Siber topluluk tarafından APT28, Fighting Ursa, Forest Blizzard ve en ünlüsü Fancy Bear olarak bilinen Kremlin destekli gelişmiş kalıcı tehdit (APT) aktörü, Microsoft Outlook’ta kritik bir ayrıcalık yükselmesinden (EoP) yararlanıyor olabilir. düşünüldüğünden çok daha erken ve daha yaygın.
CVE-2023-23397 resmi olarak Mart 2023’te açıklandı ve yaması uygulandı. Bu, kurbana özel hazırlanmış bir e-posta gönderilerek yararlanılan oldukça kötü bir hatadır, ancak sunucu tarafında tetiklenebildiği için aslında e-postayı açmaları gerekmez. veya tehlikeye girdiğini görüntüleyin.
Bundan birkaç gün sonra Mandiant’tan John Hultquist, bu güvenlik açığının Moskova tarafından muhtemelen 12 aydan fazla bir süre boyunca Ukrayna hedeflerine karşı kullanıldığı konusunda uyardı. Daha sonra Aralık ayının başlarında Microsoft ve Polonya Siber Komutanlığı, hatanın kötüye kullanılmasının devam ettiği konusunda uyardı.
Şimdi, Palo Alto Networks’teki Unit 42 ekibi tarafından yayınlanan yeni kanıtlar, Fancy Bear’ın sıfır günü son 20 ay boyunca, Mart 2022’den Aralık 2022’ye (Mart 2023) kadar uzanan üç ayrı kampanyada serbestçe kullandığını ortaya çıkardı. ve en son olarak bu yılın Eylül ve Ekim ayları arasında, çoğunluğu NATO üyesi olan 14 ülkeden en az 30 örgütü hedef alıyor.
Mağduriyet, enerji üretimi ve dağıtımı da dahil olmak üzere birçok sektörü kapsamaktadır; boru hattı operasyonları; malzeme, kişisel ve hava taşımacılığı; ve çeşitli hükümet savunma, dışişleri ve içişleri ve ekonomi bakanlıkları.
Hedeflenen ülkeler Bulgaristan, Çekya, İtalya, Ürdün, Litvanya, Lüksemburg, Karadağ, Polonya, Romanya, Slovakya, Türkiye, Ukrayna, Birleşik Arap Emirlikleri ve ABD’nin yanı sıra dağınık durumdaki NATO Yüksek Hazırlık Kuvvetleri Karargahıydı. Avrupa çapında İngiltere, Fransa, Almanya, Yunanistan, Polonya ve Türkiye’de.
Birim 42, keşfinin Ukrayna’da devam eden savaş sırasında Rus devletinin öncelikleri hedeflemesi konusunda değerli bilgiler sunduğunu söyledi. Ekip, “Fighting Ursa’nın CVE-2023-23397 ile kurbanları hedef aldığı 50’den fazla gözlemlenen örneği incelemek, onlar için uluslararası çatışma döneminde Rus askeri önceliklerine ilişkin benzersiz ve bilgilendirici bilgiler sağlıyor” diye yazdı.
“Sıfır gün istismarları doğası gereği APT’ler için değerli ürünlerdir. Tehdit aktörleri bu istismarları yalnızca erişim ve elde edilen istihbaratla ilişkili ödüllerin, istismarın kamuya açıklanma riskinden daha ağır basması durumunda kullanır.
“Bir hedefe karşı sıfır gün istismarının kullanılması, bunun önemli bir değere sahip olduğunu gösterir. Bu aynı zamanda söz konusu hedef için mevcut erişim ve istihbaratın o sırada yetersiz olduğunu da öne sürüyor.
“İkinci ve üçüncü seferlerde, Fighting Ursa, tekniklerini değiştirmeden, zaten kendilerine atfedilen, herkesçe bilinen bir istismarı kullanmaya devam etti. Bu, bu operasyonların ürettiği erişim ve istihbaratın, halka açık gezi ve keşiflerin sonuçlarından daha ağır bastığını gösteriyor” dedi.
“Bu nedenlerden dolayı, her üç kampanyada da hedef alınan kuruluşlar büyük olasılıkla Rus istihbaratı için normalden daha yüksek bir önceliğe sahipti.”
CVE-2023-23397 nasıl çalışır?
CVE-2023-23397, Microsoft’un Windows 2000’den bu yana varsayılan protokol olarak Kerberos’u kullanmasının bir sonucu olarak geçiş saldırıları olarak bilinenlere eğilimli olduğu bilinen bir sorgulama-yanıt kimlik doğrulama protokolü olan Windows NT LAN Manager’ı (NTLM) hedefliyor .
Ne yazık ki Microsoft kullanıcıları için, Outlook da dahil olmak üzere birçok Microsoft sistemi, Kerberos’un mümkün olmaması durumunda, varsayılan olarak NTLM’ye hata güvenliği olarak geri dönecektir.
