Güvenlik duvarları gibi ağ güvenliği cihazları bilgisayar korsanlarını dışarıda tutmayı amaçlamaktadır. Bunun yerine, dijital davetsiz misafirler, cihazların koruması gereken sistemleri yağmalamalarına olanak tanıyan zayıf halka olarak onları giderek daha fazla hedef alıyor. Geçtiğimiz aylarda gerçekleşen bir hackleme kampanyasında Cisco, güvenlik duvarlarının, dünya çapında birçok hükümet ağına sızan gelişmiş bilgisayar korsanları için bir köprübaşı görevi gördüğünü açıkladı.
Çarşamba günü Cisco, güvenlik duvarını ve VPN’yi diğer güvenlik özellikleriyle birleştiren Uyarlanabilir Güvenlik Cihazlarının, hükümet hedeflerini tehlikeye atmak için ağ devinin donanımındaki iki sıfır gün güvenlik açığından yararlanan devlet destekli casuslar tarafından hedef alındığı konusunda uyardı. küresel çapta bir hackleme kampanyasında ArcaneDoor adını veriyor.
Cisco’nun güvenlik bölümü Talos’un UAT4356 adını verdiği ve soruşturmaya katkıda bulunan Microsoft araştırmacılarının STORM-1849 adını verdiği izinsiz girişlerin arkasındaki bilgisayar korsanlarının, şirketlerin takip ettiği daha önceki herhangi bir izinsiz giriş olayıyla açık bir şekilde bağlantısı kurulamadı. Ancak Cisco, grubun casusluk odağına ve gelişmişliğine dayanarak, bilgisayar korsanlığının devlet destekli gibi göründüğünü söylüyor.
Cisco’nun Talos araştırmacılarının bir blog yazısında şöyle yazıyor: “Bu aktör, casusluğa net bir şekilde odaklandığını ve hedefledikleri cihazlar hakkında derinlemesine bilgi sahibi olduğunu gösteren özel araçlardan yararlandı; bu, devlet destekli sofistike bir aktörün ayırt edici özellikleridir.”
Cisco, izinsiz girişlerden hangi ülkenin sorumlu olduğuna inandığını söylemeyi reddetti ancak soruşturmaya aşina olan kaynaklar, WIRED’e kampanyanın Çin’in devlet çıkarlarıyla uyumlu göründüğünü söyledi.
Cisco, bilgisayar korsanlığı kampanyasının Kasım 2023 gibi erken bir tarihte başladığını ve izinsiz girişlerin çoğunluğunun, ilk kurbanın öğrenildiği bu yılın Aralık ayı ile Ocak başı arasında gerçekleştiğini söylüyor. Şirketin raporunda, “Sonraki soruşturmada, tamamı küresel çapta hükümet ağlarını ilgilendiren başka kurbanlar da tespit edildi” deniyor.
Bu izinsiz girişlerde bilgisayar korsanları, Cisco’nun ASA ürünlerinde yeni keşfedilen iki güvenlik açığından yararlandı. Line Dancer adını verdiği bir tanesi, bilgisayar korsanlarının ağ cihazlarının hafızasında kendi kötü amaçlı kodlarını çalıştırmasına izin vererek, ağ trafiğini gözetleme ve veri çalma yeteneği de dahil olmak üzere cihazlara komutlar vermelerine olanak tanıyor. Cisco’nun Line Runner adını verdiği ikinci bir güvenlik açığı, bilgisayar korsanlarının kötü amaçlı yazılımlarının, yeniden başlatıldıklarında veya güncellendiklerinde bile hedef cihazlara erişimini sürdürmesine olanak tanıyacak.
Cisco, her iki güvenlik açığını da düzeltmek için yazılım güncellemeleri yayınladı ve müşterilerin hedef olup olmadıklarını tespit etmeye yönelik diğer önerilerle birlikte bunları hemen uygulamalarını tavsiye ediyor.
ArcaneDoor hackleme kampanyası, bazen e-posta sunucuları, güvenlik duvarları ve VPN’ler gibi “uç” cihazlar olarak da adlandırılan, genellikle güvenlik sağlamayı amaçlayan cihazlar olan ağ çevre uygulamalarını hedef alan en son izinsiz giriş serisini temsil eder; bu cihazların güvenlik açıkları, bilgisayar korsanlarının içeride bir hazırlık noktası elde etmesine olanak tanır. bir kurbanın ağı. Cisco’nun Talos araştırmacıları, raporlarında, son yıllarda uç cihazlar aracılığıyla hedef alındığını gördükleri son derece hassas ağlara atıfta bulunarak, bu daha geniş eğilim konusunda uyarıda bulunuyor. “Bu cihazlar üzerinde yer kazanmak, bir aktörün doğrudan bir kuruluşa dönmesine, trafiği yeniden yönlendirmesine veya değiştirmesine ve ağ iletişimini izlemesine olanak tanır” diye yazıyorlar. “Son iki yılda, bu cihazların telekomünikasyon sağlayıcıları ve enerji sektörü kuruluşları gibi alanlarda (birçok yabancı hükümetin ilgisini çekebilecek stratejik hedefler olan kritik altyapı kuruluşları) hedeflenmesinde çarpıcı ve sürekli bir artış gördük.”