Ağ devi Cisco, devlet destekli bir grup bilgisayar korsanının, son birkaç ay içinde hükümet ağlarını gözetlemek için güvenlik duvarı cihazlarındaki sıfır günleri istismar ettiği konusunda uyardı.
Cisco Çarşamba günü yaptığı bir uyarıda, Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) güvenlik duvarlarındaki iki sıfır gün güvenlik açığının, Kasım 2023’ten bu yana devlet destekli bir bilgisayar korsanlığı grubu tarafından küresel olarak hükümet ağlarına sızmak için kullanıldığını söyledi.
Cisco Talos tarafından UAT4356 ve Microsoft tarafından STORM-1849 olarak tanımlanan bilgisayar korsanları, Kasım 2023’ün başlarında savunmasız uç cihazları hedef alarak “ArcaneDoor” adlı siber casusluk kampanyasını başlattı.
Cisco Talos, “Bu aktör, casusluğa net bir şekilde odaklanıldığını ve hedefledikleri cihazlar hakkında derinlemesine bilgi sahibi olduğunu gösteren özel araçlardan yararlandı; bu, gelişmiş bir devlet destekli aktörün ayırt edici özellikleridir” dedi.
İki Cisco Sıfır Gününün Keşfi ve Detayları
Tanımlanmış bir başlangıç saldırı vektörü olmamasına rağmen Cisco, tehdit aktörlerinin kullandığı iki güvenlik açığını (bir hizmet reddi hatası olan CVE-2024-20353 ve kalıcı bir yerel kod yürütme hatası olan CVE-2024-20359) tespit etti ve düzeltti. sıfır gün olarak.
Cisco bu yılın başlarında ArcaneDoor kampanyasından haberdar oldu ancak saldırganların en az Temmuz 2023’ten bu yana iki sıfır gün boyunca açıkları test ettiğini ve geliştirdiğini söyledi. “Sonraki soruşturmada ek kurbanlar tespit edildi ve bunların tümü küresel hükümet ağlarını içeriyordu.” Cisco Talos eklendi.
İstismar edilen güvenlik açıkları, daha önce bilinmeyen kötü amaçlı yazılımların konuşlandırılmasını kolaylaştırdı ve tehdit aktörlerinin güvenliği ihlal edilmiş ASA ve FTD cihazlarında kalıcılık oluşturmasına olanak tanıdı. “Line Dancer” olarak adlandırılan böyle bir kötü amaçlı yazılım implantı, bellek içi kabuk kodu yükleyicisi görevi görerek, günlüğe kaydetmeyi devre dışı bırakmak, uzaktan erişim sağlamak ve yakalanan paketleri dışarı çıkarmak için rastgele kabuk kodu yüklerinin yürütülmesine olanak sağladı.
“Line Runner” olarak bilinen kalıcı bir arka kapı olan ikinci implant, tespit edilmekten kaçınmak ve güvenliği ihlal edilmiş sistemlerde keyfi Lua kodunun yürütülmesini sağlamak için çeşitli savunma kaçınma mekanizmalarını içeriyordu.
Cisco, ASA ve FTD güvenlik duvarı cihazları gibi çevre ağ cihazlarının “casusluk odaklı kampanyalar için mükemmel bir izinsiz giriş noktası olduğunu” söyledi. “Bu cihazlar üzerinde yer kazanmak, bir aktörün doğrudan bir kuruluşa dönmesine, trafiği yeniden yönlendirmesine veya değiştirmesine ve ağ iletişimini izlemesine olanak tanır.”
Ağ ve güvenlik devi, son iki yılda bu cihazların, özellikle de telekomünikasyon ve enerji sektörlerinde kullanılanların hedeflenmesinde “dramatik ve sürekli” bir artış gözlemlediğini, çünkü “kritik altyapı varlıklarının birçok kişinin ilgisini çekebilecek stratejik hedefler olduğunu” söyledi. yabancı hükümetler,” diye açıkladı Cisco.
Siber Güvenlik Ajansları Ne Dedi?
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Kanada Siber Güvenlik Merkezi (Siber Merkez) ve Avustralya Siber Güvenlik Merkezi tarafından bugün yayınlanan ortak danışma belgesinde, tehdit aktörleri tarafından gerçekleştirilen ek faaliyetler özetlendi:
– Web istekleri yoluyla sızmak için cihazın yapılandırma dosyasının metin versiyonlarını oluşturdular.
– Ek komutları gizlemek için cihazın sistem günlüğü hizmetinin etkinleştirilmesini ve devre dışı bırakılmasını kontrol ettiler.
– Etkilenen ortamdaki belirli aktör kontrollü cihazlara erişim sağlamak için kimlik doğrulama, yetkilendirme ve muhasebe (AAA) yapılandırmasını değiştirdiler.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da sıfır gün hatalarını Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğuna ekledi ve kullanıcıları gerekli güncellemeleri uygulamaya, kötü amaçlı etkinlikleri aramaya ve olumlu bulguları kuruma bildirmeye teşvik etti.
Cisco, iki sıfır günü ele almak için Çarşamba günü güvenlik güncellemeleri yayınladı ve tüm müşterilere, olası saldırıları azaltmak için cihazlarını sabit yazılım sürümüne yükseltmelerini önerdi. Cisco, yöneticilerden programlanmamış yeniden başlatmalar, yetkisiz yapılandırma değişiklikleri veya şüpheli kimlik bilgisi etkinliklerine ilişkin işaretlere karşı sistem günlüklerini izlemelerini istedi.
Şirket ayrıca danışma belgesinde ASA veya FTD cihazlarının bütünlüğünün doğrulanmasına ilişkin talimatlar da verdi.
Casusluk Aktörleri Uç Cihaz Sıfır Günlerini Artarak Kullanıyor
ArcaneDoor kampanyası için herhangi bir atıf yapılmamış olsa da, Google güvenlik firması Mandiant’ın yakın tarihli bir trend raporu, Çinli bilgisayar korsanlarının casusluk saldırılarında VPN cihazları, güvenlik duvarları, yönlendiriciler ve IoT araçları gibi uç cihazları giderek daha fazla hedef aldığını öne sürüyor. Mandiant, hem casusluk grupları hem de finansal motivasyona sahip bilgisayar korsanları tarafından sıfır gün kullanımında 2022’ye kıyasla %50’den fazla bir artış gözlemledi.
“Çin bağlantısı saldırganları erişim sağladı
özellikle güvenlik açıklarından yararlanarak uç cihazlara
sıfır gün ve ardından özel kötü amaçlı yazılım dağıtıldı
Ekosistemler,” dedi Mandiant.
Güvenlik firması, Çinli casusluk gruplarından eldeki cihaza ve operasyona göre uyarlanmış özel kötü amaçlı yazılım ekosistemlerinin dağıtımının devam edeceğini görmenin muhtemel olduğunu ekledi.
“Bu yaklaşım, tespit edilmeme yeteneğinin artması, karmaşıklığın azalması, güvenilirliğin artması ve kötü amaçlı yazılım ayak izinin azalması gibi çeşitli avantajlar sağlıyor.”
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.