Progress Software’in MOVEit dosya aktarım aracının Mayıs sonundaki ihlaliyle ilgili ilk paniğin çoğu yatışmış olsa da, saldırının arkasındaki fidye yazılımı operasyonu olan Clop kurbanların ayrıntılarını sızdırmaya devam ediyor. Ön cephedeki güvenlik ekipleri için uygun olarak, Progress, üründe bazıları aktif olarak sömürülüyor gibi görünen daha fazla güvenlik açığını ifşa etmeye devam ediyor.
6 Temmuz’da Progress, “ürün ve güvenlik düzeltmeleri için öngörülebilir, basit ve şeffaf bir süreç” sağlamak üzere tasarlanan MOVEit Transfer ve MOVEit Automation için planlanan bir dizi hizmet paketinin ilkini yayınladı.
Paket, yeni açıklanan üç CVE için düzeltmeler içerir. Sayı sırasına göre bunlar:
CVE-2023-36932, MOVEit Transfer web uygulamasında kimliği doğrulanmış bir saldırganın MOVEit Transfer veritabanına erişmesine izin verebilecek çoklu SQL enjeksiyon güvenlik açıkları, kredilendirilen HackerOne’dan cchav3z, CrowdStrike’tan Nicolas Zillo ve hoangha2, hoangnx ve duongdpt (Q5Ca) Viettel Cyber Security’nin VCSLAB’si;
CVE-2023-36933, HackerOne’dan jameshorseman’a atfedilen, bir saldırganın işlenmeyen bir özel durumla sonuçlanan ve MOVEit Transfer’in beklenmedik bir şekilde kapanmasına neden olan bir yöntemi çağırmasına olanak tanıyan bir güvenlik açığı;
CVE-2023-36934, Zero Day Initiative aracılığıyla Trend Micro’dan Guy Lederfein’e atfedilen, ilkine benzer etkiye sahip başka bir SQL enjeksiyon güvenlik açığı.
Sophos X-Ops tehdit araştırma direktörü Christopher Budd, Sophos’un bu hafta başlarında ürünleri için izinsiz giriş önleme sistemi (IPS) imzaları için tespitler yayınladığını ve kusurlardan en az biri için “bazı çok sınırlı kanıtlar” gördüğünü söyledi. sömürü.
Computer Weekly’ye “Bunun anlamı, bir MOVEit müşterisiyseniz ve bu hizmet paketini uygulamadıysanız, daha önce yayınlanan yamaları dağıtmış olsanız bile, o hizmet paketini de dağıtmanız gerekir” dedi.
Budd, daha önce, yüksek profilli bir güvenlik açığı ifşa edildiğinde, saldırıya uğradığında ve düzeltildiğinde, insanların artık korunduklarını düşündüklerini ve diğer güvenlik açığı ifşaları takip etse bile (sık sık yaptıkları gibi) dikkatlerinin azalmaya başladığını gözlemlediğini sözlerine ekledi.
“Tamam, yamayı bir buçuk ay önce uyguladım, bu yüzden işim bitti, sorun değil diye düşünüyorlar. Ve durum böyle değil” dedi.
“İyi haber şu ki, bu yeni [flaw] yönelik saldırıların kanıtlarını gördüğümüz yaygın, ancak görünüşe göre insanların onu hedef almaya başlaması, bunun bir sonraki dalga olduğu anlamına geliyor.
“İnsanların bu dalganın önüne geçmeye çalışması ve yalnızca yayınlanan yamaları değil, kendilerini tamamen güncelleştiren hizmet paketini de uyguladıklarından emin olmaları önemlidir. Bu hizmet paketini uygulamadıysanız, bugün bunu yapmak için iyi bir gün.”
Budd, bu son kötü niyetli faaliyeti Clop’a veya başka bir tehdit aktörüne atfetmek için henüz yeterli kanıt olmadığını söyledi, ancak herhangi bir istismar kanıtı olması gerçeğinin, daha fazlasının olabileceğini gösterdiğini belirtti.
