Yakın zamanda keşfedilen Çin devlet destekli gelişmiş kalıcı tehdit (APT) “Volt Typhoon”, diğer adıyla “Vanguard Panda”, Zoho’nun tek oturum açma ve parola yönetimi çözümü olan ManageEngine ADSelfService Plus’taki kritik bir güvenlik açığı kullanılarak tespit edildi. Ve şimdi daha önce açıklanmayan pek çok gizlilik mekanizmasına sahip.
Volt Typhoon, Microsoft ve çeşitli devlet kurumlarının ortak raporları sayesinde geçen ay gündeme geldi. Raporlar, grubun Pasifik bölgesindeki kritik altyapıya bulaştığını ve Tayvan ile bir çatışma durumunda gelecekte olası bir sınır noktası olarak kullanılacağını vurguladı.
Raporlar, ilk izinsiz giriş için internete açık Fortinet FortiGuard cihazlarının kullanımı ve güvenliği ihlal edilmiş yönlendiriciler, güvenlik duvarları ve VPN donanımı aracılığıyla ağ etkinliğini gizleme dahil olmak üzere Volt Typhoon’un bir dizi taktik, teknik ve prosedürünü (TTP’ler) ayrıntılı olarak açıkladı.
Ancak CrowdStrike tarafından yakın tarihli bir blog gönderisinde özetlenen yeni bir kampanya, Volt Typhoon’un taktiklerini kapsamlı keşif yoluyla toplanan verilere dayalı olarak özelleştirme yeteneği ile esnek olduğunu gösteriyor. Bu durumda grup, izinsiz giriş için ManageEngine’deki CVE-2021-40539’u kullandı, ardından Web kabuğunu meşru bir süreç olarak maskeledi ve bu sırada günlükleri sildi.
CrowdStrike’ın küresel profesyonel hizmetler sorumlusu Tom Etheridge, kurbanın konumu veya profiliyle ilgili ayrıntıları açıklamayan, daha önce bilinmeyen bu taktiklerin “kurbanın ortamına uzun bir süre boyunca yaygın erişim” sağladığını söylüyor. “Müşterinin sahip olduğu altyapıya aşinaydılar ve izlerini temizleme konusunda gayretli davrandılar.”
Volt Typhoon’un Gelişen Siber Taktikleri
CrowdStrike araştırmacılarının örümcek duyuları, kimliği belirsiz müşterisinin ağından şüpheli etkinlik yayılıyor gibi göründüğünde karıncalandı.
O zamanlar tanınmayan varlık, kapsamlı bilgi toplama – ağ bağlantısını test etme, süreçleri listeleme, kullanıcı bilgilerini toplama ve çok daha fazlasını gerçekleştiriyor gibi görünüyordu. “Komutlarının hızlı bir şekilde art arda gelmesinin yanı sıra pinglenecek belirli dahili ana bilgisayar adlarına ve IP’lere, bağlanacak uzak paylaşımlara ve kullanılacak düz metin kimlik bilgilerine sahip olması nedeniyle hedef ortama aşina olduğunu gösterdi. [Windows Management Instrumentation],” araştırmacılar blog gönderilerinde yazdı.
Biraz araştırdıktan sonra, saldırganın – Volt Typhoon – altı ay önce ağa bir web kabuğu yerleştirdiği ortaya çıktı. Nasıl bu kadar uzun süre fark edilmeden gitti?
Hikaye, ADSelfService Plus’ta kritik (9,8 CVSS puanı) bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2021-40539 ile başladı. ManageEngine yazılımı ve özellikle ADSelfService Plus, son yıllarda birkaç kez kritik bir şekilde ifşa edildi (CVE-2021-40539, en son kritik 9.8 CVSS RCE güvenlik açığı bile değil — bu başlık CVE-2022-47966’ya gidiyor) .
Saldırganlar ilk erişimle birlikte bir Web kabuğu bırakabildiler. Araştırmacıların gözlemlediği gibi, “web kabuğu, başlığını ManageEngine ADSelfService Plus olarak ayarlayarak ve meşru kurumsal yardım masası yazılımına bağlantılar ekleyerek, meşru bir ManageEngine ADSelfService Plus dosyası gibi görünmeye çalışıyordu.”
Grup, yönetici kimlik bilgilerini sifonlamaya ve ağda yatay olarak hareket etmeye devam etti. Araştırmacılar, “birden fazla günlük dosyasını temizlemek ve fazla dosyaları diskten kaldırmak için kapsamlı uzunluklara” giderek, bu sefer izlerini kapatmak için daha kaba, manuel bir yaklaşım aldı.
Kanıtların tahrif edilmesi kapsamlıydı ve neredeyse tüm kötü niyetli faaliyet izlerini ortadan kaldırıyordu. Ancak, saldırganlar hedeflenen Apache Tomcat Web sunucusundan Java kaynak kodunu ve derlenmiş Class dosyalarını silmeyi unutmuşlardır.
Etheridge, “Blogda bildirilen o hafif kayma olmasaydı, muhtemelen fark edilmeyeceklerdi,” diyor.
Volt Typhoon Siber Saldırılarına Karşı Nasıl Savunma Yapılır?
Şimdiye kadar Volt Typhoon’un iletişim, imalat, hizmet, ulaşım, inşaat, denizcilik, hükümet, bilgi teknolojisi ve eğitim sektörlerindeki kuruluşları hedef aldığı gözlemlendi. Bununla birlikte, Amerika Birleşik Devletleri’nde ve Çin’e karşı Tayvan’ın Amerikan savunmasının stratejik bir noktası olan Guam’da kritik altyapı aramak için en dikkate değer olanı.
Etheridge’e göre, bu vaka incelemesindeki aynı ilkelerden bazıları, kritik bir altyapı ihlaline eşit şekilde uygulanabilir. “Operasyonel teknoloji (OT) tipi ortamlar, tipik olarak, tehdit aktörü altyapıya geçmeden önce BT altyapısı aracılığıyla hedeflenir” diye belirtiyor. “Uyguladıklarını gördüğümüz taktikler kesinlikle kritik bir altyapı perspektifinden endişe verici olacaktır.”
Etheridge, Volt Typhoon tehdidini karşılamak için önemli noktalardan birinin kimlik yönetimi olduğunu söylüyor.
“Kimlik, birçok kuruluş için büyük bir zorluktur. Çalınan kimlik bilgileriyle ilgili reklamlarda büyük bir artış gördük ve çalınan kimlik bilgileri, her gün yanıt verdiğimiz olaylarda oldukça yaygın bir şekilde kullanılıyor” diyor. Bu durumda, çalınan kimlik bilgilerinden yararlanabilmek, Volt Typhoon’un aylarca radar altında kalmasının anahtarıydı.
Etheridge ayrıca tehdit avcılığının ve olay müdahalesinin önemini vurguluyor. Ulus-devlet tehdit aktörlerini tamamen durdurmanın imkansız olduğu herkesin bildiği gibi, ancak “çevrenizde bir şeyler olup bittiğini anlayabilirlerse ve alabileceklerse, kuruluşlar olası en kötü sonuçları hafifletmek için daha hazırlıklı olacaklar” diyor. düzeltici eylem hızla.”