3. Parti Risk Yönetimi , Siber Suçlar , Siber Savaş / Ulus-Devlet Saldırıları
Tehdit Aktörü Hedefleri Seçmek İçin Ek Bir Arka Kapı Kullandı
David Perera (@daveperera) •
29 Ağustos 2023
Barracuda e-posta güvenlik cihazlarını hacklemek için sekiz aylık bir kampanyanın ardındaki Çinli casus bilgisayar korsanları, şirketin kampanyanın ardındaki sıfır gün kusurunu düzeltmek için harekete geçtiği dönemde yüksek öncelikli hedeflere odaklanmalarını yoğunlaştırdı.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Barracuda’nın Mayıs ayı sonlarında Çinli bilgisayar korsanlarına ESG ürün yelpazesine erişim sağlayan sıfır gün kusurunu kamuya açıklamasından sonraki yaklaşık bir hafta içinde, bilgisayar korsanlığı çılgınlığının arkasındaki tehdit aktörü, başta ABD’li ve yabancı olmak üzere bir dizi hedefi seçmek için ek bir arka kapı kullandı. Mandiant’tan araştırmacılar, devlet kurumları ve yüksek teknoloji şirketlerinin olduğunu söyledi.
Barracuda tarafından soruşturma için getirilen şirket, hacklemeyi “yüksek güvenle” Pekin’e bağladı ve kampanyayı daha önce bilinmeyen UNC4841 adlı Çinli bir tehdit aktörüne bağladı (bkz: Çinli Hackerlar Barracuda ESG Zero-Day’den Yararlanıyor).
Salı günü yapılan bir güncellemede şirket, halihazırda güvenliği ihlal edilmiş cihazların yüzde 2,64’ünün, bilgisayar korsanlarının “kurban daha önce güvenliği ihlal edilmiş bir cihazdan yedek yapılandırmaları geri yüklediğinde yeniden yayımlanan veya temiz cihazlara bulaşmasını sağlamak için tasarladığı” arka kapıyı aldığını söyledi. Mandiant yeni arka kapıya DepthCharge adını veriyor; ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı onu Denizaltı olarak takip ediyor.
Arka kapının açılması, Çin’in “iyileştirme çabalarını öngördüğünü ve hazırlıklı olduğunu” gösteriyor. Bu aynı zamanda UNC4841’in iyi finanse edildiğini ve kampanyasının hassas ağlara sızmak için fırsatçı olmaktan ziyade kasıtlı bir girişim olduğunu da ima ediyor. Barracuda ve Mandiant, bilgisayar korsanlarının tüm ESG müşterilerinin yalnızca %5’ini ele geçirdiğini söyledi.
Haziran başında Barracuda, konuşlandırılan yamanın karmaşık arka kapının kaldırılmasını garanti edemeyeceğini kabul etti ve tehlike belirtileri gösteren ESG cihazları sahiplerine, ekipmanı derhal değiştirmeleri çağrısında bulundu. FBI da aynı ricayı Çarşamba günü flaş bir alarmla yaptı (bkz: FBI, Saldırıya Uğrayan Barracuda ESG Cihazlarının Derhal Kaldırılması Çağrısında Bulundu).
Mandiant ayrıca Çinli bilgisayar korsanlarının Mayıs ayı sonlarında geçici bir ESG depolama konumundan kimlik bilgilerini toplayarak saldırıya uğrayan cihazlardan yanlamasına geçmeye çalıştıklarını gözlemlediğini söyledi. Birden fazla durumda, bilgisayar korsanları mesajların içeriğinde saklanan şifresiz metin kimlik bilgilerini tespit edebildiler ve bunları Outlook web postasında oturum açmak için kullanabildiler. Görünüşe göre bilgisayar korsanları, güvenliği ihlal edilmiş hesaplardan e-posta göndermediler, bunun nedeni muhtemelen “Barracuda sonrası iyileştirme amacıyla casusluk amacıyla bilgi toplamak amacıyla güvenliği ihlal edilmiş kullanıcıların posta kutularına erişimi sürdürmeye çalışıyor olmaları.”
UNC4841’in altyapısında, Mandiant’ın UNC2286 olarak takip ettiği Çinli tehdit aktörüyle bazı örtüşmeler var; kendisi de Kaspersky’nin GhostEmperor ve Eset’in FamousSparrow adlı tehdit aktörüyle örtüşüyor. Bağlantı muhtemelen “paylaşılan bir altyapı anonimleştirme hizmetinin veya aralarında ortak olan bir altyapı sağlayıcısının ürünüdür.”