Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Microsoft, Eskalasyon Kusurundan Yararlanan Kampanyanın Eylül’de Başladığını Söyledi
Akşaya Asokan (asokan_akshaya) •
11 Ekim 2023
Microsoft araştırmacıları, Çin ulus devletine ait bir bilgisayar korsanlığı grubunun, ilk kez Eylül ortasında tespit edilen bir kampanyanın parçası olarak Atlassian’ın Confluence Veri Merkezi ve Sunucu ürünlerindeki sıfır gün kusurundan yararlandığını söylüyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
bir uyarı Salı günü Microsoft Tehdit İstihbaratı, kampanyayı bilgisayar devinin Storm-0062 olarak adlandırdığı Çin ulus-devlet hack grubuna bağladı. Grup aynı zamanda DarkShadow ve Oro0lxy olarak da biliniyor.
Uyarıda, bilgisayar korsanlarının Confluence yönetici hesapları oluşturmak için CVE-2023-22515 olarak izlenen, artık yamalı olan kusuru kullandığı belirtiliyor. Kusurun CVSS puanı 10 üzerinden 10’dur.
Atlassian bu ayın başlarında sıfır gün kullanılarak “bir avuç müşterinin” hack’te hedef alındığını kabul etti (bkz: Saldırganlar Atlassian Confluence Yazılımını Kullanıyor: Zero-Day).
Şirket o dönemde “Atlassian Cloud siteleri bu güvenlik açığından etkilenmemektedir” dedi ve atlassian.net alanı üzerinden erişilebilen 8.0.0’dan önceki bulut sürümlerinin etkilenmediğini ekledi.
Atlassian, saldırıyı bir ulus devlet grubuna bağladı ancak daha fazla ayrıntı açıklamadı.
Storm-0062’nin ayrıntıları azdır. Bilgisayar devi, bilgisayar korsanlığının Atlassian’a yönelik saldırılarının 14 Eylül’de başladığını ve araştırmacıların kampanyaya bağlı en az dört kötü amaçlı alan adını takip ettiğini söyledi.
Birden fazla siber güvenlik şirketi, Çinli bilgisayar korsanlarının artan karmaşıklığına dikkat çekti; bu, hem Microsoft hem de CrowdStrike’ın, güvenlik açığı raporlarının Pekin’e zorunlu olarak açıklanmasını gerektiren bir yasaya atfettiği bir gelişmedir. CrowdStrike Başkan Yardımcısı Adam Meyers, bu yılın başlarında Information Security Media Group’a verdiği demeçte, açıklama zorunluluğunun “Çin’deki güvenlik açığı araştırmalarını etkili bir şekilde kitle kaynak yoluyla kullanmak olduğunu” söyledi (bkz: Çin Devlet Hackerları Yeteneklerini Yükseltiyor: CrowdStrike).
Atlassian yorum talebine hemen yanıt vermedi. Şirket, ilk güncellemesinde “Atlassian bulut sunucularınızın bu güvenlik açığından etkilenip etkilenmediğini doğrulayamıyor” dedi.
Her ne kadar uzlaşmanın kanıtları arasında yeni Confluence yöneticilerinin eklenmesi, uygulama içinde yeni hesapların oluşturulması ve harici kaynaklardan ağ erişimi talebi yer alıyor.