ABD ve Japon kolluk kuvvetleri ve siber güvenlik kurumları, Çinli ‘BlackTech’ bilgisayar korsanlarının kurumsal ağlara erişim için özel arka kapılar kurmak amacıyla ağ cihazlarını ihlal ettiği konusunda uyarıyor.
Ortak rapor FBI, NSA, CISA ve Japon NISC (siber güvenlik) ve NPA’dan (polis) geliyor ve devlet destekli bilgisayar korsanlığı grubunun şirket genel merkezlerinin ağlarına dönmek için uluslararası yan kuruluşlardaki ağ cihazlarını ihlal ettiğini açıklıyor.
BlackTech (diğer adıyla Palmerworm, Circuit Panda ve Radio Panda), en az 2010’dan bu yana Japon, Tayvanlı ve Hong Kong merkezli kuruluşlara siber casusluk saldırıları gerçekleştirmesiyle tanınan, devlet destekli bir Çin APT grubudur (gelişmiş kalıcı tehdit).
BlackTech’in hedeflediği sektörler arasında hükümet, sanayi, teknoloji, medya, elektronik, telekomünikasyon ve savunma sanayi yer alıyor.
Ağ cihazlarında özel kötü amaçlı yazılım
FBI bildirimi, BlackTech bilgisayar korsanlarının arka kapı ağ cihazlarına yönelik özel, düzenli olarak güncellenen kötü amaçlı yazılım kullandığı ve bunların kalıcılık, ağlara ilk erişim ve trafiği saldırgan tarafından kontrol edilen sunuculara yönlendirerek veri çalmak için kullanıldığı konusunda uyarıyor.
Öneri, özel kötü amaçlı yazılımların bazen çalıntı kod imzalama sertifikaları kullanılarak imzalandığı ve bu durumun güvenlik yazılımının tespitini zorlaştırdığı konusunda uyarıyor.
Saldırganlar, çalınan yönetici kimlik bilgilerinden yararlanarak çok çeşitli yönlendirici markalarını, modellerini ve sürümlerini tehlikeye atıyor, kalıcılık sağlıyor ve ağ üzerinde yatay olarak hareket ediyor.
Ortak siber güvenlik danışma belgesinde açıklandığı gibi:
“Özellikle, hedef ağda ilk tutunma noktasını elde ettikten ve ağın uç cihazlarına yönetici erişimi sağladıktan sonra BlackTech siber aktörleri, ağdaki kalıcılığı daha da korumak için uç cihazlardaki etkinliklerini gizlemek amacıyla sıklıkla aygıt yazılımını değiştirir. BlackTech aktörleri, şube yönlendiricilerini (genellikle şirket genel merkezine bağlanmak için uzak şube ofislerinde kullanılan daha küçük cihazlar) hedef alır ve ardından hedeflenen kurumsal ağ içindeki şube yönlendiricileri arasındaki güvenilir ilişkiyi kötüye kullanır. trafiği proxy olarak kullanmak, kurumsal ağ trafiğine uyum sağlamak ve aynı kurumsal ağdaki diğer kurbanlara yönlendirmek için altyapılarının bir parçası olarak yönlendiriciler kullanıyor.”
Değiştirilen ürün yazılımı, tehdit aktörlerinin yapılandırma değişikliklerini ve yürütülen komutların geçmişini gizlemesine olanak tanır. Ayrıca, kötü niyetli işlemlere aktif olarak katılırken, güvenliği ihlal edilmiş bir cihazda günlüğe kaydetmeyi devre dışı bırakmalarına da olanak tanır.
Araştırmacılar, özellikle Cisco yönlendiricileri için, saldırganların cihazlara gönderilen özel hazırlanmış TCP veya UDP paketlerini kullanarak SSH arka kapısını etkinleştirip devre dışı bıraktıklarını gözlemledi. Bu yöntem, saldırganların tespitten kaçmasına ve arka kapıyı yalnızca gerektiğinde etkinleştirmesine olanak tanır.
Tehdit aktörlerinin, Cisco ROM Monitörünün imza doğrulama işlevlerini atlamak için Cisco cihazlarının belleğine yama uyguladığı da gözlemlendi. Bu, tehdit aktörlerinin, cihaza kayıtsız erişim sağlayan arka kapılarla önceden yüklenmiş olarak gelen değiştirilmiş ürün yazılımını yüklemesine olanak tanır.
