Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Büro, Çinli Hackerların Karşı Önlemleri Yenilmesine Karşı ‘Aktif İzinsiz Girişler’ Konusunda Uyardı
David Perera (@daveperera) •
23 Ağustos 2023
FBI, çarşamba günü yaptığı flaş uyarıyla, Barracuda Networks tarafından yapılmış, önceden yamalı e-posta güvenlik cihazlarının derhal kaldırılması çağrısında bulundu ve bu, Çin’in son yıllardaki en geniş çaplı siber casusluk kampanyası olarak adlandırılan kampanyayı engellemek için yeni bir aciliyet yarattı.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Büro, Pekinli hackerlar tarafından istismar edilen sıfır gün güvenlik açığını düzeltmek için tasarlanan Barracuda yamalarının etkisiz olduğunu tespit ettiğini açıkladı.
Büronun siber bölümü, “FBI, aktif izinsiz girişleri gözlemlemeye devam ediyor ve etkilenen tüm Barracuda ESG cihazlarının tehlikeye atıldığını ve bu istismara karşı savunmasız olduğunu düşünüyor” dedi. Güvenlik açığı CVE-2023-2868 olarak takip ediliyor.
Uyarıda ayrıca “Barracuda müşterileri tüm ESG cihazlarını derhal kaldırmalıdır” ifadesi yer alıyor.
Haziran başında Barracuda, saldırıya uğrayan Email Security Gateway cihazlarının sahiplerine, güvenlik açığını düzeltmek için yama uygulayıp uygulamadıklarına bakılmaksızın ekipmanlarını derhal değiştirmeleri konusunda çağrıda bulundu. Uyarı, şirketin daha önce güvenliği ihlal edilen cihazlarda, güvenlik düzeltmeleriyle güncellendikten sonra bile kötü amaçlı faaliyetlerin devam ettiğini gözlemlemesinin ardından geldi.
Çarşamba akşamı bir Barracuda sözcüsü, Bilgi Güvenliği Medya Grubu’na şirketin FBI’ın uyarısının, yalnızca daha önce saldırıya uğramış cihazların sahiplerinin cihazlarını değiştirmesi gerektiği yönündeki önceki kılavuzuyla tutarlı olduğuna inandığını söyledi. ISMG, açıklama talebiyle FBI ile temasa geçti.
Devlet tarafından yürütülen bir siber casusluk operasyonundaki şüpheli Çinli bilgisayar korsanları, yüzlerce kuruluşun güvenliğini tehlikeye atmak için popüler e-posta güvenlik cihazındaki güvenlik açığından yararlandı. Mandiant’taki güvenlik araştırmacıları Haziran ayında saldırganların sıfır günü istismar etmeye geçen Ekim ayında ve muhtemelen daha önce başladığını belirledi. Mandiant’ın baş teknik sorumlusu Charles Carmakal, Haziran ayında yaptığı açıklamada, “Bu, Microsoft Exchange’in 2021’in başlarında kitlesel sömürülmesinden bu yana Çin bağlantılı bir tehdit aktörü tarafından yürütüldüğü bilinen en geniş siber casusluk kampanyasıdır” dedi (bkz.: Çinli Hackerlar Barracuda ESG Zero-Day’den Yararlanıyor).
Barracuda, 19 Mayıs’taki hack saldırılarını gözlemledikten sonra ilk ESG güvenlik yamasını 20 Mayıs’ta yayınladı. Bu güvenlik açığı, bilgisayar korsanlarının kötü niyetli bir e-posta göndermesine olanak tanıdı. TAR arşiv dosyası, cihaza komut enjeksiyonuyla sonuçlanır. Eki tarayan güvenlik cihazı saldırıyı tetikledi.
Barracuda tarafından araştırmak üzere getirilen Mandiant, hacklemeyi “yüksek güvenle” Pekin’e bağladı ve kampanyayı daha önce bilinmeyen ve yeni adı UNC4841 olan Çinli bir tehdit aktörüne bağladı. Mandiant CEO’su Kevin Mandia, çarşamba günü e-postayla gönderdiği açıklamada, tehdit aktörünün “CVE-2023-2868’in iyileştirilmesinin ardından yüksek öncelikli hedeflerin küçük bir alt kümesine yeni ve yeni kötü amaçlı yazılımlar dağıttığını” söyledi.
Bilgisayar korsanları, Barracuda’nın yamasına, tespit edilmekten kaçınmak için ana arka kapıyı değiştirerek yanıt verdi. Siber Güvenlik ve Altyapı Güvenliği Ajansı Cuma günü bir danışma belgesinde, Denizaltı olarak adlandırılan güncellenmiş arka kapının “ESG cihazındaki yapılandırılmış bir sorgu dili (SQL) veritabanında yaşadığını” söyledi.
Mandia, “Bu aktör, derin hazırlık ve özel araçlar yoluyla gelişmişlik ve uyarlanabilirlik göstermeye devam ederek, küresel casusluk operasyonlarının dünya çapındaki kamu ve özel sektörlere yayılmasını sağlıyor” diye ekledi.