Geçen yıl bir savunma sanayi kuruluşunda bir düzineden fazla Fortinet FortiGate güvenlik duvarı gizemli bir şekilde çöktüğünde ve düzgün bir şekilde yeniden başlatılamadığında, bu bir şans eseriydi: Güvenlik duvarının çökmesi, davetsiz misafirlerin şirketin ağına özellikle gizli ve gizli bir şekilde sızdığının ilk işaretiydi. karmaşık saldırı
Mandiant’ın tanımladığı saldırganlar UNC3886, Google Cloud Mandiant’ın CEO’su Kevin Mandia, Dark Reading’e San Francisco’daki RSA Konferansı sırasında verdiği bir röportajda, Çin’den daha az bilinen bir siber casusluk hackleme ekibinin kampanyalarında bir şekilde yanlış ateş ederek güvenlik duvarı arızasına neden olduğunu söyledi. geçen hafta.
“Neyse ki, güvenlik duvarları çöktü” diyor. Aksi takdirde, Mandia’ya göre saldırının mağdur örgüt tarafından tespit edilmesi “çok uzun zaman” almış olabilir.
Mandiant’ın olay müdahale ekibi, ihlal soruşturmasında Fortinet ile birlikte çalıştı ve saldırganların FortiGate güvenlik duvarlarına, Fortinet’in yönetim platformu FortiManager’a ve günlük ve raporlama aracı FortiAnalyzer’a girip kötü amaçlı yazılım yerleştirdiğini tespit etti. Saldırganlar, Fortinet’in FortiOS’undaki (CVE-2022-41328) sıfır günlük bir kusurdan yararlanarak, komut satırı arabirimi yönergeleri aracılığıyla güvenlik duvarı disklerindeki dosyaları okumalarına ve yazmalarına izin veren eski usul bir dizin yolu geçiş saldırısı kullandı.
Saldırganlar ayrıca güvenlik duvarlarında süper yönetici ayrıcalıkları elde etti; FortiManager’da atlanan güvenlik duvarı kuralları; ve VMware ESXi hipervizörleri için oluşturdukları özel bir kötü amaçlı yazılım çerçevesiyle FortiManager’da ve ağ altyapısının derinliklerine demirlemek için FortiAnalyzer’da sanal bir API uç noktası kurun. Ayrıca önyükleme dosyalarını bozarak sistemin dijital imza doğrulama adımını devre dışı bıraktılar.
.jpg?width=480&quality=80&format=webply&disable=upscale)
Güvenlik duvarlarının içine ve sanal donanıma yerleştirme, UNC3886’yı, iş istasyonlarının peşine düşseler onları açığa çıkarabilecek uç nokta algılama ve yanıt (EDR) sistemlerinden uzak tuttu. EDR çıtayı yükselttiğinden, bu, en ısrarcı saldırganlar için giderek daha uygun bir alternatif haline geliyor. Mandia, EDR geliştikçe saldırıları güvenlik duvarlarına “zorluyoruz”, diye açıklıyor.
Çoğunlukla tespit edilemeyecekleri bir alanda saklanmanın neredeyse “mükemmel” bir plan olduğunu ve olay müdahale ekiplerinin onları ve izlerini ortaya çıkarmalarının özellikle zor olduğunu söylüyor. “Bir altyapıyı hackleyebilirler. Saldırı halindeyseniz ve kelimenin tam anlamıyla güvenlik duvarları ve sanal donanımlar üzerinde oturuyorsanız, sizi yakalayacak bir EDR yoktur” diyor.
SolarWinds Saldırısından Daha Ağır Kaldırma
Mandia’ya göre, bu saldırı Çin’in ticari zanaatında büyük bir değişimin altını çizdi. “Hücumla ilgili haberler, Çin’in en yenilikçi yılını geçirdiğiydi” diyor. Geçen yıl ulus-devlet saldırı operasyonlarında “Herkes daha iyi oldu, ancak Çin çok daha iyi oldu” diye ekliyor.
Mandia’ya göre en sıra dışı olan şey, Çinli bilgisayar korsanlığı ekibinin kurbanın ağındaki günlükleri ve etkinliklerinin izlerini nasıl titizlikle silmiş olmasıydı. Çin’deki bilgisayar korsanlığı grupları geleneksel olarak bir saldırıda izlerini silme zahmetine girmezler.
Mandia, “Dosya günlüklerini hiçbir zaman gerçekten temizlemediler. Ancak Fortinet kutularındayken, erişimlerini ve Web günlüklerini temizliyorlar, bir dizi komut uyguluyorlar ve ardından günlüklerden IP adreslerini çıkarıyorlar,” diyor.
UNC3886 kampanyasını 2022’nin “zirve saldırısı” olarak tanımlıyor. “Bu öyle bir saldırı ki, arkasındaki adamsanız, neredeyse birinin bir odaya girip ‘O programa şu saatte erişmek istiyorum’ dediğini görürsünüz. şirket: Git!'” diyor. “Bana göre bu izinsiz giriş için yapılandan daha fazla çalışma yapıldı. [it did with] SolarRüzgarlar.”
Çin gerçekten de bilgisayar korsanlığı konusunda büyük bir yıl geçirdi. İle ilgili Mandiant’ın devlet destekli olarak belirlediği 13 sıfır gün, yedisi Çin merkezli APT’lerden, Mandiant tarafından yakın zamanda yapılan bir araştırmaya göre. Mandia, “Çin’in siber casusluk ve saldırılar için çok fazla kaynağı var” diyor.
Siber Savunucunun Kazanması için Yapay Zeka
Bu arada, ChatGPT’nin hızla gelişi sayesinde, üretken yapay zekanın kullanımı ve kötüye kullanılması son zamanlarda gündemde olan bir konu oldu.
Mandia, saldırganların üretken yapay zekayı daha hedefli kimlik avı ve sosyal mühendislik saldırıları için kullanmalarının muhtemel olduğunu söylüyor, ancak teknolojinin özellikle savunucular ve araştırmacılar için yararlı olacağına inanıyor. Üretken yapay zeka, kod geliştirmeye ek olarak güvenlik açığı keşfini hızlandırmalıdır. “Yapay zekanın en azından kod ve savunucular için güvenlik açıkları konusunda daha avantajlı olması gerektiğini düşünüyorum, çünkü biz [the defenders] Neye sahip olduğunu bilmek” saldırganlardan önce yapar, diyor.
Mandiant şu anda kendi yapay zeka tabanlı keşif aracını geliştiriyor. “Bununla ilgili bir kötü amaçlı yazılım analizi yeteneği üzerinde çalışıyoruz” diyor. “Kötü amaçlı yazılımı alıp bir motora yerleştirebileceğimiz ve 15 saniye sonra bununla ilgili harika bir rapor alabileceğimiz gerçeği: bu bir defans oyuncusunun avantajı.”
“AI bir vardiya değişikliği olacak” diyor. “Hissedebilirsin.”