Cisco yönlendiricilerinin ihlali durumunda, bilgisayar korsanları görev otomasyonu için kullanılan EEM politikalarını da değiştirerek meşru komutlardan belirli dizeleri kaldırarak bunların yürütülmesini engelliyor ve adli analizleri engelliyor.
Özel kötü amaçlı yazılım oluşturmak BlackTech APT grubu için yeni değil; NTT ve Unit 42 tarafından hazırlanan iki 2021 raporu, tehdit aktörünün bu taktiği kullandığını vurguluyor.
Daha eski bir Trend Micro raporunda, savunmasız yönlendiricilerin C2 sunucuları olarak kullanılması amacıyla tehlikeye atılma taktiğinden özellikle bahsediliyordu.
Savunma önerileri
Öneri, sistem yöneticilerine, önyükleyici ve ürün yazılımı görüntülerinin izinsiz indirilmesini ve değiştirilmiş ürün yazılımının yönlendiricilere yüklenmesinin bir parçası olabilecek olağandışı cihaz yeniden başlatmalarını izlemelerini tavsiye eder.
Yönlendiricide gözlemlenen SSH trafiğine de yüksek şüpheyle yaklaşılmalıdır.
Aşağıdaki hafifletme uygulamaları önerilir:
- İstenmeyen harici bağlantıları önlemek için “aktarım çıkışı yok” komutunu kullanın.
- Cihazlardaki gelen/giden trafiği, özellikle yetkisiz erişimi denetleyin ve yönetim sistemlerini VLAN’larla ayırın.
- Ağ yöneticileri için yalnızca belirli IP adreslerine izin verin ve oturum açma girişimlerini izleyin.
- Gelişmiş güvenli önyükleme özelliğine sahip cihazlara geçiş yapın ve güncel olmayan ekipmanların güncellenmesine öncelik verin.
- Bir ihlalden şüphelenildiğinde tüm şifreleri ve anahtarları değiştirmek için derhal harekete geçin.
- Beklenmeyen yeniden başlatmalar veya yapılandırma değişiklikleri gibi anormallikler için günlükleri inceleyin.
- Yetkisiz değişiklikleri tespit etmek için Ağ Cihazı Bütünlüğü (NDI) Metodolojisini kullanın.
- Önyükleme kayıtlarını ve ürün yazılımını güvenilir sürümlerle düzenli olarak karşılaştırın.
Cisco ayrıca konuyla ilgili bir güvenlik tavsiyesi yayınladı ve BlackTech’in kötü amaçlı yazılımını imzalamak için ürünlerindeki bir güvenlik açığından veya çalıntı bir sertifikadan yararlandığına dair hiçbir gösterge olmadığını vurguladı.
Ayrıca Cisco, güvenlik önlemlerini atlamak için ürün yazılımının sürümünün düşürülmesini içeren saldırı yönteminin yalnızca eski, eski ürünler için geçerli olduğunu belirtiyor.
Ağ cihazlarının hedeflenmesinde geçtiğimiz yıl artış görüldü; Çin’e bağlı tehdit aktörleri ayrıca özel kötü amaçlı yazılımlarla Fortinet, TP-Link ve SonicWall ağ cihazlarını da hedef alıyor.
ABD, İngiltere ve Cisco, Nisan ayında, verileri çalmak ve dahili cihazlara yönelmek için özel kötü amaçlı yazılım kullanan Rus APT28 (Fancy Bear, STRONTIUM) devlet destekli bilgisayar korsanlığı grubunun Cisco iOS cihazlarına yönelik saldırıları konusunda uyarıda bulundu.
Uç ağ cihazları genellikle EDR (Uç Nokta Tespit ve Yanıt) güvenlik çözümlerini desteklemediğinden, tehdit aktörlerinin veri hırsızlığı ve bir ağa ilk erişim için kullanacakları ana hedeflerdir.
Mandiant CTO Charles Carmakal Mayıs ayında BleepingComputer’a verdiği demeçte, “Çin nexus siber casusluğunun EDR çözümlerini desteklemeyen ağ cihazları, IOT cihazları vb. üzerinde sürekli olarak odaklandığı bir tema var.” dedi.
Bu nedenle, ağ yöneticilerinin mevcut tüm güvenlik düzeltme eklerini kullanılabilir oldukları anda uç cihazlara yüklemeleri ve yönetim konsollarını kamuya açık hale getirmemeleri gerekir.