Rusya Genelkurmay Ana İstihbarat Müdürlüğü’nün bir parçası olan Rus bilgisayar korsanları, kapsamlı botnet’ler oluşturmak, kimlik bilgilerini çalmak, NTLMv2 özetlerini toplamak ve kötü niyetli trafiği proxy olarak kullanmak için güvenliği ihlal edilmiş Ubiquiti EdgeRouter’ları kullanıyor.
FBI, NSA, ABD Siber Komutanlığı ve uluslararası ortaklar, kötü niyetli siber operasyonlar için tehlikeye atılmış Ubiquiti EdgeRouter’ları kullanan Rus devleti destekli siber aktörlere karşı uyarıda bulunmak için ortak bir Siber Güvenlik Tavsiyesi yayınladı. Ayrıca sahte açılış sayfaları ve kullanım sonrası araçlar için güvenliği ihlal edilmiş yönlendiriciler kullandılar.
Tavsiye belgesine (PDF) göre, Rusya destekli APT28 aktörleri (diğer adıyla Fancy Bear), Havacılık ve Savunma, Eğitim ve Enerji ve Kamu Hizmetleri de dahil olmak üzere çeşitli sektörlere karşı gizli siber operasyonlar yürütmek için 2022’den beri güvenliği ihlal edilmiş Ubiquiti EdgeRouter’ları kullanıyor. Çek Cumhuriyeti, İtalya, Litvanya, Ürdün, Karadağ, Polonya, Slovakya, Türkiye, Ukrayna ve ABD ana hedeflerinden bazılarıdır.
2023’te APT28 aktörleri, web postası kullanıcı kimlik bilgilerini toplamak için Python komut dosyalarını kullandı ve bunları siteler arası komut dosyası oluşturma ve tarayıcıdaki tarayıcıya yönelik hedef odaklı kimlik avı kampanyaları aracılığıyla güvenliği ihlal edilmiş Ubiquiti yönlendiricilerine yükledi. Ayrıca, yamalanmış olmasına rağmen CVE-2023-23397 sıfır gününü kullanarak Impacket ntlmrelayx.py ve Responder gibi araçları tehlikeye atılmış yönlendiricilere yükleyerek NTLM aktarma saldırılarına ve hileli kimlik doğrulama sunucularını barındırmaya olanak sağladılar.
Bilginiz olsun, Microsoft’un Tehdit Koruma İstihbaratı ekibi, Outlook’ta saldırganların Net-NTLMv2 karmalarını çalmasına ve kullanıcı hesaplarına erişmesine olanak tanıyan bu güvenlik açığını keşfetti. Bu güvenlik açığı daha önce Rus askeri istihbarat teşkilatı ile bağlantısı olduğundan şüphelenilen Forest Blizzard grubu tarafından istismar edilmişti.
FBI, Mirai tabanlı Moobot OpenSSH truva atı ve EdgeRouters’taki APT28 etkinliği için IOC’leri belirledi. APT28 aktörleri, çalınan web posta hesabı kimlik bilgilerini toplamak ve doğrulamak için Python komut dosyalarını barındırarak OpenSSH sunucu süreçlerindeki güvenlik açıklarından yararlanıyor. Aktörler, ters proxy bağlantıları kurmak ve rakip tarafından kontrol edilen SSH RSA anahtarlarını güvenliği ihlal edilmiş yönlendiricilere yüklemek için EdgeRouters’ta iptables kurallarını kullandı. Ayrıca kurban makinelerde rastgele komutlar yürütebilen bir Python arka kapısı olan masEPIE’yi de kullandılar.
Daha ayrıntılı incelemeler, APT28’in hedeflere karşı konuşlandırılan MASEPIE arka kapıları için C2 altyapısı olarak tehlikeye atılmış Ubiquiti EdgeRouters’ı kullandığını ortaya çıkardı. EdgeRouters’a gönderilen ve EdgeRouters’tan gönderilen veriler, rastgele oluşturulmuş 16 karakterlik bir AES anahtarı kullanılarak şifrelendi.
FBI, donanımı fabrika ayarlarına sıfırlayarak, en son donanım yazılımına yükseltme yaparak, varsayılan kullanıcı adlarını ve parolaları değiştirerek ve WAN tarafı arayüzlerinde stratejik güvenlik duvarı kuralları uygulayarak güvenliği ihlal edilmiş EdgeRouter’ların düzeltilmesini önerir.
Ağ sahipleri işletim sistemlerini, yazılımlarını ve donanım yazılımlarını güncel tutmalı ve CVE-2023-23397’yi azaltmak için Microsoft Outlook’u güncellemelidir. Diğer NTLM geçişi türlerini azaltmak için ağ sahipleri, NTLM’yi devre dışı bırakmayı veya sunucu imzalamayı ve Kimlik Doğrulama için Genişletilmiş Koruma yapılandırmalarını etkinleştirmeyi düşünmelidir.
Uzman Görüşleri:
En son danışma belgesine ilişkin bilgi almak için, kusurları düzeltmenin ve sistemi güncel tutmanın önemini vurgulayan Bambanek Consulting Başkanı John Bambenek’e ulaştık.
“Teknik açıdan siber güvenlik alanında son 25 yılda kaydedilen en büyük ilerleme, Microsoft’un Windows’taki varsayılan ayarı otomatik olarak güncellemesini sağlamasıydı. John, Nesnelerin İnterneti, gömülü cihazlar ve ağ yığını genelinde bu bir norm değil” diye savundu.
“Cihazların tüketiciler veya çoğu kuruluş tarafından yamalanmadığını biliyoruz, öyleyse neden ulus devlet aktörleri hedef açısından zengin çevreye girmiyor? Bu cihazlar normal bilgisayarların tüm zayıf yönlerine sahiptir; ancak kullanıcının onları güçlendirme, üzerlerine EDR koyma veya sunucuyu daha güvenli hale getirmek için yapabileceğimiz herhangi bir şeyi yapma yeteneği yoktur. Üreticiler ister Mirai ister casus olsun bu sorunu ciddiyetle ele alana kadar bu cihazlar toplu olarak ele geçirilmeye devam edecek.”
İLGİLİ KONULAR
- Hackerlar Amerikan Teknoloji Firması Ubiquiti’den 47 Milyon Dolar Çaldı
- ABD Askeri Uydu Erişimi Rusya Forumunda 15 Bin Dolara Satıldı
- Rus Bilgisayar Korsanları Kimlik Avı Saldırılarında Telekopye Araç Kitini Kullanıyor
- Rus APT29, TeamCity İhlalinde ABD Biyomedikal Devini Hackledi
- Rus Midnight Blizzard Hackerları Hassas Saldırıyla MS Teams’i Vurdu
- Rus Hackerlar Siyasi ve Askeri Bilgiler İçin Avrupa Posta Sunucularını Ele Geçirdi