Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü
Devlet Müşterilerine Karşı Ağ Oluşturma Dev Dubs Kampanyası ‘Arcane Door’
David Perera (@daveperera) •
24 Nisan 2024
Ağ devi Çarşamba günü yaptığı açıklamada, olası ulus devlet korsanlarının 2023 sonlarına kadar uzanan bir kampanyada Cisco güvenlik duvarı cihazlarını hedef aldığını açıkladı.
Ayrıca bakınız: 2018 1. Çeyrek İtibariyle Kuruluşların Güvenlik Duruşu
Şirket, Adaptive Security Appliance ve Cisco Firepower Threat Defense yazılımını çalıştıran cihazlar için ikisi kritik olarak değerlendirilen üç yama yayınladı. Cisco, bilgisayar korsanlarının kötü amaçlı yazılım yerleştirdiğini ve potansiyel olarak virüslü cihazlardan veri çaldığını tespit ettiğini söyledi. Kampanyaya “Gizemli Kapı” adını verdi.
Cisco, bilgisayar korsanlarını belirli bir ülkeyle ilişkilendirmedi ve saldırıların arkasındaki tehdit aktörünün bilinen gruplarla eşleşmediğini söyledi. Şirketin siber güvenlik yan kuruluşu Cisco Talos, bilgisayar korsanlığı grubunu artık UAT4356 olarak izliyor. Microsoft, faaliyetlerini STORM-1849 adı altında arıyor.
Talos’un kampanyayla ilgili bir blog yazısında şöyle yazıyor: “Bu aktör, casusluğa net bir şekilde odaklanıldığını ve hedefledikleri cihazlar hakkında derinlemesine bilgi sahibi olduğunu gösteren ısmarlama araçlardan yararlandı; bu, gelişmiş devlet destekli bir aktörün ayırt edici özellikleridir.”
Tehdit istihbaratı analistleri, ağ uç cihazlarının hacklenmesindeki genel artışı Rus ve Çin istihbarat teşkilatlarına bağladı (bkz: Eyalet Bilgisayar Korsanlarının Yeni Sınırı: Ağ Uç Cihazları).
Talos, kampanyanın “küçük bir müşteri grubunu” etkilediğini ve bunların hepsinin hükümet ağlarını kapsadığını söyledi. Şirket, bir kurbandan ihbar aldıktan sonra kampanyayı araştırmaya başladı. Bilgisayar korsanlarının ağlara tam olarak nasıl sızdığı bilinmiyor. Soruşturma, bilgisayar korsanlarının saldırıyı Temmuz ayında geliştirmeye ve test etmeye başladığını gösteren kanıtlar buldu. Kasım ayına gelindiğinde altyapıyı kaldırdılar ve testlerden üretime geçtiler; bu da ilk kurbanın Ocak başında ortaya çıkmasına yol açtı.
CVE-2024-20353 ve CVE-2024-20359 olarak takip edilen iki kritik güvenlik açığının geçici çözümleri yoktur; bu, Cisco’nun sistem yöneticilerine hemen yama yapmasını önerdiği anlamına gelir. İlk kusur, “bir HTTP üstbilgisini ayrıştırırken eksik hata kontrolünden” kaynaklanıyor. Bir Cisco cihazına belirli bir HTTP isteği gönderen saldırganlar, cihazı beklenmedik bir şekilde yeniden yüklenmeye zorlayabilir. Cisco ikinci kusuru “VPN istemcilerinin ve eklentilerinin önceden yüklenmesine izin veren eski bir özellikteki güvenlik açığı” olarak tanımlıyor. Saldırının başarılı olması için zaten yönetici düzeyinde ayrıcalıklara ihtiyaç duymalarına rağmen, bunun kötüye kullanılması saldırganların kök düzeyinde ayrıcalıklar kazanmasına olanak tanır.
Talos, saldırganların saldırıyı gerçekleştirdikten sonra iki kötü amaçlı yazılım yerleştirdiğini söyledi. “Line Dancer” olarak adlandırılan bunlardan biri, saldırganların kabuk kodu verilerini yüklemesine ve yönetmesine olanak tanıyan, yalnızca bellek içeren bir implanttır. Saldırganlar bunu internet trafiğini ele geçirmek ve günlüğe kaydetmeyi devre dışı bırakarak ve sistem yeniden başlatıldığında bir kilitlenme dökümü yoluyla adli tıp verilerinin oluşturulmasını atlayarak izlerini gizlemek için kullandı. Diğeri “Line Runner” kalıcılık kazanmaya yönelik bir arka kapıdır.
Talos, ağ uç cihazlarının “rutin olarak ve derhal yamalanması gerektiğini” söyledi.