Güvenlik araştırmacıları, devlete bağlı bir casusluk grubunun güvenilir bir ArcGIS eklentisini nasıl sessizce uzak bir kabuğa dönüştürdüğünü, erişimi bir yıldan fazla sürdürdüğünü ve hatta sistem yedeklemelerine nasıl bulaştığını ortaya çıkardı.
Bilgi güvenliği endüstrisi tarafından Flax Typhoon olarak takip edilen ve ReliaQuest tarafından devlet destekli tehdit aktörü olarak orta derecede güvenle tanımlanan grup, dahili bir sunucuya kötü amaçlı kod yerleştirmeden önce ilk olarak halka açık bir ArcGIS portalı yönetici hesabının güvenliğini ihlal etti.
ReliaQuest’in hedeflenen müşterisinden elde edilen kanıtlar, saldırganın yönetici şifresini “leet” (1337) değişkenine sıfırladığını gösterdi; bu da onların hesaba zaten belirli bir düzeyde erişime sahip olduklarını gösteriyor.
Saldırganlar içeri girdikten sonra meşru bir ArcGIS sunucu nesnesi uzantısını (SOE) değiştirerek Java kodunu değiştirerek base64 kodlu talimatları kabul eden ve bunları ana makinede yürüten gizli bir komut arayüzü oluşturdu.
Saldırganlar, yeni dosyaları bırakmak yerine, sistemde zaten yüklü olan onaylanmış bir bileşeni değiştirdi.
Bu, saldırganların tanınabilir kötü amaçlı yazılımları dağıtmadan çalışmasına ve bilinen tehdit imzalarına dayanan tarayıcılardan kaçmasına olanak tanıdı.
Güvenliği ihlal edilen SOE aktif hale geldiğinde, Flax Typhoon bunu ağın haritasını çıkarmak ve uzun vadeli kalıcılık sağlamak için kullandı ve rakip davetsiz misafirleri sabit kodlu bir erişim anahtarıyla kilitledi.
Saldırganlar ayrıca Windows System32 dizinine yeniden adlandırılmış bir SoftEther sanal özel ağ (VPN) ikili dosyası yükledi, bunu bir hizmet olarak kaydettirdi ve sıradan trafiğe karışan şifreli bir tünel üzerinden kontrolü sürdürdü.
VPN’yi 443 numaralı bağlantı noktasında HTTPS protokolünü kullanacak şekilde yapılandırdılar ve Ethernet paketlerini ağ güvenlik cihazlarının nadiren engellediği uyumlu HTTPS trafiğine kapsüllediler.
Ayrıca, SOE meşru bir ArcGIS eklentisi olarak kabul edildiğinden, arka kapı sonraki sistem yedeklemelerinde de ortaya çıktı; bu da bu yedeklerden geri yükleme yapılmasının tehdidi yeniden ortaya çıkardığı anlamına geliyordu.
ArcGIS, Amerikan şirketi Environmental Systems Research Institute (Esri) tarafından geliştirilen bir coğrafi bilgi sistemidir.
Afet kurtarma, şehir planlama ve acil durum yönetimi gibi kritik işlevlere yönelik mekansal verileri görselleştirmek, analiz etmek ve yönetmek için kullanılır.
Tek bir ArcGIS güvenliği ihlali, hassas altyapı verilerini, acil durum müdahale yeteneklerini ve birbirine bağlı operasyonel teknoloji ağlarına giden yolları ortaya çıkarabilir.
Platformun altyapıdaki güvenlik açıklarını haritalamada kullanılması, onu özellikle gelecekteki saldırılar için önceden konumlandırmaya odaklanan devlet destekli casusluk operasyonları için değerli kılıyor.
Esri, ReliaQuest’e bu yeni tekniğin, kötü niyetli bir KİT’in bu şekilde silahlandırıldığı belgelenen ilk vaka olduğunu doğruladı.
ReliaQuest, sunucu bileşenlerinden gelen beklenmeyen ağ etkinliklerinin izlenmesinin yanı sıra davranışsal izlemenin saldırıyı daha erken açığa çıkarabileceğini öne sürdü.
Savunmacıların ayrıca yalnızca dosya adlarına veya dijital imzalara güvenmeleri değil, güvenilir bileşenlerin kriptografik bütünlüğünü de doğrulamaları gerekir.
Sessiz, sabırlı bir tehdit aktörü
Flax Typhoon, en azından 2021’in ortasından beri faaliyet gösteriyor ve öncelikle Tayvan devlet kurumlarını, eğitim kurumlarını, kritik imalat firmalarını ve bilgi teknolojisi kuruluşlarını hedef alıyor.
Microsoft güvenlik araştırması, grubun Güneydoğu Asya, Kuzey Amerika ve Afrika’daki kurbanları da tehlikeye attığını gösteriyor.
Grubun tercih ettiği araçlar arasında China Chopper web kabuğu, Metasploit, Juicy Potato ayrıcalık yükseltme aracı ve kimlik bilgisi dökümü için Mimikatz yer alıyor.
Ancak, tespit edilmekten kaçınmak için meşru sistem araçlarını kullanarak ağırlıklı olarak arazide yaşama tekniklerine güveniyorlar.
İlk erişim genellikle VPN, web, Java veya SQL uygulamaları çalıştıran, halka açık sunuculardaki bilinen güvenlik açıklarından yararlanmayı içerir.
Girişi kazandıktan sonra Flax Typhoon, Windows erişilebilirlik özelliklerini içeren bir kalıcılık tekniği kullanır.
Saldırganlar, Uzak Masaüstü Protokolü (RDP) için Ağ Düzeyinde Kimlik Doğrulamayı devre dışı bıraktıktan sonra Yapışkan Anahtarlar ikili dosyasını değiştirmek için Windows Kayıt Defteri anahtarlarını değiştirdi.
Bu, kimlik doğrulamayı tamamen atlayarak Görev Yöneticisini sistem ayrıcalıklarıyla başlatmak için oturum açma ekranında Shift tuşuna beş kez basmasına olanak tanır.