Google Cloud’un Mandiant’ındaki siber güvenlik araştırmacıları, Barracuda E-posta Güvenliği Ağ Geçidi (ESG) cihazlarının sınırlı bir alt kümesinde bulunan sıfırıncı gün güvenlik açığından yararlanmayı, şu anda UNC4841 olarak adlandırdığı, daha önce izlenmeyen China-nexus tehdit aktörüne bağladı.
CVE-2023-2968, Mayıs 2023’te açıklandı, ancak muhtemelen Ekim 2022’den itibaren istismar edildi. Bu, 5.1.3.001 ila 9.2.0.006 sürüm numaralarına sahip sınırlı sayıda ESG cihazında bulunan, yükseltilmiş ayrıcalıklarla uzaktan kod yürütmeye (RCE) yol açan bir uzaktan komut ekleme güvenlik açığıdır. Açıklamadan bu yana, ne yazık ki Barracuda’nın yamasının sorunu tam olarak çözmediği ortaya çıktı ve bunun sonucunda, etkilenen donanım sahiplerine yeni bir donanım almaları tavsiye edildi.
Google Cloud Mandiant Consulting’in CTO’su Charles Carmakal, Çin kampanyasının geniş kapsamlı olduğunu söyledi.
Carmakal, “Bu, 2021’in başlarında Microsoft Exchange’in kitlesel sömürüsünden bu yana bir Çin-nexus tehdit aktörü tarafından yürütüldüğü bilinen en geniş siber casusluk kampanyasıdır” dedi.
“Barracuda örneğinde, tehdit aktörü yüzlerce kuruluşun e-posta güvenlik cihazlarını ele geçirdi. Kurbanların bir kısmı için, Çin hükümetini ilgilendiren meselelerle uğraşan önde gelen çalışanların e-postalarını çaldılar.” ekledi.
Mandiant’ın araştırma ekibine göre – bu görevde Austin Larsen, John Palmisano, Mathew Potaczek, John Wolfram, Nino Isakovic ve Matthew McWhirt’ten oluşuyordu – UNC4841, Çin hükümetinin istihbarat hedeflerini desteklemek için çalışan devlet destekli bir aktör.
Altyapısının, diğer Çinli casusluk aktörlerine atfedilenlerle birkaç örtüşme noktası içerdiği bulundu – ekip, bunun Pekin’in BT tedarikinde ortak bir yaklaşım izlediğini gösterdiğinden şüpheleniyor.
Mandiant tarafından kurbanların yaklaşık üçte birinin devlet kurumu olarak tanımlandığı, 16 ülkede kamu ve özel sektör kuruluşlarında ilgili verileri sızdırma amacıyla “agresif” bir şekilde hedeflediği gözlemlendi. UNC4841, özellikle ASEAN üyelerinin dışişleri bakanlıkları ile Hong Kong ve Tayvan’daki dış ticaret ofisleri ve akademik araştırma kuruluşlarıyla ilgileniyor gibi görünüyor.
Erişim elde etmek için kullandığı kimlik avı e-postaları, özel hazırlanmış TAR ekleri ile bağlanmıştı ve e-postaların kendileri genellikle genel e-posta konusu ve bazı durumlarda yer tutucu değerleri olan gövde metni yemleri içeriyordu. Mandiant, bunun muhtemelen e-postaların kurban sistemlerine genel spam olarak görünmesi ve güvenlik analistlerini bunları soruşturmaktan caydırmak için yapıldığını söyledi.
Yedi aylık kampanya süresince UNC4841, tümü bir dereceye kadar Barracuda ESG modülleri veya hizmetleri kılığına girmeye çalışan üç kod ailesi (Saltwater, Seaspy ve Seaside) kullandı.
Mandiant, bu eğilimin devam ettiğini ve Barracuda’nın ilk açıklamasından bu yana UNC4841’in, etkili yama uygulamalarını önlemek için Saltwater ve Seaspy’ın bazı bileşenlerini değiştirmek için yoğun bir şekilde çalıştığını söyledi. Ayrıca, Linux için Sandbar adlı, truva atına bulaştırılmış bir ağ dosya sistemi çekirdek modülü biçiminde yeni bir rootkit tanıttı. Ayrıca, Seaspray ve Skipjack olarak izlenen bazı meşru Barracuda Lua modüllerini de trojanlaştırdı.