Ayrıca, yalnızca MOVEit değil, herhangi bir dosya aktarım ürününün kullanıcılarına yüksek bir uyarı durumu benimsemelerini tavsiye etti, Clop tarihsel olarak bu tür araçlardaki güvenlik açıklarını tercih etti. Pek çok kuruluşta, dosya aktarım yardımcı programlarının genellikle BT veya güvenlik ekipleriyle – sözde gölge BT – temizlememiş kişiler tarafından geçici olarak kullanıldığını, bu nedenle güvenlik uzmanları kuruluşlarının ifşa edildiğine inanmasalar bile kaydetti. , şaşırtıcı bir şey bulabilecekleri için konuyu incelemeye devam etmelidirler.
yoğun zamanlar
İlk MOVEit olayı şu anda 300’e yakın kurbana mal oldu ve muhtemelen en az 17 milyon kişinin verilerini etkiledi. Kurbanlar dünyanın her yerinde bulunabiliyor, ancak şu anda en yüksek sayılar 190’dan fazla teyit edilen ABD’de, Almanya 28’le, Kanada 21’le ve Birleşik Krallık’ta 17’de – özellikle BBC, Boots ve British Airways, bunlardan bazılarıydı. Haziran ayında adı geçen ilk kurbanlardan.
Clop fidye yazılımı operasyonu tarafından “adlandırılan ve utandırılan” en son kuruluşlardan bazıları emlak firması Jones Lang LaSalle, otel zinciri Radisson ve GPS uzmanı TomTom’dur.
Dürüst olmak gerekirse, pek çok insan bunalmış durumda – kurbanlar, kolluk kuvvetleri, müdahale şirketleri. Oldukça yoğun oldu
Charles Carmakal, Mandiant
Google Cloud’a ait Mandiant’ın danışmanlık işinde CTO’su olan ve MOVEit saldırılarının ardından olay müdahalesine derinden dahil olan Charles Carmakal şunları söyledi: “MOVEit’ten doğrudan veya dolaylı olarak etkilenen çok sayıda kurban var. gerçekten etkili ve birçok insanı meşgul ediyor. Dürüst olmak gerekirse, pek çok insan bunalmış durumda – kurbanlar, kolluk kuvvetleri, müdahale şirketleri. Oldukça yoğun geçti.”
MOVEit olayı, Clop’un hiçbir zaman gerçek fidye yazılımı uygulamaması ve hiçbir kurbanın veri şifrelemeden (yalnızca veri hırsızlığı ve gasptan) etkilenmemiş gibi görünmesi nedeniyle özellikle dikkat çekicidir.
Carmakal, mükemmel senaryolarında Clop gibi bir çetenin, kurbanlarının ödeme yapmaktan başka çaresi olmadığını hissetmesine neden olacak kadar çok baskı uygulamak için şifrelemeyi kullanmayı tercih edeceğini açıkladı. Bununla birlikte, MOVEit saldırısını Clop’un bakış açısıyla düşünürsek, savunmasız kuruluşların sayısı ve ilk sıfırıncı gün kamuoyuna duyurulmadan önce olabildiğince çok kişiyi vurma ihtiyacı göz önüne alındığında, sadece parçala ve yakala baskınları düzenlemek muhtemelen daha mantıklıydı. .
“ [previous] Forta GoAnywhere’e karşı yürütülen kampanya, [Clop]dedi. “Birçok mağdur örgütün para ödediğini biliyorum. Veri çalmanın ve yalnızca veri çalmanın çok para kazanacağını düşündüklerini düşünüyorum.”
Carmakal, birçok MOVEit kurbanının ödeme yaptığını, ancak aynı derecede büyük bir kısmının ödemediğini söyledi, ancak Budd, Sophos’un birlikte çalıştığı kurbanlar arasında herhangi bir ödeme gözlemlemediğini söyledi.
Clop da zorluklarla karşı karşıya. Carmakal, “Onlar küçük bir ekip,” dedi. “Büyük bir ekibin bu kadar çok veriyi işlemesi zor, dolayısıyla küçük bir ekibin bu kadar çok veriyi işlemesi için birçok kurban ve çaldıkları veri hacmini barındırmak için kurmak zorunda oldukları tüm altyapı – sert olmak
“Bazı hatalar yapıyorlar ve muhtemelen daha fazlasını yapacaklar. Müşterilerimize tavsiye ettiğimiz şeylerden biri, bu grubun uyduğu belirli kurallar olduğudur – işleri belirli bir şekilde yaparlar – ancak uyarı şu ki, tehdit aktörleri kendilerini alt ettikleri için bu sefer işler biraz farklı olabilir. Aktörün kasıtlı olmayabilecek veya tesadüfi olabilecek şeyler yapması için bir dizi neden olabilir, ancak bu, sahip oldukları büyük veri hacmi ve sahip oldukları kurban sayısı karşısında bunalmış olmalarının bir yan ürünü.”
