Google’ın Tehdit İstihbarat Grubu (GTIG) tarafından 2015 ortalarında tanımlanan son derece “agresif” bir siber kampanya, perakende, havayolları ve sigorta dahil olmak üzere büyük endüstriler için ciddi bir tehdit oluşturuyor.
Bu sofistike operasyon, İngiltere perakende devleri M&S, Harrods ve Coopop’u etkileyenler de dahil olmak üzere yüksek profilli ihlallerde yer alan 0KTAPUS ve UNC3944 olarak da bilinen finansal olarak motive olmuş bir hack grubu olan dağınık örümcekle ilişkilendirilmektedir.
Grubun birkaç üyesi ABD ve İngiltere’de MGM Resorts ve büyük perakendecilere yönelik saldırılar nedeniyle tutuklanmış ve suçlanmış olmasına rağmen, grup oldukça aktif olmaya devam etmekte ve küresel bir varlık göstermeye devam etmektedir.
GTIG tarafından bildirildiği gibi, en son kampanyasında grup, hassas verileri çalmak ve fidye yazılımlarını doğrudan hipervizörden dağıtmak için VMware VSphere ortamlarının tam kontrolünü kazanmak için tehlikeye atılmış Active Directory hesaplarını izliyor.
Bu yöntem, temelde ESXI hipervizörüne (VCSA) görünürlükten yoksun olan uç nokta algılama ve yanıtı (EDR) gibi geleneksel güvenlik araçlarını sık sık attığından özellikle tehlikelidir.
GTIG, UNC3944’ün beş metodik aşamada tam hipervizör kontrolüne nasıl geçtiğini özetliyor. Kritik giriş noktası, saldırganların düzenli bir çalışanı taklit ettiği ve BT yardım masasına telefon görüşmeleri yaptıkları telefon tabanlı sosyal mühendisliği içerir. Herkese açık olan kişisel bilgileri ve ikna edici taktikleri kullanarak, masa temsilcilerine Active Directory şifrelerini sıfırlamaya yardımcı olurlar.
Bu ilk erişim, vSphere yöneticileri veya güçlü Active Directory grupları gibi yüksek değerli hedefleri arayarak iç keşif yapmalarını sağlar. Daha sonra, ayrıcalıklı bir yöneticinin hesaplarını devralması için taklit ederek ikinci, daha bilinçli bir çağrı yaparlar. Bu kurnaz iki aşamalı işlem, yardım masası kimlik doğrulama prosedürlerindeki güvenlik açıklarından yararlanarak standart teknik korumaları atlar.
Ayrıcalıklı Active Directory kimlik bilgileri çalındığında, saldırganlar vCenter sunucusunu tehlikeye atmak için hızla hareket eder. Oradan VCSA’ya “sanal fiziksel erişim” kazanıyorlar. Kök erişimini sağlamak için sistemin önyükleyicisini manipüle ederler, SSH’yi etkinleştirmek ve daha sonra Teleport adlı meşru bir açık kaynaklı aracı dağıtırlar. Bu araç, çoğu güvenlik duvarının etkili bir şekilde atlanarak kalıcı, şifreli bir iletişim kanalı oluşturur.
Bu derin kontrol ile ESXI ana bilgisayarlarında SSH’yi etkinleştirebilir, şifreleri sıfırlayabilir ve etki alanı denetleyicileri gibi kritik sanal makinelerde “çevrimdışı saldırı” gerçekleştirebilirler. Bu, bir hedef VM’nin güçlendirilmesini, sanal diskini ayırmak, birleştirilmemiş “yetim” VM’ye takmayı ve Active Directory veritabanı gibi hassas verilerin kopyalanmasını içerir.
Tüm bunlar hipervizör katmanında gerçekleşir ve onu en iyi güvenlik temsilcileri için görünmez hale getirir. Fidye yazılımlarını dağıtmadan önce, yedekleme altyapısını hedefleyerek, işleri ve depoları silerek kurtarma çabalarını sabote ederler. Son olarak, özel fidye yazılımlarını zorlamak için ESXI ana bilgisayarlarına SSH erişimi kullanırlar, zorla VMS’yi kapatır ve dosyaları doğrudan hipervizörden şifreleyin.
Google, “UNC3944’ün oyun kitabı, EDR tabanlı tehdit avından proaktif, altyapı merkezli savunmaya geçerek savunma stratejisinde temel bir değişim gerektiriyor” diye uyarıyor. Grup aşırı hızla çalışır; Tüm saldırı, ilk erişimden fidye yazılımı dağıtımına “sadece saatlerde gerçekleşebilir”. Bu nedenle, kuruluşlar sanallaştırılmış varlıklarını güçlü kimlik doğrulaması, VMware sertleştirme, yedekleme bütünlüğü ve sürekli izleme yoluyla korumalıdır.
Massachusetts merkezli uygulama güvenlik çözümleri sağlayıcısı Burlington Black Duck altyapı güvenlik uygulama direktörü Thomas Richards, “Gelişmiş gelişmiş gelişmişlik dağınık örümcek sergilerinin yüksek alarmda güvenlik ekipleri olmalı” dedi.
“Sosyal mühendislik saldırıları, uygun eğitim ve arayanı doğrulamak için bir zorluk süreci ile önlenebilir. Geçerli kimlik bilgileri ve inşa edilmiş araçlar kullanarak güvenlik ekiplerinin tehlikeye girip ödemediklerini fark etmeleri zor” dedi.