Google'ın Tehdit Analiz Grubu (TAG) ve Google Cloud'un Mandiant'ı tarafından ortaklaşa hazırlanan analize göre, hükümet destekçilerinin emriyle faaliyet gösteren tehdit aktörlerinin, yeni açıklanan sıfır gün güvenlik açıklarından yararlanmanın arkasında mali motivasyona sahip siber suçlulara göre çok daha fazla olduğu görülüyor.
TAG ve Mandiant, 2022'de 62 olan bu sayının 2023 yılı boyunca vahşi ortamda sömürüldüğünü gözlemledi, ancak 2021'de gözlemlenen 106'dan daha azdı.
Analistler, tehdit aktörünün motivasyonlarına atfedebilecekleri 58 sıfır günden 48'inin casusluk faaliyetleri yürüten hükümet destekli gelişmiş kalıcı tehdit (APT) gruplarına atfedilebileceğini, yalnızca 10'unun ise finansal motivasyona sahip siber suçlulara atfedilebileceğini söyledi. , genellikle fidye yazılımı çeteleri.
Birleşik Krallık, ABD ve diğer Batı ülkelerine (Çin, İran, Kuzey Kore ve Rusya) düşman olarak algılanan dört büyük devlet hackleme operasyonu arasında, geçen yıl sıfır gün sayısının neredeyse iki katı kadar istismar eden Çinli operatörler başı çekti. 2022'de bunu yaptılar ve atfedilebilir tüm istismarın %40'ından biraz fazlasını oluşturuyorlar.
Google'ın Çin'deki siber faaliyetlere ilişkin uyarısı, İngiliz ve Amerikan hükümetlerinin birden fazla kuruluşa yaptırım uygulamasından ve devlet sırlarını ve fikri mülkiyet haklarını çalmak isteyen Çinli bilgisayar korsanlarının politikacıları ve işletmeleri hedef almasına ilişkin yeni uyarılar yayınlamasından birkaç gün sonra geldi.
Bulgular, güvenlik açığı açıklamalarına müdahaleye öncelik verirken, hükümet organları, üniversiteler ve araştırma kurumları ve kritik ulusal altyapı (CNI) operatörleri gibi kötü niyetli devlet müdahalesi riski altında olduğu düşünülen kuruluşların özellikle dikkatli olmaları gerektiğini göstermektedir.
“Önceki iki yılla tutarlı olarak, sıfır gün güvenlik açıklarının devlet destekli olarak daha fazla sömürülmesini ÇHC'ye bağladık. [People’s Republic of China] Raporun yazarları Maddie Stone, Jared Semrau ve James Sadowski, “Diğer eyaletlerden daha fazla hükümet destekli saldırganlar” diye yazdı.
“Mandiant, UNC4841'in Barracuda'nın Email Security Gateway'indeki iki güvenlik açığını (CVE-2023-2868 ve CVE-2023-7102) istismar etmesi de dahil olmak üzere çok sayıda yaygın istismar kampanyası hakkında kapsamlı raporlar yayınladı.
“Aktör, küresel hükümetleri ve yüksek öncelikli sektörlerdeki kuruluşları hedef alarak, ÇHC hükümetini ilgilendiren siyasi veya stratejik bilgilere özel ilgi gösterdi” dediler. “Ayrıca, Tayvan ve Hong Kong'daki dış ticaret ofisleri ve akademik araştırma kuruluşlarındaki kişilerin yanı sıra, ASEAN üyesi ülkelerin Dışişleri Bakanlıklarından e-posta alan adlarına ve kullanıcılara özel bir ilgi gözlemledik.”
Son aylarda Çinli siber casusların özellikle ilgisini çeken diğer sıfır günler arasında, Mandiant tarafından UNC3886 olarak takip edilen bir grup tarafından VMware kimlik doğrulama atlama güvenlik açığı CVE-2023-20867 ile zincirlenen Fortinet FortiOS'taki CVE-2022-41328 yer alıyor. UNC3886 ayrıca, kimlik doğrulama atlama kusurundan yararlanmanın öncüsü olarak başka bir VMware sorunu olan CVE-2023-34048'den de yoğun şekilde yararlandı.