Gözlemlenen çok dikkate değer bir fark, Clop’un kurbanlarına doğrudan ulaşmak yerine onlara ulaşmalarını istemesidir; bu, daha önce gerçekten görülmemiş bir şeydir ve birinin, bir yerlerde, iş yüklerini hafifletmek. İngilizcenin çetenin ilk dili olmaması da muhtemelen işleri karmaşıklaştırıyor.
Budd, “Proaktif erişim, Clop’un bu saldırı dizisinde tahmin ettiklerinden daha başarılı olduğu gerçeğini pekala yansıtabilir,” dedi. “Sık sık bir iş olarak siber suçtan bahsediyoruz – gerçek bir iş sorunuyla karşı karşıya olabilirler, bu da destekleyecek altyapıya sahip olduklarından daha fazla kurbana sahip olmalarıdır. Bunu hiçbir şekilde küstahça kastetmiyorum, ancak bu pekala, yardım masasının tatillerde dolup taşmasına eşdeğer bir siber suç olabilir.
Clop için sorun mu var?
İki yıldan biraz daha uzun bir süre önce, Colonial Pipeline’a yapılan ve birçok ABD eyaletini kasıp kavuran ve siber güvenliği saygın bir akşam yemeği partisi sohbetine yükselten DarkSide fidye yazılımı saldırısı, ABD yetkililerini o kadar kızdırdı ki, eşek arılarını dürten çetenin sonu anlamına geldi. ‘ yuva.
Sıradan insanlar MOVEit saldırısının etkisini Colonial Pipeline’da olduğu gibi petrol pompalarına hissetmemiş olsalar da, olayın boyutu ve genişliği Clop’un küresel hükümetinin ve medyanın dikkatini çekti ve güvenlik araştırma camiasında bir öneride bulundu: mürettebat çok ileri bir adım attı çekiş kazanıyor.
“Şu anda çok sayıda göz üzerlerinde. Üzgün olan pek çok insan var ve bu insanların bazılarının harekete geçme yetkisi var, ister altyapıya el koyalım, ister insanları uçuşa yasak listesine koyalım, ister belirli ülkelere seyahat ederken insanları teslim alalım. Muhtemelen toplamayı umduklarından çok daha fazla, kesinlikle çok fazla dikkat çektiler,” dedi Carmakal.
Budd da benzer bir görüşe sahipti: “Fidye yazılımı alanındaki tehdit aktörlerinin hedeflemek istedikleri çan eğrisinin belirli bir tepesi var. Başarıyı en üst düzeye çıkarmak istersiniz, ancak çok başarılıysanız, kötü bir dikkat çekersiniz, kendinizi o kadar çok baş belası ve o kadar çok tehdit haline getirirsiniz ki, sonunda size yanıt olarak isteyebileceğinizden daha fazla gücü sıralarsınız. Bu da o anlardan biri olabilir.”
Çete herhangi bir tepkiyle karşılaşacak mı? Carmakal, ABD ve Rusya’nın şu anda pek anlaşamasalar da, Clop’un altyapısına müdahale etmek için hala yapılabilecek şeyler olduğunu ve FBI gibi kolluk kuvvetlerinin saldırgan “geri hackleme” operasyonları için bir emsal oluşturduğunu söyledi. siber suçlulara karşı.
Unutma, 2021’de birden fazla Clop ajanı tutuklandığında Rusya’da değil Ukrayna’da yakalandıklarını da sözlerine ekledi.
Yani Clop’un üyeleri omuzlarının üzerinden bakıyor olmalı, ancak diğer siber suç operasyonlarıyla olan bağlantılarının çok yerinde bir şekilde gösterdiği gibi, MOVEit çete için çok ileri bir adım olsa ve devam etmesi imkansız hale gelse bile, neredeyse kesin olarak garanti edilebilir. operasyonun arkasındaki aynı kişiler sonunda farklı bir kılıkta yeniden ortaya çıkacaktır. İncil’deki “güneşin altında yeni bir şey yoktur” atasözü, siber güvenlik dünyasına hiç bu kadar uygun bir şekilde uygulanmamıştı.