Federal Soruşturma Bürosu, Rus Federal Güvenlik Servisi (FSB) Center 16 tarafından yürütülen ve Amerika Birleşik Devletleri’nde ve küresel olarak ağ altyapısını hedefleyen sofistike siber operasyonlar hakkında kritik bir güvenlik uyarısı yayınlamıştır.
Tehdit aktörleri, kritik altyapı sistemlerine yetkisiz erişim elde etmek için savunmasız ağ cihazlarından yararlanıyor ve bu da temel hizmetleri tehlikeye atmak için hesaplanmış bir yaklaşım gösteriyor.
Kampanya, basit ağ yönetimi protokolü (SNMP) zayıf yönlerinin yanı sıra Cisco Smart Instow (SMI) protokolü uygulamalarında bulunan CVE-2018-0171 olan CVE-2018-0171’den yararlanmamış bir güvenlik açığından yararlanıyor.
Bu saldırı vektörleri, tehdit aktörlerinin mevcut güvenlik yamalarından yoksun olan yaşam sonu ağ cihazlarına uzaktan erişmesine ve hedeflenen ağlara kalıcı giriş noktaları oluşturmasına izin verir.
FBI analistleri, tehdit aktörlerinin, birden fazla kritik altyapı sektöründeki ABD kuruluşlarıyla ilişkili binlerce ağ cihazından yapılandırma dosyalarını başarıyla topladığını belirledi.
Bu operasyonun kapsamı, ağ mimarilerini haritalamak ve endüstriyel kontrol sistemlerinde yüksek değerli hedeflerin belirlenmesi için sistematik bir yaklaşım ortaya koymaktadır.
FSB Center 16 birimi, “Berserk Bear”, “Yusufçuk” dahil olmak üzere siber güvenlik uzmanları tarafından bilinen ve daha yakın zamanda Cisco Talos araştırmacıları tarafından “Statik Tundra” olarak tanımlanan birkaç takma takma ad altında faaliyet göstermektedir.
Bu tehdit grubu, eski şifrelenmemiş protokolleri kabul eden cihazları sürekli olarak hedefleyen on yıldan fazla bir süredir operasyonları sürdürdü.
Yapılandırma dosyası manipülasyonu ve kalıcılık mekanizmaları
Saldırı metodolojisi, tehlikeye atılan ağlarda uzun vadeli kalıcılığı sağlayan sofistike yapılandırma dosyası manipülasyon tekniklerine odaklanmaktadır.
CVE-2018-0171 güvenlik açığı aracılığıyla ilk erişim sağlandıktan sonra, tehdit aktörleri arka kapı erişim mekanizmalarını oluşturmak için cihaz yapılandırma dosyalarını sistematik olarak değiştirir.
Bu değişiklikler, meşru ağ konfigürasyonlarıyla karışacak şekilde özenle hazırlanmıştır, bu da tespiti standart güvenlik izleme araçları için zorlaştırır.
Aktörler, operasyonel teknoloji ortamlarının stratejik hedeflenmesini öneren endüstriyel kontrol sistemleri ile yaygın olarak ilişkili protokollere ve uygulamalara özel ilgi göstermektedir.
Modifiye edilmiş yapılandırma dosyaları aracılığıyla erişimi sürdürerek, tehdit grubu mağdur ağlarında fark edilmeden kalırken genişletilmiş keşif operasyonları yapabilir.
Bu kalıcı erişim yöntemi, saldırganların ağ trafik modellerini izlemelerini, kritik sistem bağımlılıklarını tanımlamasına ve potansiyel olarak kendilerini temel altyapı hizmetlerine karşı gelecekteki yıkıcı operasyonlar için konumlandırmasına olanak tanır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.