ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), tehdit aktörlerinin hedef ağların keşfini gerçekleştirmek için F5 BIG-IP Yerel Trafik Yöneticisi (LTM) modülü tarafından yönetilen şifrelenmemiş kalıcı çerezlerden yararlandığını gözlemlediği konusunda uyarıyor.
Modülün ağdaki internete bağlı olmayan diğer cihazları numaralandırmak için kullanıldığı söyleniyor. Ancak ajans, etkinliğin arkasında kimin olduğunu veya kampanyanın nihai hedeflerinin ne olduğunu açıklamadı.
CISA, bir danışma belgesinde “Kötü niyetli bir siber aktör, şifrelenmemiş kalıcı çerezlerden toplanan bilgilerden yararlanarak ek ağ kaynaklarını tespit edebilir veya belirleyebilir ve ağdaki diğer cihazlarda bulunan güvenlik açıklarından potansiyel olarak yararlanabilir.” dedi.
Ayrıca kuruluşların, HTTP profili içinde çerez şifrelemesini yapılandırarak F5 BIG-IP cihazlarında kullanılan kalıcı çerezleri şifrelemesini de önerdi. Ayrıca kullanıcıları, olası sorunları belirlemek için F5 tarafından sağlanan BIG-IP iHealth adlı tanılama yardımcı programını çalıştırarak sistemlerinin korumasını doğrulamaya çağırıyor.
F5, “BIG-IP iHealth sisteminin BIG-IP iHealth Diagnostik bileşeni, BIG-IP sisteminizin günlüklerini, komut çıktısını ve yapılandırmasını bilinen sorunlar, yaygın hatalar ve yayınlanmış F5 en iyi uygulamalarından oluşan bir veritabanına göre değerlendirir.” bir destek belgesi.
“Öncelikli sonuçlar, yapılandırma sorunları veya kod kusurları hakkında özel geri bildirim sağlar ve sorunun açıklamasını sağlar, [and] Çözüm önerileri.”
Açıklama, İngiltere ve ABD’deki siber güvenlik kurumlarının, Rus devlet destekli aktörlerin yabancı istihbarat toplamak ve gelecekteki siber operasyonları mümkün kılmak için diplomatik, savunma, teknoloji ve finans sektörlerini hedef alma girişimlerini ayrıntılarıyla anlatan ortak bir bülten yayınlamasıyla geldi.
Faaliyetin, BlueBravo, Cloaked Ursa, Cosy Bear ve Midnight Blizzard olarak da bilinen, APT29 olarak takip edilen bir tehdit aktörüne atfedildiği belirtiliyor. APT29’un Rus askeri istihbarat makinesinin önemli bir dişlisi olduğu anlaşılıyor ve Dış İstihbarat Servisi’ne (SVR) bağlı.
Ajanslar, “SVR siber saldırıları, anonim ve tespit edilmemeye yoğun bir şekilde odaklanılmasını içeriyor. Aktörler, ilk hedeflemeden veri toplamaya kadar ve ağ altyapısı genelinde izinsiz girişler boyunca TOR’u yoğun bir şekilde kullanıyor” dedi.
“Oyuncular çeşitli sahte kimlikler ve itibarı düşük e-posta hesapları kullanarak operasyonel altyapıyı kiralıyorlar. SVR, altyapıyı büyük barındırma sağlayıcılarının satıcılarından alıyor.”
APT29 tarafından gerçekleştirilen saldırılar, tedarik zincirindeki uzlaşmaları (yani niyet hedeflerini) kolaylaştırmak amacıyla istihbarat toplamak ve kalıcı erişim oluşturmak için tasarlanmış saldırıların yanı sıra kötü amaçlı altyapı barındırmalarına veya uzaktan takip operasyonları yürütmelerine izin veren saldırılar olarak kategorize edilmiştir. kamuya açık kusurlardan, zayıf kimlik bilgilerinden veya diğer yanlış yapılandırmalardan (yani fırsat hedeflerinden) yararlanarak güvenliği ihlal edilmiş hesaplar.
Vurgulanan önemli güvenlik açıklarından bazıları arasında Zimbra Collaboration’daki bir komut ekleme kusuru olan CVE-2022-27924 ve TeamCity Server’da uzaktan kod yürütülmesine izin veren kritik bir kimlik doğrulama atlama hatası olan CVE-2023-42793 yer alıyor.
APT29, gizli kalmak ve savunmaları atlatmak amacıyla taktiklerini, tekniklerini ve prosedürlerini sürekli olarak yenileyen tehdit aktörlerinin, hatta altyapılarını tahrip etme ve izinsiz girişlerinin tespit edildiğinden şüphelenmesi durumunda tüm kanıtları silme boyutuna kadar giden ilgili bir örnektir. mağdur veya kanun uygulayıcısı.
Dikkate değer bir diğer teknik, Kuzey Amerika’da bulunan mağdurlarla etkileşimde bulunmak ve meşru trafiğe karışmak için cep telefonu sağlayıcıları veya konut internet hizmetlerinden oluşan proxy ağlarının kapsamlı kullanımıdır.
Ajanslar, “Bu aktiviteyi kesintiye uğratmak için kuruluşların yetkili cihazları temel alması ve ağ kaynaklarına erişen ve temel çizgiye uymayan sistemlere ek inceleme uygulaması gerekir” dedi.