Moskova Askeri Hackerları Microsoft Outlook Güvenlik Açığı Kullandı

Siber Savaş / Ulus-Devlet Saldırıları, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar

APT28, Karma Şifre Aktarma Saldırıları için Saldırıya Uğramış Ubiquiti Yönlendiricilerini Kullandı

David Perera (@daveperera) •
27 Şubat 2024

ABD ve yabancı istihbarat teşkilatları, Rus askeri istihbaratının Ubiquiti yönlendiricilerini küresel bir siber casusluk operasyonu platformuna dönüştürme kampanyasının 2022 gibi erken bir tarihte başladığını söyledi.

Ayrıca bakınız: Siber Saldırılara Karşı Üretim Sistemi Koruması

ABD federal hükümeti bu ayın başlarında, Rus ordusunun Ana İstihbarat Müdürlüğü’nün GRU olarak bilinen bir bilgisayar korsanlığı birimi tarafından yüzlerce Ubiquiti yönlendiricisinden oluşturulan bir botnet’i bozdu. APT28, Fancy Bear ve Forest Blizzard veya Strontium olarak bilinen Moskova tehdit aktörü, bilgisayar korsanlığı operasyonları için proxy olarak ABD’de bulunan virüslü yönlendiricileri kullandı (bkz.: ABD, Rus Askeri İstihbarat Botnet’ini Engelledi).

FBI tarafından Salı günü yayınlanan bir tavsiye belgesinde yerli ve yabancı istihbarat teşkilatları, kampanyanın arkasındaki bilgisayar korsanlarının NTLM geçiş saldırısı gerçekleştirmek için ele geçirilen yönlendiricilere protokol zehirleme araçları yüklediklerini söyledi. Saldırılar, Microsoft’un Mart 2023’te yamaladığı sıfır günden yararlandı. CVE-2023-23397 olarak izlenen güvenlik açığı, bilgisayar korsanlarının ses için bir parametre içeren eski tarihli bir Microsoft Outlook randevu isteği göndererek Windows’u karma parolalar göndermesi için tetiklemesine olanak sağladı. Randevu geciktiğinde e-posta istemcisi oynatılmalıdır. Ancak neşeli bir ses efekti çalmak yerine bu parametre, bilgisayar korsanlarının kurbanın oturum açma adını ve parola karmasını elde etmesine ve bunları yeniden kullanmasına olanak sağladı.

Her ne kadar Microsoft bu güvenlik açığı için birden fazla düzeltme yayınlasa da FBI araştırmacıları Rus bilgisayar korsanlarının hacklenecek yamalanmamış sistemler bulduğunu söyledi.

Rus bilgisayar korsanları, aralarında Ukrayna, Polonya, Litvanya, Türkiye ve Çek Cumhuriyeti’nin de bulunduğu birçok ülkede savunma, petrol ve gaz, teknoloji, hükümet ve imalat gibi çok sayıda sektörü hedef aldı.

FBI, APT28 bilgisayar korsanlarının, bazı Ubiquiti yönlendiricilerine zaten bulaşmış olan Moobot adlı suç teşkil eden bir botnet’i desteklediğine inanıyor. New York yönlendirici üreticisi yorum talebine hemen geri dönüş yapmadı.

Tehdit istihbarat firması Mandiant’ta siber casusluk analisti olan Dan Black, Rus bilgisayar korsanlarının saldırıya uğramış yönlendiricileri kullanmasının, Çin devleti korsanlığının yanı sıra Kremlin hacklemesinin de bir özelliği olduğunu söyledi. “Onları, radar altında kalarak hedeflenen ağlara giden ve hedeflenen ağlardan gelen trafiği proxy olarak kullanmak için kullanıyorlar” dedi.

Uyarı, güvenliği ihlal edilmiş bir Ubiquiti yönlendiricisinin yeniden başlatılmasının onu Rus kötü amaçlı yazılımlarından temizlemeyeceği konusunda uyarıyor. Bunun yerine, sistem yöneticilerinin donanım sıfırlaması yapması ve en son ürün yazılımına yükseltme yapması gerekir.