Sandworm’un potansiyel katılımı, atıfın ötesinde daha geniş bir tehdit, Zyxel güvenlik duvarlarının savunmasızlığı ve Avrupalı enerji şirketlerine odaklanma, gelişmiş siber güvenlik duruşu ve tehdit istihbaratı gerektirmektedir.
Küresel bir siber güvenlik lideri olan Forescout, Mayıs 2023’te Danimarka enerji sektörüne yönelik iki saldırı hakkında yeni kanıtlar sağladı (PDF). ‘Savaş Sisinin Temizlenmesi’ başlıklı raporları, daha iyi ağ izleme ve olay müdahale planlarına olan ihtiyacın altını çiziyor ve Sandworm adı verilen gelişmiş bir kalıcı tehdit (APT) grubunun potansiyel katılımını analiz ediyor.
Bilginize, Danimarka’nın kritik altyapı CERT’i SektorCERT, 11-30 Mayıs 2023 tarihleri arasında 22 Danimarka enerji sektörü şirketine yönelik siber bağlantılı önemli bir saldırı bildirdi. Rus APT Kum Solucanı ile bağlantılı saldırılar, Zyxel güvenlik duvarlarındaki güvenlik açıklarından yararlandı. SektorCERT’in hızlı tepkisine rağmen bazı şirketler ada moduna geçmek zorunda kaldı ve saldırganların endüstriyel kontrol sistemlerine erişmesine izin verildi.
Forescout Research-Vedere Labs raporu bu olaya ışık tuttu. Bildirildiğine göre, ilk saldırı dalgası 11 Mayıs 2023’te başladı ve yama yapılmamış Zyxel güvenlik duvarlarındaki bir kimlik doğrulama öncesi işletim sistemi komut ekleme güvenlik açığı olan CVE-2023-28771’den yararlanıldı.
22 Mayıs 2023’te, saldırganların MIPS ikili dosyalarını 45.89.106147’den Moobot lezzet göstergelerine sahip Mirai varyantlarını içeren bir enerji sektörü kuruluşundaki Zyxel güvenlik duvarlarına indirdiği ikinci bir dalga meydana geldi. Güvenlik duvarları; Hong Kong, ABD ve Kanada’daki hedeflere yönelik DDoS ve SSH kaba kuvvet saldırılarına katıldı.
Diğer SektorCERT üyesi kuruluşlardaki Zyxel güvenlik duvarlarının, tarihsel olarak kötü amaçlı yazılım dağıtımı, reklam yazılımı, fidye yazılımı ve Log4j istismar girişimleriyle ilişkilendirilen Mirai türlerini hazırlama sunucularından indirdiği de gözlemlendi.
Raporda, “İkinci olaydan sonra, takip eden aylarda dünya çapında kritik altyapıda bulunan açıkta kalan cihazları hedef alan başka saldırılar oldu” denildi.
Araştırmacılar, iki dalga arasındaki fark göz önüne alındığında saldırıları tam olarak Sandworm’a bağlayamadı. Forescout Research – Vedere Labs Araştırma Başkan Yardımcısı Elisa Costante, ilk dalganın PoC’siz bir gün kullanarak sınırlı sayıda hedefi hedef aldığını, ikinci dalganın ise kitlesel istismar ve suç yazılımı geçmişi olan hazırlama sunucuları tarafından enfekte edilen Zyxel güvenlik duvarlarını içerdiğini açıkladı. .
Çalışmada, ilk olarak Haziran 2023’te TRAPA Security tarafından bildirilen ve Mayıs 2023’te 9,8 önem derecesi ile CISA KEV kataloğuna eklenen Zyxel güvenlik açığı CVE-2023-28771’den yararlanan çok sayıda IP adresi tespit edildi.
Nisan 2023’te Zyxel, USG Flex, ATP, ZyWALL/USG ve VPN dahil olmak üzere etkilenen güvenlik duvarlarına yönelik yamaları duyurdu. Ancak FortiGuard Labs, Zyxel güvenlik açığından yararlanan DDoS botnet’lerinde bir artış olduğunu bildirdi; bu durum Ekim 2023’e kadar devam etti ve Zyxel güvenlik duvarları da dahil olmak üzere çeşitli cihazlara yayıldı.
Mayıs 2023’te Hackread, Mirai botnet’inin bir çeşidi olan IZ1H9’un, yamalı bir komut ekleme güvenlik açığı kullanarak Zyxel Güvenlik Duvarlarını nasıl başarılı bir şekilde hacklediğini ve potansiyel olarak DDoS saldırılarına yol açtığını bildirdi. Palo Alto Networks’ün 42. Biriminden araştırmacılar, bunu en aktif Mirai çeşidi olarak tanımladılar.
