Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
GitHub’da Herkese Açık Olarak Bulunan Gizli Arka Kapı, Daha Büyük Saldırılar İçin Silah Olarak Kullanılabilir
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
13 Kasım 2024
Gizliliği ve komutları yürütme ve dosyaları yönetme yeteneği ile bilinen Çince bir arka kapı olan Godzilla webshell, GitHub’da halka açıktır ve federal yetkililer, sağlık sektörüne bu tehdide ve kaçınılmaz siber saldırılara hazırlanmaları için sert bir uyarı yayınladı.
Ayrıca bakınız: Kuruluşunuzu Güvenceye Almak İçin 57 İpucu
ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Salı günü yaptığı bir uyarıda, tüm sağlık kuruluşlarına Godzilla web kabuğunu kullanan saldırılara karşı savunma yapmak için risk azaltma önlemlerini gözden geçirmeleri ve almaları için “yalvardığını” söyledi.
Amerikan Hastaneler Birliği de HHS HC3’ün uyarısına dayanarak arka kapıyla ilgili bir uyarı yayınladı. AHA’dan Scott Gee, Information Security Media Group’a, grubun tehdit aktörlerinin korunan sağlık bilgilerini çalmak ve kritik hastane operasyonlarını aksatmak için kötü amaçlı yazılım dağıtmak için fidye yazılımı saldırılarında kullanacağından korktuğunu söyledi.
AHA’nın siber güvenlik ve riskten sorumlu ulusal danışman yardımcısı Gee, “Hastaneler ve sağlık sektörü en sık saldırıya uğrayan sektör olmaya devam ediyor” dedi. “Godzilla web kabuğu, kamuya açık olması, aktif olarak güncellenmesi ve bakımının yapılması nedeniyle özellikle sinsi bir tehdittir, bu da tespit edilmesini zorlaştırır.”
HHS HC3, uyarısında Godzilla web kabuğunun nispeten yüksek bir güven ile Çin ulus devleti tehdit aktörlerine atfedildiğini ve sağlık sektörü de dahil olmak üzere bir dizi sektörü hedeflemek için kullanıldığını söyledi.
HHS HC3, “Kamuya açıktır ve bu nedenle birçok kötü aktörün kullanımına açıktır ve ciddi bir tehdit olarak ele alınmalıdır” dedi.
HHS HC3, Çince dilindeki arka kapının, Godzilla’nın genellikle saldırılarda daha kolay tespit edilen mevcut web kabuklarına yanıt olarak oluşturulduğunu iddia eden BeichenDream çevrimiçi tanıtıcısını kullanan bir kişi tarafından oluşturulduğunu söyledi.
Ajans, web kabuğunun, saldırganların “kurban sistemindeki dosyaları yükleme, indirme, silme ve değiştirme” de dahil olmak üzere dosyaları yönetmesine ve değiştirmesine yardımcı olabileceğini söyledi.
HHS HC3, “Godzilla, ağ trafiği için gelişmiş şifreleme standardı şifrelemeyi kullanarak tespit edilmeyi önler, bu da tespit edilmesini zorlaştırır. Godzilla’nın son derece yetenekli ve işlevsellik dolu olduğu düşünülmektedir.” dedi.
Ancak Godzilla – herhangi bir web kabuğu gibi – dosyaların ve komutların yürütülmesini de destekler. “İşletim sistemleri, ağ yapılandırmaları, yazılım ve uygulama sürümleriyle ilgili ayrıntıların toplanması gibi keşiflere olanak tanır. Kalıcı erişimin sürdürülmesini kolaylaştırır.”
Ayrıca BeichenDream, Godzilla’yı kodu da dahil olmak üzere kamuya açık Github deposunda bulundurduğu için, “bu, başka bir tehdit aktörünün (yabancı hükümet, siber suç çetesi veya başka herhangi biri) kodu kendi amaçlarına uygun olarak ele geçirmesinin, değiştirmesinin ve kullanmasının nispeten önemsiz olduğu anlamına gelir. benzersiz amaçlar,” diye uyardı HHS HC3.
HHS HC3, federal hükümet yetkililerinin Godzilla web kabuğunu kullanan daha önceki birçok saldırı ve kampanyadan haberdar olduğunu söyledi.
Buna Kasım 2021’de başka tehdit uyarılarına konu olan iki ilgili kampanya da dahildir.
ABD İç Güvenlik Bakanlığı Siber Güvenlik ve Altyapı Güvenliği Ajansı, bilinen bir kimlik doğrulama atlama güvenlik açığından yararlanan bir dizi saldırıda Godzilla’yı veya bir self-servis şifre yönetimi ve Zoho’nun ManageEngine ADSelfService Plus’ındaki CVE-2021-40539’u kullanan gelişmiş kalıcı tehdit aktörleri konusunda uyardı. tek oturum açma platformu (bkz.: NSA, Casus Grubunun Kritik Sistemleri İhlal Ettiğini Bildirdi).
Daha sonra Kasım 2021’de hem Microsoft hem de Palo Alto, Godzilla’dan yararlanan ve aynı CVE-2021-40539 güvenlik açığından yararlanan ikinci bir ilgili kampanya tespit etti. Microsoft, gözlemlenen altyapı, mağduriyet, taktik ve prosedürlere dayanarak bu saldırıları Çin dışında faaliyet gösteren DEV-0322 olarak tanımlanan bir gruba bağladı. Palo Alto, sağlık sektörü de dahil olmak üzere en az dokuz kuruluşun hedef alındığı bu saldırıları gerçekleştirmek için ABD’de kiralık altyapının kullanıldığını gözlemlediğini bildirdi.
Ayrıca HHS HC3, Şubat 2023’te AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki araştırmacıların, m00nlight olarak da bilinen APT Dalbit tarafından Godzilla ve diğer siber silahlara sahip kurbanları hedef alan bir saldırı kampanyası yürüttüğünü bildirdi. Bu saldırılar ilaç endüstrisi de dahil olmak üzere çeşitli sektörlerden 50 kuruluşu hedef aldı.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi, küresel sağlık sektörünü etkileyen fidye yazılımı ve kötü amaçlı yazılım olaylarına ilişkin son raporlarda bir artış görse de, Sağlık Bakanlığı’nın baş güvenlik sorumlusu Errol Weiss, şu ana kadar Godzilla web kabuğunun “doğrudan görüldüğünü” söylemedi. -ISAC.
Yine de Weiss, HHS’nin Godzilla ile ilgili uyarıda bulunmasından memnun olduğunu söyledi. “Hangi sektörde olursa olsun tüm kuruluşları bültendeki tavsiyelere uymaya teşvik ediyorum” dedi.
Bunlar, en son yazılım güncellemelerini ve yamaları uygulayan ADSelfService Plus kullanıcı organizasyonlarını içerir.
AHA’dan Gee, web kabuklarını tespit etmenin aynı zamanda “ağ bölümlendirmesi, ağ trafiği analizi ve uç nokta tespiti ve yanıtı gibi araçları kullanan kapsamlı bir derinlemesine savunma yaklaşımı gerektirdiğini” söyledi.
Health-ISAC’den Weiss, sağlık kuruluşlarına HHS tarafından Ocak ayında yayınlanan gönüllü Siber Güvenlik Performans Hedeflerini incelemelerini ve uygulamalarını tavsiye ediyor (bkz: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
“CPG’leri uygulamak ve bir bilgi paylaşım topluluğuna katılmak, bir kuruluşun güvenlik duruşunu büyük ölçüde iyileştirmeye yardımcı olacaktır.”