“UNC4841, savunma çabalarına karşı son derece duyarlı olduğunu ve operasyonlarını sürdürmek için TTP’leri aktif olarak değiştirdiğini gösterdi. Mandiant, etkilenen Barracuda müşterilerinin bu aktörü aramaya ve etkilenen ağları araştırmaya devam etmesini şiddetle tavsiye ediyor” dedi.
“UNC4841’in, özellikle ağ savunucuları bu düşmana karşı harekete geçmeye devam ettikçe ve faaliyetleri bilgi güvenliği topluluğu tarafından daha fazla açığa çıktıkça, TTP’lerini değiştirmeye ve araç setini değiştirmeye devam edeceğini umuyoruz.
Şunu eklediler: “Mandiant, Barracuda’yı kararlı eylemleri, şeffaflığı ve CVE-2023-2868’in UNC4841 tarafından istismar edilmesinin ardından bilgi paylaşımı için övüyor. UNC4841 tarafından bu güvenlik açığından yararlanmaya yönelik yanıt ve müteakip soruşturma, Mandiant, Barracuda ve çok sayıda hükümet ve istihbarat ortağı arasında işbirliğini gerektirdi.
“Mandiant, ürüne özgü paha biçilmez bilgiler ve tüm ESG cihazları filosundan telemetri verileri sağlayan Barracuda mühendislerinin uzmanlığıyla sağlandı. Barracuda tarafından sağlanan veriler, Mandiant’ın tüm kapsamı anlamasına, geniş ölçekte araştırma yapmasına ve sonraki saldırgan etkinliğini izlemesine olanak sağladı.”
Bir Barracuda sözcüsü şunları söyledi: “8 Haziran 2023 itibariyle, dünya çapındaki aktif ESG cihazlarının yaklaşık %5’i, güvenlik açığı nedeniyle bilinen uzlaşma belirtilerine dair herhangi bir kanıt gösterdi. Bilinen IOC’lere dayalı ek yamaların konuşlandırılmasına rağmen, güvenliği ihlal edilmiş cihazların bir alt kümesinde devam eden kötü amaçlı yazılım etkinliğine dair kanıtlar görmeye devam ediyoruz. Bu nedenle, müşterilerin güvenliği ihlal edilmiş herhangi bir cihazı etkilenmemiş yeni bir cihazla değiştirmesini istiyoruz.
“Bu olaydan etkilenen müşterilerimizi bilgilendirdik. Bir ESG cihazı, kullanıcı arayüzünde bir bildirim görüntülüyorsa, ESG cihazının tehlikeye girdiğine dair göstergeler vardır. Herhangi bir bildirim görüntülenmezse, şu anda cihazın güvenliğinin ihlal edildiğine inanmak için hiçbir nedenimiz yoktur. Yine, ESG cihazlarının yalnızca bir alt kümesi bu olaydan etkilendi.
“Barracuda’nın rehberliği müşteriler için tutarlı olmaya devam ediyor. Çok fazla ihtiyat nedeniyle ve çevreleme stratejimizi ilerletmek için, etkilenen müşterilerin güvenliği ihlal edilmiş cihazlarını değiştirmelerini öneriyoruz.
“Bir müşteri, kullanıcı arabirimi bildirimini aldıysa veya bir Barracuda teknik destek temsilcisiyle iletişime geçtiyse, müşteri iletişime geçmelidir. [email protected] ESG cihazını değiştirmek için. Barracuda, etkilenen müşteriye yedek ürünü ücretsiz olarak sağlıyor” dediler.
“Barracuda, devam eden bu soruşturmada önde gelen küresel siber güvenlik uzmanları Mandiant ile yakın işbirliği içinde çalıştı ve çalışmaya devam ediyor.”