Katar'da düzenlenen 2022 FIFA Dünya Kupası futbol turnuvasından yaklaşık altı ay önce, daha sonra Çin bağlantılı BlackTech olarak tanımlanan bir tehdit aktörü, oyunlara yönelik büyük bir iletişim sağlayıcısının ağını sessizce ihlal etti ve ağ cihazı yapılandırmalarını depolayan kritik bir sisteme kötü amaçlı yazılım yerleştirdi.
İhlal, NetWitness'taki araştırmacıların servis sağlayıcı için yapılan rutin bir denetim sırasında bunu tespit ettiği oyunlardan altı ay sonrasına kadar tespit edilmedi. Bu süre zarfında siber casusluk grubu, telekomünikasyon sağlayıcısının hedeflenen müşterilerinden (Dünya Kupası ile ilişkili olanlar ve buna hizmet sağlayan sağlayıcılar dahil) bilinmeyen miktarda veri topladı.
Neredeyse Kaçırılan
Ancak yakın zamanda Dark Reading ile olayı ilk kez tartışan NetWitness'in olaya müdahaleden sorumlu küresel uygulama yöneticisi Stefano Maccaglia, asıl korkutucu olanın “başka ne olabilirdi” olduğunu söylüyor.
BlackTech'in telekomünikasyon sağlayıcısının sistemine erişimi, tehdit aktörünün, oyunla ilişkili tüm yayın hizmetleri de dahil olmak üzere önemli iletişimleri tamamen kesintiye uğratmasına olanak tanıyacaktı. Maccaglia, böyle bir kesintinin jeopolitik çıkarımlar, marka hasarı, ulusal itibar ve Dünya Kupası öncesinde müzakere edilen lisans hakları ve reklamlardan kaynaklanan yüz milyonlarca dolarlık kayıp açısından önemli sonuçlar doğuracağını söylüyor.
Maccaglia, NetWitness'ın keşfi hakkında “Normalde çok dikkatliyiz, ancak bu durumda dehşete kapıldık” diyor. “Tehdit aktörünün kelimenin tam anlamıyla parmağı düğmeye bastı ama basmadı.”
NetWitness'ın Katar Dünya Kupası'na katılımı, 2022'de, etkinlikten yaklaşık altı ay önce, birkaç yerel hizmet sağlayıcının, oyunlara yönelik bazı destekleyici BT altyapısının siber güvenlik hazırlığını değerlendirmek üzere şirketi işe almasıyla başladı. Bu çabaya dahil olan diğer güvenlik sağlayıcıları gibi telekomünikasyon sağlayıcısı da NetWitness'e teknoloji yığınının ve ortamının önemli bir kısmına erişim izni verdi, ancak hepsine değil.
Maccaglia'ya göre NetWitness ekibi, sağlayıcının teknoloji yığınının şirketin erişim sahibi olduğu kısımlarında çeşitli sorunları tespit etti ve düzeltti. Ancak hizmet sağlayıcının nihayet ortamın geri kalanını ek denetim için NetWitness'e açması ancak 2023'ün başlarında gerçekleşti. Bu, NetWitness'in, birisinin sağlayıcının ağına erişim kazandığını öne süren günlük etkinliğini ortaya çıkardığı zamandı.
Rootkit ve Arka Kapı
Şirketin daha sonra yaptığı araştırma, saldırganın, sağlayıcının müşterileri için cihaz yapılandırmalarını depolayan kritik bir yapılandırma yönetimi veritabanına (CMDB) Waterbear adı verilen karmaşık bir rootkit ve bir arka kapı yerleştirdiğini gösterdi. NetWitness, saldırganların ortamdaki ek sistemleri hedeflemek için genellikle BlackTech APT ile ilişkilendirilen bir uzaktan erişim Truva Atı olan PLEAD'i kullandıklarını tespit etti.
“Saldırgan bu veri tabanını kontrol etmeyi amaçladı [from] Başlangıç, çünkü bu onun konfigürasyonları anında değiştirmesine ve bittiğinde hiçbir iz bırakmadan geri döndürmesine olanak tanıyacak” diyor Maccaglia.
