları dahil olmak üzere hedeflenen yazılım türleri ve bulut çözümleri gelişmeye devam ediyor ve bunları kullanan aktörlerin çeşitliliği genişledi” dedi Mandiant.

Mandiant raporu ayrıca, Microsoft’un Dijital Tehdit Analiz Merkezi’nden, Ukrayna’daki savaş ikinci yılına girerken Rusya’nın ısrarlı kinetik ve siber hedeflemesine ilişkin bir uyarıyı takip ediyor.

Teknoloji devi, Ocak 2023’ten bu yana “Ukrayna ve ortaklarının sivil ve askeri varlıklarında yıkıcı ve istihbarat toplama kapasitesini artırmak için Rus siber tehdit faaliyetinin ayarlandığını” gözlemlediğini söyledi.

Ayrıca, Sandworm (namı diğer Iridium) olarak bilinen ulus-devlet grubu tarafından Ukrayna’da ve başka yerlerde bulunan kuruluşlara yönelik olası bir “yenilenmiş yıkıcı kampanya” konusunda uyarıda bulundu.

Dahası, Moskova destekli bilgisayar korsanları, 100’den fazla Ukraynalı kuruluşa karşı en az iki fidye yazılımı ve dokuz silici aile kurdu. Ocak ile Şubat 2023 ortası arasında casusluk kampanyalarında en az 17 Avrupa ülkesi hedef alındı ​​ve savaşın başlamasından bu yana 74 ülke hedef alındı.

Rus tehdit faaliyetleriyle ilişkili diğer önemli özellikler arasında fidye yazılımlarının siber sabotaj silahları olarak kullanılması, çeşitli yöntemlerle ilk erişim elde edilmesi ve Moskova’nın siber varlığının erişimini genişletmek için gerçek ve sahte bilgisayar korsanı gruplarından yararlanılması yer alıyor.