Siber Savaş / Ulus-Devlet Saldırıları, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
UNC5174 F5 BIG-IP ve ScreenConnect Güvenlik Açıklarından Yararlandı
Sayın Mihir (MihirBagwe) •
22 Mart 2024
Tehdit istihbarat firması Mandiant, muhtemelen Çinli bir kiralık hackerın, çok sayıda Güneydoğu Asya ve ABD hükümet ve araştırma kuruluşunu hedef alan yaygın ve agresif bir kampanyada yüksek profilli güvenlik açıklarını kullandığını söyledi.
Ayrıca bakınız: Paneli | Siber Saldırılar Artıyor ve Siber Sigorta Oranları Hızla Yükseliyor
Google'ın sahibi olduğu firma, kampanyanın arkasındaki bilgisayar korsanının, özel araçlar ile Supershell adı verilen kamuya açık bir komuta ve kontrol çerçevesinin bir karışımını kullandığını ve bunun benzersiz bir tehdit aktörü olduğunu öne sürdüğünü söyledi. Şirket, etkinliği UNC5174 olarak takip ediyor. Bilgisayar korsanının yer altı forumlarında “Uteus” ve “uteus” kelimelerini kullandığı görülüyor. Mandiant, bilgisayar korsanının Çin'de faaliyet gösterdiğine dair orta düzeyde bir güvenle değerlendirme yaptı.
Mandiant, bir karanlık ağ forumunda yer alan tehdit aktörünün, F5 tarafından üretilen uygulama teslimi ve güvenlik cihazı BIG-IP'nin yapılandırma yöneticisinden yararlanmak için herkese açık bir kavram kanıtı kullanmayı tartıştığını söyledi. CVE-2023-46747 olarak takip edilen kusur, kimliği doğrulanmamış bir saldırganın rastgele sistem komutlarını yürütmesine olanak tanıyor. Mandiant, tehdit aktörünün çeşitli devlet kurumlarına ait IP adresine sahip bir F5 cihazında idari kullanıcı hesapları oluşturduğuna dair kanıt bulduğunu söyledi.
UNC5174 ayrıca ConnectWise ScreenConnect uzaktan bağlantı yazılımında CVE-2024-1709 olarak takip edilen bir kimlik doğrulama atlama hatasından da yararlandı. Mandiant, forum gönderilerinde “Uteus”un “özellikle ABD ve Kanada'da olmak üzere dünya çapında yüzlerce kuruluşa ait” ScreenConnect örneklerini hacklediğini iddia etti (bkz: Saldırganlar ScreenConnect'teki güvenlik açıklarından yararlanmak için acele ediyor).
Görünüşe göre hacker, Ekim ve Kasım 2023'te ve Şubat ayında meydana gelen “Güneydoğu Asya ve ABD araştırma ve eğitim kurumlarına yönelik yaygın agresif hedefleme ve izinsiz girişlerin” arkasında yer alıyor. Diğer hedefler arasında Hong Kong kuruluşları ile ABD ve İngiltere hükümetleri yer alıyor.
Yeni yamalı sıfır gün kusurlarının veya N gün güvenlik açıklarının hızlı bir şekilde kullanılması, Çinli tehdit aktörlerinin ayırt edici özelliği haline geldi. Hollanda istihbaratı Şubat ayında “bunu yüksek bir operasyonel tempoyla yaptıkları, bazen yayınlandıkları gün güvenlik açıklarını kötüye kullandıkları” konusunda uyarmıştı (bkz: Çinli Hackerlar Sınıflandırılmamış Hollanda Ağına Girdi).
Mandiant, tehdit aktörünün, Dawn Calvary'de görev yaptıktan ve her ikisi de Pekin yanlısı bilgisayar korsanlığı grupları olan Genesis Day ile işbirliği yaptıktan sonra Çin'in iç istihbarat teşkilatı olan Devlet Güvenlik Bakanlığı için yüklenici olarak hareket etme belirtileri gösterdiğini söyledi. Genesis Day, Ocak 2023'ün sonlarında bir düzineden fazla Güney Koreli araştırma ve akademik kuruma yönelik web sitesi tahrifatı ve veri sızdırma saldırılarıyla tanınıyor. UNC5174, hacktivist kolektiflerden ayrıldıktan sonra bakanlık için erişim elde etmeye ve mali amaçlı bilgisayar korsanlığına odaklanmış görünüyor. Mandiant'a göre 2023'ün ortalarında.
Şubat ayında Devlet Güvenlik Bakanlığı'ndaki bir yükleniciden dahili belgelerin sızdırılması, uluslararası dikkatin Pekin'in kiralık bilgisayar korsanlarına bağımlı olduğuna dikkat çekmesini sağladı. Yükleniciler becerilerini genellikle “vatansever hackleme” sahnesinde kazanırlar, ancak kurumsal ortamlara geçiş yaparlar – eğer çalışanların fazla çalışma ve düşük ücretle ilgili şikayetleri de dahil olmak üzere sızdırılan belgelere inanılırsa, bu potansiyel olarak mutsuz bir değişimdir (bkz.: Çinli Hacking Yüklenicisi iSoon Dahili Belgeleri Sızdırdı).
Mandiant, UNC5174'ün istismar sonrası davranışının, GitHub'da barındırılan ve Çince talimatlar içeren bir tarama ve keşif araçları ailesinin parçası olabilecek tanımlanamayan araçların indirilmesi de dahil olmak üzere bazı benzersiz davranışlar gösterdiğini söyledi. Bilgisayar korsanı ayrıca, Mandiant'ın daha önce GitHub'da yayınlanan bir komuta ve kontrol çerçevesi olan Supershell'i barındırdığını tespit ettiği altyapıyı geri çağıran, halka açık bir ters kabuk arka kapısı olan GoReverse'ü de kullandı.
Bir başka alışılmadık gösterge: Bilgisayar korsanı, bir F5 cihazını tehlikeye atıp bir arka kapı yapılandırdıktan sonra, F5 tarafından sağlanan bir hafifletme komut dosyasını dağıtarak güvenlik açığını düzeltmeye çalıştı.
Mandiant, UNC5174'ün faaliyetlerini durduracağına inanmak için hiçbir neden olmadığı konusunda uyardı. Şirket, “UNC5174'ün özellikle Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Güneydoğu Asya ve Hong Kong'daki akademik, STK ve hükümet sektörlerindeki kuruluşlar için tehdit oluşturmaya devam edeceğine inanıyor”.