Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, ağ güvenlik duvarları, ağ erişim kontrolü
Juniper Networks, saldırganları engellemek için anında güncelleme ve kötü amaçlı yazılım taramalarını teşvik ediyor
Mathew J. Schwartz (Euroinfosec) •
12 Mart 2025
Bir Çin siber yemek operasyonu, özel bir arka kapıya sahip modası geçmiş ardıç ağ yönlendiricilerini hedefliyor, ulus-devlet hackerlarının kötü güvenli kenar cihazlarına karşı saldırısının daha fazla kanıtı.
Ayrıca bakınız: Corelight’ın Brian Dye NDR’nin Fidye Yazılımı Yenilmesinde Rolü
Google’ın Maniant Tehdit İstihbarat Grubu, Juniper’ın Junos OS’yi çalıştıran yönlendiricileri, Pekin uyumlu bir grup tarafından UNC3886 olarak izliyor.
Çarşamba günü Juniper ile koordineli olarak yayınlanan bir raporda Maniant, kampanyayı ve Tiny Shell adlı halka açık, açık kaynaklı Unix arka kapıya dayanan yönlendiricilere yüklenen arka kapıları detaylandırdı.
Mantiant, “Backdoors, aktif ve pasif arka kapı işlevleri de dahil olmak üzere değişen özel özelliklere ve hedef cihazdaki kayıt mekanizmalarını devre dışı bırakan gömülü bir komut dosyasına sahipti ve grubun” dahil olduğunu gösterdi “dedi.
Bilgisayar korsanları, Junos OS’de yerleşik olan ve sadece yetkili ikili dosyaların cihazlarında yürütülmesini sağlamak için tasarlanan dosya imzalama ve doğrulama şeması olan Verixec’i aktardı. Doğrulanmış EXEC, saldırganlar devre dışı bırakmaya çalışırsa uyarıları tetiklemelidir. Mantiant, saldırganların yine de “meşru bir sürecin anısına kötü niyetli kod enjekte ederek” yan yana koyduğunu söyledi.
Juniper ve Mandiant, riskleri ve kullanıcıların bunları nasıl ele alması gerektiği detaylandırma iki ortak güvenlik uyarısı – JSA93446 ve JSA5385 – yayınladılar.
Saldırı kampanyası hakkındaki uyarılar, ulus devletlerin ve sofistike siber suç hackerlarının ağ erişimi için bir vektör olarak Honladıkları kanıtlarını takip ediyor. Üst düzey hükümet ve siyasi hedeflere casusluk yapmak için ABD telekomlarına sızan tuz tayfası olarak izlenen Çinli hackerları araştıran müfettişler, sıklıkla bilinen güvenlik açıklarından veya kötü yapılandırılmış savunmalardan yararlandıklarını söylediler (bakınız: Edge Cihazlar, kütle kaba kuvvet şifre saldırılarında artışla yüzleşir).
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan bilinen sömürülen güvenlik açıkları kataloğunun güvenli olan siber güvenlik firması tarafından yapılan analizler, bu on yıl boyunca, bilgisayar korsanlarının, dövülmemiş güvenlik açıklıklarını belirlemek de dahil olmak üzere Edge Cihazları için istismarlar geliştirdiğini buldu. Yönlendiriciler, güvenlik duvarları ve yönetilen dosya aktarım araçları gibi kenar cihazları “kolektif savunmalarımızda zayıf bir noktayı temsil eder”, yama işlemlerinin zayıf oranları ile birleştirilen bir sorun, siber güvenlik firması Rapid7 geçen Mayıs ayında uyardı (bkz: bkz: Kenar ve altyapı cihazlarına yönelik saldırılarda artış).
Mantiant, ardıç Junos OS kampanyası arasında herhangi bir “teknik örtüşme” bulamadığını ve düzenli olarak, kritik altyapıyı hedeflemek için özel olarak sahip olunan ağ cihazlarını düzenli olarak hedefleyen Salt Typhoon veya Volt Typhoon’a atfedilen saldırılara bağlı olarak bildirilen detayları bulmadığını söyledi.
Saldırıları araştırmak için Juniper Networks ile çalışan Mandiant, enfekte Juniper MX yönlendiricilerinin “yaşam sonu donanımı ve yazılımı çalıştırdığını” bulduğunu söyledi.
Saldırılarla mücadele etmek için Mandiant, yöneticilere hemen “ardıç cihazlarını en son görüntülere yükseltmesini” önerir;
Mantiant Consulting yöneticisi ve araştırma raporunun ortak yazarı Logesh N, Bilgi Güvenliği Medya Grubu’na verdiği demeçte, “Kuruluşlar JMRT Hızlı Tarama ve Dürüstlük Kontrolünü Yükseltme ve Dürüstlük Kontrolünü çalıştırmalıdır.” Dedi. “Mantiant, bu etkinliğin en iyi uygulama olarak tüm versiyonlarda yapılmasını ve sadece bu tehdide tepki olarak yapılmasını önerir.”
Hızlı Tarama, cihazın işlemlerini ve belleklerini kötü amaçlı yazılım belirtileri için analiz eder ve bulunursa işlemi durdurur ve kötü amaçlı yazılım dosyalarını siler, bütünlük kontrolü, onaylanmamış ikili dosyaların çalıştırılmasını durduran Doğrulanmış Exec olarak adlandırılan bütünlük mekanizmasının etkinleştirilmesini sağlar.
Mantian, saldırıları UNC3886 olarak izlediği bir “Çin -nexus casusluk grubuna” bağladı, yani açıkça ulus devlet ekipleri olan grupların aksine, yani ileri düzeyde kalıcı tehdit grupları – ya da öncelikle finansal olarak motive olmuş aktörler.
Bunun önerdiği gibi, Grubu kim yöneten ve Çin devletiyle olan ilişkilerinin kimliği net değildir, ancak Pekin düzenli olarak hacklemesini gerçekleştirmek için geniş bir özel sektör yüklenicisi ağına güvenmektedir (bkz:: ABD Hacker altyapısını ele geçiriyor, iddianameleri ortaya çıkarıyor).
Araştırmacılar bu ardıç yönlendirici hedefleme kampanyasının belirli bir kurbanını detaylandırmamış olsa da, “Mantiant, UNC3886’nın tarihsel olarak havacılık ve savunma, enerji ve kamu hizmetleri, hükümet, telekomünikasyon ve teknoloji sektörlerini hedeflemeye odaklandığını belirledi.”
Buna ek olarak, grubun, hem ağ cihazlarını hem de sıfır gün istismarlarını kullanarak sanallaştırma teknolojilerini hedeflemek de dahil olmak üzere pesfiltrasyon faaliyetlerinde “son derece usta” göründüğünü söyledi.