2024 Noeli’nden önceki haftalarda Amerika Birleşik Devletleri Hazine Bakanlığı’nı hedef alan, devlet destekli büyük bir siber olay, üçüncü taraf bir teknik destek tedarikçisiyle yapılan uzlaşmanın bir sonucu olarak başlamış gibi görünüyor ve istikrarsız güvenlik konusunda bir uyarı görevi görüyor. ve BT firmaları ve onların müşterileri için teknoloji tedarik zincirlerinin savunmasız doğası.
Siber saldırının, adı açıklanmayan, Çin destekli bir gelişmiş kalıcı tehdit (APT) aktörünün işi olduğu iddia ediliyor. Washington Postdiğer şeylerin yanı sıra, bireylere, kuruluşlara ve ülkelere karşı yabancı yaptırımları yöneten ve uygulayan Hazine’nin bir departmanı olan Yabancı Varlıklar Kontrol Ofisi’ni (OFAC) hedef aldı.
OFAC, kötü niyetli siber aktörlere karşı yaptırımlar ve uygulama eylemlerine dahil olması nedeniyle (finansal amaçlı fidye yazılımı çetelerine karşı çok uluslu operasyonlarda önemli bir rol oynamıştır) tehdit aktörleri için çok açık bir hedef oluşturmaktadır.
Bankacılık, Konut ve Kentsel İşler Komitesinde yer alan senatörler Sherrod Brown ve Tim Scott’a yazılan bir mektupta – bir kopyası incelendi Bilgisayar Haftalık – Hazine bakanlığının yönetimden sorumlu yardımcısı Aditi Hardikar, üçüncü taraf bir yazılım hizmetleri sağlayıcısı tarafından bakanlığa 8 Aralık 2024’te güvenliğinin ihlal edildiğine dair bilgi verildiğini doğruladı.
Söz konusu kuruluş BeyondTrust, APT’nin bulut tabanlı uzaktan teknik destek hizmetini güvence altına almak için kullandığı bir anahtara erişim kazandığını söyledi.
Hardikar, “Çalınan anahtara erişim sayesinde tehdit aktörü, hizmetin güvenliğini geçersiz kılabildi, belirli Hazine DO kullanıcı iş istasyonlarına uzaktan erişebildi ve bu kullanıcılar tarafından tutulan bazı sınıflandırılmamış belgelere erişebildi” diye yazdı.
“Hazine, olayı tam olarak karakterize etmek ve genel etkisini belirlemek için Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI), İstihbarat Topluluğu ve üçüncü taraf adli tıp araştırmacılarıyla birlikte çalışıyor.
“Mevcut göstergelere göre olay, Çin devleti destekli bir APT aktörüne atfedildi. Güvenliği ihlal edilen BeyondTrust hizmeti çevrimdışına alındı ve şu anda tehdit aktörünün Hazine bilgilerine erişmeye devam ettiğini gösteren hiçbir kanıt yok” diye yazdı Hardikar.
Çinli yetkililer Amerikalıların iddialarını yalanladı ve Pekin’in Washington DC’deki büyükelçiliği sözcüsü bunları “mantıksız” ve “karalama kampanyasının” parçası olarak nitelendirdi.
BeyondTrust güvenlik açıkları
Olayın merkezinde yer alan teknoloji firması BeyondTrust, kökleri 1980’lerin ortalarına kadar uzanan ABD merkezli bir tedarikçidir. Ayrıcalıklı kimlik yönetimi ve ayrıcalıklı erişim yönetimi (PIM/PAM), ayrıcalıklı uzaktan erişim ve güvenlik açığı yönetimi hizmetlerinde uzmanlaşmıştır. Axians ve ServiceNow gibi teknoloji firmaları da dahil olmak üzere 100 ülkede 20.000’den fazla müşterisi olduğunu iddia ediyor.
Aynı zamanda, Birleşik Krallık’taki bir dizi NHS kurumu da dahil olmak üzere yerel yönetim, sağlık hizmetleri ve kamu hizmetlerinde çok sayıda müşterisi bulunan kamu sektöründe de özellikle iyi bir şekilde kullanılmaktadır.