Yararlanma zincirinde, güvenlik açığı bulunan veya yanlış yapılandırılmış bir Outlook örneği, özel hazırlanmış bir e-posta alır ve Fancy Bear tarafından kontrol edilen uzak bir dosya paylaşımına NTLM kimlik doğrulama mesajı gönderir. APT’nin daha sonra kurbanın kimliğine bürünmek ve ağlarına erişim sağlamak için kullandığı bir NTLMv2 karmasını geri alır.
Logpoint’in kıdemli siber analisti Kennet Harpsøe şu yorumu yaptı: “Genel siyasi durum göz önüne alındığında, açıklanan saldırının hiç kimse için sürpriz olmaması gerekiyor… NTLM eski ve geçerliliğini yitirmiş bir şey. Modern alternatif Kerberos’tur [which] Windows ağlarında bile standarttır, ancak NTLM bir geri dönüş olarak kullanılır ve bu nedenle çok sayıda ve iyi bilinen güvenlik kusurlarına rağmen hala yaygın olarak kullanılmaktadır.
“Mümkünse AD’nizde NTLM’yi devre dışı bırakın, yapamıyorsanız ağınızdaki NTLM trafiğini mutlaka izleyin. Yeni kullanıcılar birdenbire her zaman NTLM kimlik doğrulamasını mı kullanıyor? NTLM kimlik doğrulama isteklerinin normalde ağınızdan ayrılmaması gerekir. Eğer varsa iyice araştırılmalıdır. Ağınızdaki tüm NTLM yeniden oynatma girişimlerini AD günlüğünüzden takip edin” dedi.
“Çoğu yeniden oynatma saldırısını yenmek için etki alanı denetleyicileri ve e-posta sunucuları gibi tüm ilgili sunucular için İmzalamayı (SMB/LDAP) ve Kimlik Doğrulaması için Genişletilmiş Korumayı (EPA) zorunlu kılın.
Harpsøe şunu ekledi: “Son olarak, kullanımda olmayan e-postaları alıcılara özel anahtarlarla şifrelemenin neden hala standart olmadığı merak ediliyor. PGP uzun zamandır ortalıkta. Eğer okuyamıyorsanız e-postaları çalmak pek de eğlenceli değil!”
Meşgul ayılar
Birim 42’nin kötü niyetli Rus siber faaliyetlerinin kapsamı hakkındaki son açıklaması, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve ortak kuruluşlar tarafından dün yayınlanan ve İngiliz siyasi sürecine yönelik bir siber saldırı kampanyasının kesin olarak atfedildiği önemli yeni istihbaratın ardından geldi. Star Blizzard adlı bir Federal Güvenlik Servisi (FSB) grubuna bağlı, ancak diğer isimlerin yanı sıra Cold River ve Seaborgium olarak da takip ediliyor.
Hükümet, bu kampanyanın doğası gereği o kadar ciddi olduğu yargısına varıyor ki, dün bunun hesabını vermesi için Rusya büyükelçisini çağırdı ve aralarında bir FSB ajanının da bulunduğu iki ismi İngiltere’nin mali yaptırımlar listesine koydu. düşünce kuruluşu.
Star Blizzard’ın FSB’nin Merkez 18 birimi tarafından yönetildiği bilinirken, Fancy Bear’ın daha çok Genelkurmay Ana İstihbarat Müdürlüğü (GRU) tarafından kontrol edildiği biliniyor85bu özel Servis Merkezinin (GTsSS) Birimi 26165 ünitesi.
Hem FSB hem de GRU, nesiller boyu casus kurgu yazarları tarafından sevilen Sovyet dönemi KGB’nin ardıl birimleri olsa da, FSB karşı istihbarattan, devlet güvenliğinden ve Rusya sınırları dışında istihbarat toplanmasından sorumludur ve doğrudan Vladimir Putin’e rapor verir.
Bu arada GRU, Rus Silahlı Kuvvetlerinin birincil istihbarat servisidir ve FSB’den farklı olarak sonuçta Moskova’nın askeri komuta yapısına tabidir. GRU, Rusya’nın en büyük istihbarat servisi olarak kabul ediliyor ve aynı zamanda ülkenin kötü şöhretli Spetsnaz özel kuvvetlerini de kontrol ediyor.
Soğuk Savaş sırasında kurulan Spetsnaz, 1968 Prag Baharı ve Sovyetlerin Afganistan’ı işgali sırasında eyleme geçti. Daha yakın zamanlarda, Kırım’ın 2014’te Ukrayna’ya yasa dışı ilhak edilmesinden önce görülen Küçük Yeşil Adamlar olarak adlandırılan bu kişiler, Şubat 2022’den bu yana Ukrayna topraklarında, önemli hedeflere yönelik sabotajlar ve Ukrayna cumhurbaşkanına yönelik potansiyel suikast girişimleri de dahil olmak üzere çeşitli eylemlere katılmışlardı. Volodimir Zelensky.