Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Çinli Hackerlar Karşı Önlemlere Uyum Sağlıyor
David Perera (@daveperera) •
23 Ağustos 2023
ABD FBI, Çarşamba günü yaptığı flaş uyarıyla Barracuda Networks tarafından üretilen e-posta güvenlik cihazlarının kaldırılması çağrısında bulundu ve bu, Çin’in son yıllardaki en geniş çaplı siber casusluk kampanyası olarak adlandırılan kampanyayı engellemek için yeni bir aciliyet yarattı.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Büro, Pekinli hackerlar tarafından istismar edilen sıfır gün güvenlik açığını gideren Barracuda yamalarının etkisiz olduğunu tespit ettiğini açıkladı.
Büronun siber bölümü, “FBI, aktif izinsiz girişleri gözlemlemeye devam ediyor ve etkilenen tüm Barracuda ESG cihazlarının tehlikeye atıldığını ve bu istismara karşı savunmasız olduğunu düşünüyor” dedi. Güvenlik açığı CVE-2023-2868 olarak takip ediliyor.
Uyarıda ayrıca “Barracuda müşterileri tüm ESG cihazlarını derhal kaldırmalıdır” ifadesi yer alıyor.
Haziran başında Barracuda, saldırıya uğrayan Email Security Gateway cihazlarının sahiplerine, güvenlik açığını düzeltmek için yama uygulayıp uygulamadıklarına bakılmaksızın ekipmanlarını derhal değiştirmeleri konusunda çağrıda bulundu. Uyarı, şirketin daha önce ele geçirilen cihazlarda, yamaların uygulanmasından sonra bile kötü niyetli faaliyetlerin devam ettiğini gözlemlemesinin ardından geldi.
Çarşamba akşamı bir Barracuda sözcüsü, Bilgi Güvenliği Medya Grubu’na şirketin FBI’ın uyarısının, yalnızca daha önce saldırıya uğramış cihazların sahiplerinin cihazlarını değiştirmesi gerektiği yönündeki önceki kılavuzuyla tutarlı olduğuna inandığını söyledi. ISMG açıklama için FBI ile temasa geçti.
Devlet tarafından yürütülen bir siber casusluk operasyonundaki şüpheli Çinli bilgisayar korsanları, popüler e-posta güvenlik cihazındaki güvenlik açığı aracılığıyla yüzlerce kuruluşun güvenliğini ihlal etti. Mandiant’ın güvenlik araştırmacıları Haziran ayında saldırganların sıfır gününü Ekim ayında ve muhtemelen daha önce kullanmaya başladığını belirledi. Mandiant’ın baş teknik sorumlusu Charles Carmakal, Haziran ayında yaptığı açıklamada, “Bu, Microsoft Exchange’in 2021’in başlarında kitlesel sömürülmesinden bu yana Çin bağlantılı bir tehdit aktörü tarafından yürütüldüğü bilinen en geniş siber casusluk kampanyasıdır” dedi (bkz.: Çinli Hackerlar Barracuda ESG Zero-Day’den Yararlanıyor).
Barracuda, 19 Mayıs’ta hackerları tespit ettikten sonra ilk güvenlik yamasını 20 Mayıs’ta yayınladı. Bu güvenlik açığı, hackerların kötü niyetli bir e-posta göndermesine olanak tanıdı. TAR arşiv dosyası, cihaza komut enjeksiyonuyla sonuçlanır. Saldırı, güvenlik cihazı eki taradığında tetiklendi.
Barracuda tarafından araştırmak üzere getirilen Mandiant, hacklemeyi “yüksek güvenle” Pekin’e bağladı ve kampanyayı daha önce bilinmeyen ve yeni adı UNC4841 olan Çinli bir tehdit aktörüne bağladı. Mandiant CEO’su Kevin Mandia, çarşamba günü e-postayla gönderdiği açıklamada, tehdit aktörünün “CVE-2023-2868’in iyileştirilmesinin ardından yüksek öncelikli hedeflerin küçük bir alt kümesine yeni ve yeni kötü amaçlı yazılımlar dağıttığını” söyledi.
Bilgisayar korsanları, Barracuda’nın yamasına, tespit edilmekten kaçınmak için ana arka kapıyı değiştirerek yanıt verdi. Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın 18 Ağustos tarihli bir danışma belgesinde, Denizaltı olarak adlandırılan güncellenmiş arka kapının “ESG cihazındaki Yapılandırılmış Sorgu Dili (SQL) veritabanında yaşadığı” belirtildi.
Mandia, “Bu aktör, derin hazırlık ve özel araçlar yoluyla gelişmişlik ve uyarlanabilirlik göstermeye devam ederek, küresel casusluk operasyonlarının dünya çapındaki kamu ve özel sektörlere yayılmasını sağlıyor” diye ekledi.