BeyondTrust, web sitesinde yayınlanan bir açıklamada, bir uygulama programlama arayüzü (API) anahtarının ele geçirilmesinden kaynaklanan, “sınırlı sayıda” Uzaktan Destek SaaS müşterisini etkileyen bir olay tespit ettiğini söyledi. 5 Aralık 2024’te uzaktan destek SaaS teknik sorununa ilişkin temel neden analizini tamamladıktan sonra anahtarı derhal iptal etti ve Hazine Müsteşarlığı da dahil olmak üzere etkilenen kullanıcıları bilgilendirmeye başladı.
O zamandan bu yana Uzaktan Destek ve Ayrıcalıklı Uzaktan Erişim ürün gruplarında biri kritik önemde, diğeri orta önemde olmak üzere iki özel güvenlik açığı tespit edildi. Bunlara sırasıyla CVE-2024-12356 ve CVE-2024-12686 isimleri verilmiştir. Her iki sürüme de 18 Aralık 2024 itibarıyla hem bulutta barındırılan hem de şirket içi sürümler için yama uygulandı.
BeyondTrust’a göre sorunların her ikisi de, başarıyla yararlanıldığında kimliği doğrulanmamış uzak bir saldırganın site kullanıcısı bağlamında işletim sistemi komutlarını yürütmesine olanak tanıyan komut ekleme güvenlik açıklarından kaynaklanıyor.
BeyondTrust sözcüsü şunları söyledi: Bilgisayar Haftalık: “BeyondTrust daha önce Aralık 2024’ün başlarında Uzaktan Destek ürününün dahil olduğu bir güvenlik olayını tespit etmiş ve bu olayı ele almak için önlemler almıştı. BeyondTrust, projeye katılan sınırlı sayıda müşteriyi bilgilendirdi ve o tarihten bu yana bu müşterileri desteklemek için çalışıyor. Başka hiçbir BeyondTrust ürünü dahil edilmemiştir. Kolluk kuvvetleri bilgilendirildi ve BeyondTrust soruşturma çabalarını destekliyor.”
Güvenlik tedarik zinciri 2025’te hâlâ büyük bir sorun
Bu olayla birlikte BeyondTrust, ne yazık ki, son kullanıcıları güvende tutmak için tasarlanan ürün ve çözümlerden ödün verilmesinin ardından kendilerini manşetlerde bulan uzun bir siber güvenlik uzmanları serisinin en yeni üyesi haline geldi.
İhlal ve saldırı simülasyon araçları tedarikçisi SafeBreach’in CISO’su Avishai Avivi, ihlalin muhtemelen nasıl ortaya çıktığını açıkladı. “BeyondTrust, tekdüze bir şekilde, BT destek personelinin son kullanıcılara uzaktan destek sağlaması için güvenli bir yöntem sağlıyor” dedi. “Bu yöntem, destek personeli ile son kullanıcı arasında güvenilir bir bağlantı kurulmasını içeriyor.
“Bu güvenilir bağlantı, geleneksel çevre güvenlik kontrollerini aşıyor ve destek personeline son kullanıcı iş istasyonu üzerinde tam erişim ve kontrol sağlıyor. Destek personeli içeri girdikten sonra belgeleri bu güvenli kanal üzerinden geri gönderebilir veya son kullanıcı kılığına girerek aynı belgeleri doğrudan gönderebilir.
“ABD Hazine ağını koruyan güvenlik kontrollerinin kötü niyetli bir şeyin olduğunu bilmelerinin hiçbir yolu yok, çünkü güvenilir bağlantıya güveniliyor.
“ABD Hazinesinin bunu önlemek için yapabileceği bir şey var mıydı? Üzücü cevap evet gibi görünüyor. Yine BeyondTrust’un sağladığı teknik bilgilere atıfta bulunarak, ABD Hazinesi’ndeki sistem yöneticileri veya destek hizmetleri sağlaması muhtemel satıcı, destek temsilcilerinin bağlanabileceği güvenilir konumları yapılandırmada başarısız oldu. Biz buna IP beyaz listesi diyoruz [allowlisting].
“Bu başarısızlık, bu tür herhangi bir hizmet için kritik bir risktir [and] aynı sorun 2023 ve 2024’te kayda değer ihlallere yol açtı. Bu gözetim nedeniyle tüm hizmet sağlayıcılarını, özellikle de güvenilir ICT sağlayıcılarını, CISA Varsayılan Olarak Güvenli kılavuzunu takip etmeye çağırıyoruz.”