Hollanda istihbarat servisleri, tehdit aktörlerine ağlara sızma fırsatı sağlayan Ivanti VPN’lerindeki sıfır günlerin yakın zamanda ifşa edilmesiyle, VPN’ler, e-posta sunucuları ve güvenlik duvarları gibi uç cihazları hedef alan tehdit aktörlerinin artan bir eğilimi konusunda uyarıda bulundu.
Uyarı, hassas bilgileri çalmak için yeni bir kötü amaçlı yazılım kullanan Çin devleti destekli casusların Hollanda savunma ağlarına sızmasının ardından geldi. Askeri İstihbarat ve Güvenlik Servisi (MIVD), saldırganın Çin destekli bir aktör olduğunu belirledi.
“MIVD ve AIVD, kötü niyetli faaliyetin Çin Halk Cumhuriyeti’nden devlet destekli bir aktör tarafından gerçekleştirildiğini yüksek bir güvenle değerlendiriyor. Bu, Çin’in Hollanda ve müttefiklerine karşı yürüttüğü daha geniş siyasi casusluk eğiliminin bir parçası.”
Bildirildiğine göre Çinli siber casusluk aktörleri, ağlara uzaktan bağlanmak için FortiGate cihazının kusurundan yararlanarak Hollanda ordusunu hedef aldı. İlk izinsiz giriş, Fortinet’in gelişmiş aktörler tarafından kullanıldığı konusunda uyardığı sıfır gün güvenlik açığı olan CVE-2022-42475’in istismar edilmesiyle başladı. Sızmanın ardından Çinli tehdit aktörleri, Coathanger adında yeni bir “gizli ve kalıcı” RAT konuşlandırdı.
RAT, Aralık 2022’de yüksek etkili güvenlik açığı (CVE-2022-42475) kullanılarak FortiGate cihazlarına yüklendi. Kötü amaçlı yazılım, potansiyel olarak RAT’ı herhangi bir FortiGate cihazı güvenlik açığıyla birlikte kullanarak ağ erişimini korumayı amaçlıyordu.
Aktör, Ar-Ge ağında keşif gerçekleştirdi ve kullanıcı hesapları listesini Active Directory sunucusundan sızdırdı. Ancak, hedeflenen ağın daha geniş MOD ağlarından ayrılması nedeniyle izinsiz girişin etkisi sınırlı kaldı. Hollandalı askeri savunucular siber casusluk planını engelledi ve kendi kendine yeten sistemi herhangi bir ikincil hasara neden olmadı.
Daha fazla kanıt, henüz yayınlanmamış Coathanger kötü amaçlı yazılımının FortiGate cihazları için özel olarak tasarlandığını ortaya çıkardı. Sistem çağrıları yoluyla saklanan ve yeniden başlatmalardan ve ürün yazılımı yükseltmelerinden sağ çıkan, gizli ve kalıcı bir RAT’tır. Bu ikinci aşamadaki kötü amaçlı yazılım, adını disk yapılandırmasını şifrelemek için kullanılan bir ifadeden alıyor: ‘Ceketini aldı ve astı.’
Kötü amaçlı yazılım, FortiGate cihazlarına bulaştıktan sonra SSL üzerinden bir C2 sunucusuna bağlanarak BusyBox ters kabuğunu sağlıyor. Yayınlanmış veya yayınlanmamış herhangi bir güvenlik açığı, ilk ağ erişimi için kullanılabilir; Coathanger daha sonra arka kapı görevi görür.
Hollanda’nın ilk kez Pekin’i devlet destekli bilgisayar korsanlığı nedeniyle açıkça eleştirdiğini belirtmekte fayda var. Ülkenin Savunma Bakanı Kajsa Ollongren, siber casusluğa karşı uluslararası dayanıklılığı artırmayı amaçlayan Çinli bilgisayar korsanlarının yöntemleri hakkında kamuya açık bir teknik rapor yayınlamanın önemini vurguladı.
“MIVD ilk kez Çinli bilgisayar korsanlarının çalışma yöntemlerine ilişkin teknik bir raporu kamuoyuna açıklamayı seçti. Ollongren, “Bu tür casusluk faaliyetlerini Çin’e atfetmek önemli” dedi.
MIVD, kötü amaçlı yazılımın varlığını Fortinet PSIRT’ye bildirdi. Bu tehditleri azaltmak için kuruluşlar düzenli olarak risk analizi yapmalı, internet erişimini sınırlamalı, anormal faaliyetlere ilişkin günlükleri analiz etmeli, satıcı güvenlik güncellemelerini yüklemeli ve güncelliğini kaybetmiş donanım ve yazılımları değiştirmelidir. Bu, internete bağlı genel cihazlara yönelik olası saldırılara karşı korunmaya yardımcı olacaktır.
İLGİLİ MAKALELER
- CIA’in Çin’e karşı 11 yıllık hack kampanyası açığa çıktı
- FBI, Çin Devlet Destekli Volt Typhoon’un KV Botnet’ini Engelledi
- Google Play Store Uygulamalarında Bulunan Çin Casus Yazılımı, 2 Milyon İndirme
- Hollandalı Adam, İran’ın Nükleer Silahlarını Devre Dışı Bırakmak İçin Su Pompası Aracılığıyla Stuxnet’i Kullandı
- Çinli Blackwood APT, Siber Casuslukta NSPX30 Arka Kapısını Kullanıyor