BlackTech, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) geçen yıl telekomünikasyon, teknoloji, medya, elektronik ve endüstriyel sektörlerdeki kuruluşlara yönelik bir tehdit olarak tanımladığı bir tehdit aktörüdür. CISA, bir danışma belgesinde tehdit aktörünü (diğer adıyla Radio Panda, Circuit Panda, Temp.Overboard ve Palmerworm) özellikle tanımladı: Yönlendirici kötü amaçlı yazılımları tespit edilmeden değiştirme konusunda ustadır ve kurban ağlarına erişim sağlamak için yönlendiricilerin etki alanı-güven ilişkilerini kötüye kullananlar. CISA, “BlackTech aktörlerinin TTP'leri, özelleştirilmiş kötü amaçlı yazılım geliştirmeyi ve yönlendiricileri tehlikeye atmak için özel kalıcılık mekanizmaları geliştirmeyi içeriyor” dedi. “Bu TTP'ler, aktörlerin günlüğe kaydetmeyi devre dışı bırakmasına ve uluslararası yan kuruluşlar ile yerel genel merkez ağları arasında geçiş yapmak için güvenilir alan adı ilişkilerini kötüye kullanmasına olanak tanıyor.”
Katar'daki telekom sağlayıcısına yapılan saldırıda BlackTech aktörleri, CMDB'ye erişimlerini kullanarak çeşitli kuruluşlarla ilişkili Asus yönlendiricilerindeki yapılandırmaları, bu kuruluşlara ait sistemlerin internet üzerinden erişilebilir olmasını sağlayacak şekilde değiştirdi. Daha sonra asus.com'un DNS çözünürlüğünü değiştirerek, Asus'un yasal görünen yazılım güncellemelerinde gizlenen PLEAD'i bu sistemlere yüklediler. Tehdit aktörü daha sonra kurban kuruluşlardan veri çalmak için PLEAD'den yararlandı. Bu şekilde virüs bulaşan sistemler arasında Dünya Kupası maçlarıyla ilgili olanlar da vardı. Maccaglia, saldırganların yönlendirici yapılandırma ayrıntılarını birkaç saatliğine değiştirip ardından tespit şansını en aza indirmek için orijinal kurallara geri döndüğünü söylüyor.
Görünürlük Eksikliği Endişesi
Maccaglia, Dünya Kupası'ndan önceki aylarda, etkinlik sırasında veya aylar sonrasında kimsenin bu izinsiz girişi fark edememesinin endişe verici olduğunu söylüyor. 2024 Yaz Olimpiyatları için geri sayım sürerken, oyunları destekleyen tüm teknoloji yığınının güvenlik sorunları açısından incelenmesinin zorunlu olduğunu söylüyor.
Olimpiyatlar, diğer büyük spor etkinlikleri gibi Final karşılaşması, son yıllarda büyük siber saldırı hedefleri haline geldi. Örneğin 2019'da bir tehdit grubu daha sonra tespit edildi ve Rusya'nın askeri istihbaratıyla bağlantılı Ayrıca açılışını engellemeye çalıştı Kış Olimpiyatları Güney Kore'de Rus sporcuların doping endişesi nedeniyle müsabakalara katılması yasaklandı.
Maccaglia, “Dünya Kupası'nda gördüğümüz gibi, tehditler belirsiz yerlerde yaşayabilir ve çok düşük profilde kalabilir” diyor ve daha geniş görünürlüğü savunarak “Aramanıza izin verilmeyen şeyi bulamazsınız” diye ekliyor NetWitness gibi şirketler için oyunun tüm destekleyici altyapısına dahil edilmesi.
“Her zaman bir tehdit varmış gibi davrandığınızda, kendinizi hasarı azaltacak ve potansiyel olarak çevredeki tehdidin önüne geçebilecek bir konuma getirirsiniz” diyor. “Bu, 2024 Yaz Oyunları için kritik olacak.”