3. Parti Risk Yönetimi, Uygulama Güvenliği, Siber Suçlar
Advisory, Rus Hackerların Eylül ayından bu yana popüler yazılımları istismar ettiğini söylüyor
Chris Riotta (@chrisriotta) •
13 Aralık 2023
Siber Güvenlik ve Altyapı Güvenliği Ajansı, Rus askeri istihbarat biriminin, geliştiricilerin yazılım oluşturma, test etme ve yayınlama işlemlerini yönetmesine ve otomatikleştirmesine olanak tanıyan, yaygın olarak kullanılan bir yazılım ürünü olan JetBrains TeamCity’deki bir güvenlik açığından aktif olarak yararlandığı konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Kremlin’in CozyBear, Dukes ve APT29 olarak bilinen dış istihbarat servisiyle ilişkili Rus tehdit aktörleri, ajansın FBI ve Ulusal Güvenlik Ajansı ile birlikte Çarşamba günü yayınladığı bir tavsiye kararına göre son iki ay içinde JetBrains TeamCity yazılımını barındıran sunucuları hedef alıyor. ve birden fazla uluslararası ortak.
Tehdit aktörlerinin CVE-2023-42793 olarak bilinen bir güvenlik açığından “büyük ölçekte” yararlandığı ve çok çeşitli teknoloji şirketlerini, yabancı hükümetleri, akademik kurumları ve daha fazlasını hedef aldığı belirtiliyor.
Öneri, tehlikeye atılması durumunda “TeamCity sunucusuna erişim, kötü niyetli aktörlere söz konusu yazılım geliştiricisinin kaynak koduna erişim, sertifika imzalama ve yazılım derleme ve dağıtım süreçlerini alt üst etme yeteneği sağlayacaktır” uyarısında bulunuyor. Tavsiye ayrıca, tehdit aktörlerinin “tedarik zinciri operasyonlarını yürütmek için” geliştiricinin kaynak kodunu değiştirebileceği konusunda da uyarıyor.
Rus bilgisayar korsanları, uç nokta tespitini ve yanıtını ve antivirüs yazılımını devre dışı bırakarak veya tamamen öldürerek tespit edilmekten kaçınmak için gelişmiş teknikleri ve EDRSandBlast adlı açık kaynaklı bir uygulamayı kullandı. Danışman, tehdit aktörlerinin ayrıca ağ izleme yoluyla ek tespitleri önlemek için Microsoft OneDrive ve Dropbox bulut hizmetleri aracılığıyla gizli kanallar tasarladığını söyledi.
CISA’ya göre bilgisayar korsanları, bu güvenlik açığından, tehdit aktörlerinin şirketin yazılım güncellemelerine kötü amaçlı kod ekleyerek SolarWinds kullanan binlerce kurumsal ve hükümet ağını etkilediği SolarWinds’in dahil olduğu daha önceki bir olayla aynı şekilde yararlanmadı (bkz.: SolarWinds Hackerları Geniş Bir Ağ Oluşturuyor).
Ancak danışma belgesi, bilgisayar korsanlarının ayrıcalıkları artırmak, yanlara doğru hareket etmek ve ele geçirilen ağlara uzun vadeli ve kalıcı erişimi sürdürmek için adımlar attığını gözlemlediği konusunda uyarıyor.
CISA, halihazırda mevcut yamaları uygulamayan, JetBrains TeamCity yazılımını kullanan tüm kuruluşları riskleri üstlenmeye ve tehdit avlama faaliyetlerini derhal başlatmaya çağırıyor. Kuruluşların ayrıca bir uzlaşma tespit edilmesi durumunda önemli bulguları CISA ve FBI’ya bildirmeleri teşvik edilmektedir.
Tavsiye belgesinde özetlenen risk azaltma teknikleri, ana bilgisayar tabanlı antivirüs ve uç nokta izleme çözümlerinin etkinleştirilmesini sağlamanın yanı sıra, JetBrains TeamCity’nin Eylül ortasında yayınladığı yamaların uygulanmasını içerir. Tavsiye belgesi aynı zamanda çok faktörlü kimlik doğrulamanın zorunlu kılınmasını, tüm işletim sistemlerinin ve yazılımların güncellenmesini, günlük dosyalarının denetlenmesini ve sistemlerdeki şüpheli davranışları tespit etmek için tehdit avlama araçlarının kullanılmasını önermektedir.