Stone, Semrau ve Sadowski, her iki durumda da, iki güvenlik açığı zincirinin istismarının 12 aydan uzun bir süre öncesine (ikinci durumda ise 2021 yılına) dayandığını, bunun da Çinli tehdit aktörlerinin yeni sıfır günleri keşfetme ve bunlardan yararlanma konusunda ne kadar becerikli olduğunu gösterdiğini belirtti. ve bunları önemli bir süre başarıyla gizli tutuyoruz.
Çin'e odaklanmak, dikkatleri Rusya ve Kuzey Kore'nin siber casusluk faaliyetlerinden uzaklaştırmamalı ki bu da önemsiz değildi ve 2023 yılı aynı zamanda Winter Vivern olarak bilinen Belarus APT grubunun ortaya çıkışı açısından da dikkate değerdi. Belaruslu bir aktörün sıfır gün kullandığı ilk kez gözlemleniyor; her ne kadar Belarus'un Rusya'ya bağlı bir devlet olduğu göz önüne alındığında, Winter Vivern'in ne ölçüde bağımsız çalıştığını söylemek zor.
Sıfır gün sömürüsünün %17'sini (2022'ye göre daha düşük) oluşturan mali amaçlı siber suçlara bakıldığında, sıfır gün istismarına yoğun yatırım yapan FIN11 adlı bir grup, geçen yıl görülen mali amaçlı istismarın neredeyse üçte birini oluşturuyordu. birkaç yıl.
FIN11, başta Clop/Cl0p ve ilgili önceki operatörler olmak üzere çok sayıda üretken fidye yazılımı operasyonuyla bağlantılıdır; ancak Akira, LockBit ve Nokoyawa dahil olmak üzere diğer çeteler de sıfır gün istismarına yoğun bir şekilde dahil olmuş veya olmuştur.
Stone, Semrau ve Sadowski şöyle yazdı: “Sıfır gün güvenlik açıklarını tespit etmek ve bunlardan yararlanmak için harcanan kapsamlı kaynaklar göz önüne alındığında, finansal motivasyona sahip tehdit aktörleri büyük olasılıkla hedeflenen kuruluşlara etkili erişim sağlayan güvenlik açıklarının kullanımına öncelik veriyor.”
“FIN11, hassas kurban verilerine, yanal ağ hareketine ihtiyaç duymadan verimli ve etkili erişim sağlayan, sızma ve para kazanma adımlarını kolaylaştıran dosya aktarım uygulamalarına yoğun bir şekilde odaklandı” dediler. “Daha sonra, kitlesel şantaj veya fidye yazılımı kampanyalarından elde edilen büyük gelirler, muhtemelen bu grupların yeni güvenlik açıklarına ek yatırım yapmasına neden olacak.”
Ticari casus yazılım işlemleri
Geçtiğimiz üç yılın en büyük siber hikayelerinden biri, siber gözetim araçlarını geliştiren ve hükümetlere satan meşru şirketler olan ticari casus yazılım satıcılarının (CSV'ler) faaliyetlerinin açığa çıkmasıydı.
2020'lerde ortaya çıkan en dikkate değer CSV, iOS işletim sistemini çalıştıran Apple cihazlarını hedef alan ve yazılımı Suudi gazeteci Cemal Kaşıkçı'nın yanı sıra diğer birçok kişinin öldürülmesine karışan, artık gözden düşmüş İsrail merkezli NSO Grubudur. Batılı olanlar da dahil olmak üzere çeşitli hükümetlerin nahoş faaliyetleri.
Rakip Android mobil işletim sisteminin destekçisi olarak Google, CSV'lere karşı koyma konusunda özel bir ilgiye sahiptir ve TAG/Mandiant verileri, devlet destekli APT'ler gibi CSV'lerin de sonuçta sıfır gün istismar faaliyetlerinin %40'ından fazlasının arkasında olduğunu gösterdi. 2023 ve tüm etkinliklerin %75'inden fazlası ürünlerini ve Android ekosistemi cihazlarını, %55'i ise iOS ve Safari'yi hedefliyor.
