Mandiant’taki güvenlik uzmanları, açıkta çılgınca çalışan ve Fortinet’in FortiGate güvenlik duvarlarını hedefleme konusunda uzman olan gelişmiş bir kötü amaçlı yazılım ortaya çıkardı.
Güvenlik araştırmacıları tarafından “BoldMove” olarak adlandırılan kötü amaçlı yazılım,“ Çinli bir siber casusluk grubundan geldiğine inanılıyor. Raporlara göre, kötü amaçlı yazılım Fortinet’in FortiOS SSL-VPN teknolojisine aşinadır ve yakın tarihli bir sıfır gün güvenlik açığından (CVE-2022-42475) yararlanabilir.
Kaynaklar, BoldMove kötü amaçlı yazılımının faaliyetlerine Ekim 2022’de başladığını ve ilk olarak Aralık 2022’de tespit edildiğini öne sürüyor. Bu yazı yazıldığı sırada, kötü amaçlı yazılımın iki kurbanı bildirildi: Avrupa’da bir devlet kurumu ve Afrika’da yönetilen bir hizmet sağlayıcı.
BoldMove’un C dilinde yazıldığı ve Windows sürümü ve Linux sürümü olmak üzere iki farklı şekilde hizmet sunduğu bildiriliyor.
FortiOS, Fortinet’in FortiGate güvenlik duvarı cihazları tarafından kullanılan bir ağ güvenliği işletim sistemidir. Güvenlik duvarı, VPN, antivirüs, izinsiz giriş önleme, web filtreleme ve daha fazlasını içeren çok çeşitli güvenlik ve ağ özellikleri sağlar.
FortiOS, web tabanlı bir arayüz veya FortiOS Komut Satırı Arayüzü (CLI) aracılığıyla yönetilebilir. FortiOS, fiziksel, sanal ve bulut tabanlı dağıtım seçenekleri dahil olmak üzere çeşitli platformları destekler.
BoldMove nasıl çalışır?
Araştırma raporuna göre, kötü amaçlı yazılım, sistem hakkında bilgi toplamak için kurbanın cihazıyla bağlantı kurmaya çalışıyor. İşlemin sonraki kısmı bir sızma yöntemi ve son olarak bağlantıyı “sabit kodlanmış” bir komuta ve kontrol sunucusuna göndermeyi gerektirir.
Bu iki prosedür tamamlandıktan sonra, kötü amaçlı yazılım, tehdit aktörünün hedeflenen FortiOS cihazına tam erişim elde etmesini sağlar.
BoldMove kötü amaçlı yazılımı, ek dosyalar indirme veya ters bir kabuk açma yeteneği ve FortiOS’un belirli yönlerini hedef alan benzersiz özellikleriyle bilinir.
Uzmanlara göre bu, Fortinet cihazlarının iç işleyişine dair derin bir anlayış sergiliyor.
Ayrıca, kötü amaçlı yazılımın Linux varyantının, daha düşük işlem gücüne sahip cihazlarda verimli çalışacak şekilde optimize edilmiş olması dikkat çekicidir.
FortiOS SSL-VPN (CVE-2022-42475) güvenlik açığı açıklandı
Aralık ayında bir grup araştırmacı, halka açık bir depoda bir casus yazılım keşfetti. Ek analizden sonra, bunun Fortinet’in FortiOS SSL-VPN teknolojisindeki sıfır gün güvenlik açığıyla (CVE-2022-42475) bağlantılı olduğunu belirlediler.
Fortinet’e göre bu güvenlik açığı, yetkisiz bir kişinin savunmasız bilgisayarlarda rasgele kod çalıştırmasına izin veriyor ve Fortinet’in FortiOS ve FortiProxy teknolojilerinin farklı sürümlerinde bulunuyor.
Fortinet ayrıca, güvenlik açığının mevcut açıktan yararlanmadan önce vahşi ortamda en az bir kez kullanıldığını bildirdi.
Söz konusu kötü amaçlı yazılım olan BoldMove, yalnızca bir istismardan oluşmakla kalmaz, aynı zamanda hedeflenen ağın sistemleri, hizmetleri, günlük kaydı ve özel biçimleri hakkında karmaşık bir anlayış sergiler. Rapora göre, saldırganların kullanıcı etkileşimine ihtiyaç duymadan ağa geniş erişim elde etmelerini sağladığı için bu, kötü amaçlı yazılımı özellikle tehlikeli hale getiriyor.
Ayrıca Fortinet ürünlerinin bu tür saldırılar için popüler bir hedef olduğunu belirtmekte fayda var. Bununla birlikte, tehdit aktörleri diğer satıcıların ürünlerini de hedef alarak suçluları bulma sürecini zor ve zaman alıcı hale getiriyor çünkü çoğu tehdit aktörü benzer veya farklı sektörlerdeki kurbanları hedeflemek için farklı yaklaşımlar kullanıyor.