Avrupa, kamuya açık olarak tanımlanabilir ve potansiyel olarak savunmasız güvenlik duvarlarının %80’inin orada bulunduğu yüksek düzeyde istismar girişimleriyle karşı karşıyadır. Altı Avrupalı enerji şirketi, Zyxel güvenlik duvarlarını kullanmaları nedeniyle kötü niyetli aktörler tarafından istismar edilme riskiyle karşı karşıya bulunuyor ve bu da enerji sektöründe tehdit istihbaratına öncelik verilmesi ihtiyacını vurguluyor.
Karadan yaşamak (LotL) saldırıları gizlilik avantajları sunarak saldırganların eski/tescilli protokollerden uzaklaşmasına olanak tanır. Enerji firmaları ve kritik altyapı kuruluşları, yama yapılmamış ağ altyapısı cihazlarına yönelik saldırılara karşı tetikte olmalıdır.
Uzman Görüşleri
Yeni gelişmeyle ilgili bilgi edinmek için Viakoo’daki Viakoo Laboratuvarları Başkan Yardımcısı John Gallagher’a ulaştık. Kendisi Forescout’u “kritik altyapıya yönelik açıkları daha derinlemesine incelemesi ve bu saldırıların arkasında yatan gerçeğe yaklaşması” nedeniyle övdü.
“Bu saldırı vektörlerinin daha doğru bir değerlendirmesini yapmak ve Forescout’un sağladığı gibi bu gerçeğe daha hızlı ulaşmak, bu kritik varlıkların korunmasında çok önemlidir. Siber rakiplerin çabalarını engellemek bir savunma biçimidir; bu nedenle tehdit aktörünün kim olduğunun spesifik olarak belirlenmesi ICS altyapısını savunmak açısından kritik önem taşıyor” dedi.
“Forescout’un analizi, ulus devletin yönlendirdiği siber saldırılardan kitlesel sömürü kampanyalarına doğru yayılmaya işaret ediyor ki bu endişe verici bir trend. John, “Kitlesel pazardaki” tehdit aktörlerinin ICS sistemlerinin benzersiz dilleri ve protokolleri dahilinde çalışma konusunda daha becerikli hale gelmesiyle bağlantılı olmayan tehdit aktörlerinin “hizmet olarak” ICS istismarı sağlama riskini önemli ölçüde artırdığını ekledi.
“Ayrıca bu, IoT/OT/ISC sistemlerine bağımlı olan kuruluşların, bir noktada ulusal kritik altyapıya karşı başlatılan aynı tehditlerin doğrudan hedefi olacağı anlamına geliyor.”
DeNexus CEO’su ve kurucusu Jose Seara, şirketlerin siber risklerini anlayarak, bunları tanımlayarak ve parasal açıdan ölçerek “siber güvenlik duruşlarını güçlendirmeleri” gerektiğini vurguluyor.
“Kritik altyapı ve endüstriyel alanlar, tehdit aktörleri tarafından giderek daha fazla hedef alınıyor ve hepsinin siber güvenlik duruşlarını güçlendirmesi gerekiyor. Jose, bu şirketlerin siber risklerini daha iyi anlamaları, bunları tanımlamaları ve siber güvenlik yatırımlarında veriye dayalı kararlar alabilmek için bunları parasal açıdan ölçmeleri zorunludur” dedi.
“Ek olarak, ABD’de siber güvenlik raporlamasına ilişkin yeni SEC düzenlemeleri ve Avrupa’da NIS2, siber risk yönetiminin raporlanmasını zorunlu kılıyor, saldırıların ilgili sonuçlarını standart güvenlik endişelerinin ötesine taşıyor ve bu düzenlemelere uymayan kuruluşları potansiyel yasal ve mali sonuçlarla karşı karşıya bırakıyor. ,” ekledi.
İLGİLİ MAKALELER
- Azure OMIGOD güvenlik açıklarından yararlanan Mirai botnet
- DDoS Saldırıları Danimarka Merkez Bankası ve 7 Özel Bankayı Vurdu
- Saldırgan, sızdırılan Mirai kaynak koduyla kötü amaçlı yazılım türevi oluşturuyor
- Danimarka’nın en büyük tren operatörü, hizmeti sekteye uğratan DDoS saldırısına uğradı
- Mirai Tabanlı NoaBot Botnet, Cryptominer ile Linux Sistemlerini Hedefliyor