Raporun yazarları, “Ticari gözetim sektörü, kârlı bir pazar boşluğunu doldurmak için ortaya çıktı: Tüketici cihazlarındaki ve uygulamalarındaki güvenlik açıklarından yararlanarak bireylerin cihazlarına gizlice casus yazılım yükleyen dünya çapındaki hükümetlere en son teknolojiyi satmak” diye yazdı. “Bunu yaparak CSV'ler tehlikeli bilgisayar korsanlığı araçlarının çoğalmasını sağlıyor.
“CSV'ler, seçilen bir cihazın savunmasını, casus yazılımını ve gerekli altyapıyı aşmak için tasarlanmış bir istismar zincirini bir araya getiren 'oynamak için ödeme' araçları sunmak üzere derin bir teknik uzmanlıkla çalışır ve tamamı bir kişinin cihazından istenen verileri toplar. ,” dediler.
“Araçları satın alan devlet müşterileri, şifreler, SMS mesajları, e-postalar, konum, telefon görüşmeleri ve hatta ses ve görüntü kaydı dahil olmak üzere en yüksek değere sahip hedefleri hakkında çeşitli türde veriler toplamak istiyor. Bu verileri toplamak için CSV'ler genellikle mobil cihazları hedef alan casus yazılımlar geliştirir. Özellikle, herhangi bir Windows sıfır gününü CSV'lere atfetemedik.”
2024'teki sıfır günler
Önümüzdeki aylara bakıldığında TAG/Mandiant ekibi, sıfır gün keşif ve istismar hızının Kovid öncesi seviyelerin üzerinde kalacağını değerlendiriyor ancak kaç tanesi ortaya çıkarsa çıksın güvenlik sektörünün kolektif olarak bir etki yarattığı açık. kullanıcı platformu satıcılarının (aralarında Apple, Google ve Microsoft'un da bulunduğu) dikkate değer yatırımlar yapmış olmaları, bunların istismar için “kullanılabilir” sıfır gün türleri ve sayısı üzerinde etkisi olduğu görülüyor.
Ancak bunun, sonuçta tehdit aktörlerinin daha büyük bir ağ oluşturmasına ve dikkat çekmek için daha fazla ürün ve hizmeti (özellikle siber güvenlik şirketleri tarafından üretilenleri) hedeflemesine yol açabileceğini belirttiler. Barracuda, Cisco, Ivanti ve Trend Micro'nun güvenlik açıkları aracılığıyla düzenlenen saldırılar da dahil olmak üzere son trendler, bunun halihazırda gerçekleştiğini gösteriyor gibi görünüyor. Araştırmacılar ayrıca üçüncü taraf kütüphanelerden alınan bileşenlerde sıfır günlerin kullanımında bir artış gözlemlediler; bu da bu genişleyen odağın bir başka kanıtı.
“Satıcılar diğer uzlaşma yollarını daha az erişilebilir hale getirmeye devam ettikçe ve tehdit aktörleri kaynakları artırmaya sıfır gün sömürüsüne odaklandıkça, son birkaç yılda gördüğümüz büyümenin muhtemelen devam edeceğini tahmin ediyoruz” dediler. “Teknolojinin daha geniş çapta yayılması, sıfır gün sömürüsünü de daha olası hale getirdi: Basitçe ifade etmek gerekirse, daha fazla teknoloji, daha fazla sömürü fırsatı sunuyor.
“İyimser olmak için nedenler olsa da, bu dersleri öğrenmeye devam etmek ve başarılı olmak için ihtiyacımız olan şeyleri yapmak bir bütün olarak sektörün sorumluluğundadır: yamaların daha zor değil, daha akıllıca nasıl yapılacağına dair öğrenilen dersleri paylaşmak; hem kullanıcılar hem de kuruluşlar üzerinde etkilere sahip olabilir ve bu açıklardan yararlanmanın ömrünü ve uygulanabilirliğini kısaltmak için hızlı hareket edebilecek kadar hazırlıklı ve esnek olabilir.”