ABD, İngiltere ve Polonya siber güvenlik ve kolluk kuvvetleri yetkilileri, Rus devlet destekli bilgisayar korsanlarının Eylül 2023’ten bu yana yama yapılmamış, internete açık JetBrains TeamCity sunucularını hedeflemek için CVE-2023-42793’ü kullandığı konusunda uyardı.
Hedefler
Rusya Dış İstihbarat Servisi (SVR) ile bağlantılı olduğuna inanılan APT 29 (diğer adıyla CozyBear, diğer adıyla Midnight Blizzard), 2013’ten beri aktif.
Grubun çok çeşitli kuruluşları hedef almasıyla biliniyor: devlet kurumları, düşünce kuruluşları, siyasi kuruluşlar, diplomatik kurumlar, biyomedikal ve enerji şirketlerinin yanı sıra BT şirketleri. Ana amaçları yabancı istihbarat toplamak gibi görünüyor.
“Nisan 2021’de ABD Hükümeti, SolarWinds bilgi teknolojisi şirketini ve müşterilerini hedef alan bir tedarik zinciri operasyonunu SVR’ye bağladı. Bu atıf, SVR’nin en az 2018’den bu yana siber operasyonlarının kapsamını bilgi teknolojisi şirketlerini yaygın şekilde hedef alacak şekilde genişlettiğinin keşfine işaret ediyordu. Yetkililer, bu hedeflemenin en azından bir kısmının ilave siber operasyonlara olanak sağlamayı amaçladığını ifade etti.
“TeamCity sunucularını barındıran ağları hedef alan bu yeni operasyonda SVR, teknoloji şirketlerini hedefleme uygulamasını açıkça sürdürüyor” diye eklediler. Ancak kendilerinin de belirttiği gibi, bu sefer “kurban türleri, yama yapılmamış, İnternet üzerinden erişilebilen bir JetBrains TeamCity sunucusuna sahip olmaları dışında herhangi bir kalıba veya eğilime uymuyor.”
Bu saldırılar doğası gereği fırsatçı gibi görünüyor ve ABD, Avrupa, Asya ve Avustralya’daki farklı kuruluşları hedef alıyor: “bir enerji ticareti birliği; faturalandırma, tıbbi cihazlar, müşteri hizmetleri, çalışan izleme, finansal yönetim, pazarlama, satış ve video oyunlarına yönelik yazılım sağlayan şirketler; barındırma şirketlerinin, araç üreticilerinin ve küçük ve büyük BT şirketlerinin yanı sıra.”
Fortinet ayrıca, biyomedikal imalat endüstrisindeki ABD merkezli bir kuruluşa yakın zamanda yapılan ve APT 29’un işi olabileceğine inanılan bir izinsiz girişe ilişkin araştırmalarıyla ilgili ayrıntıları da yayınladı.
Saldırılar
Bu son saldırılarda APT 29, TeamCity CI/CD platformunda RCE’ye yol açabilecek bir kimlik doğrulama atlama güvenlik açığı olan CVE-2023-42793’ten yararlandı.
Bunun için yamalar Eylül 2023 ortasında yayınlandı, ancak Shadowserver Foundation’a göre dünya çapında hala yaklaşık 800 JetBrains TeamCity yamalanmamış örneği var.
Bilgisayar korsanları, güvenlik açığından yararlanarak ilk erişimi elde ettikten sonra ana bilgisayar ve ağ keşifleri gerçekleştirdi, ayrıcalıklarını yükseltti, yanal hareketler gerçekleştirdi, arka kapıları konuşlandırdı ve güvenliği ihlal edilen ağ ortamlarına uzun vadeli erişim sağlamak için adımlar attı. Tespit edilmekten kaçınmak için bir takım taktikler kullandılar.
“Yazılım geliştiricileri, yazılım derlemeyi, oluşturmayı, test etmeyi ve yayınlamayı yönetmek ve otomatikleştirmek için TeamCity yazılımını kullanıyor. TeamCity sunucusuna erişim tehlikeye girerse, kötü niyetli aktörlere söz konusu yazılım geliştiricinin kaynak koduna, imza sertifikalarına erişim ve yazılım derleme ve dağıtım süreçlerini alt üst etme yeteneği sağlanacak; kötü niyetli bir aktör, tedarik zinciri operasyonlarını yürütmek için bundan sonra kullanabilir.” güvenlik danışma belgesinde belirtilen kuruluşlar.
Yine de APT 29’un müşteri ağlarına erişmek için yazılım geliştiricilere olan erişimlerini henüz kullanmadığını söylüyorlar.
Uzlaşma kanıtlarının kontrol edilmesi
Ajansların tavsiyeleri, tehlike göstergelerini (günlük dosyası girişleri, dosyalar, IP adresleri) içerir ve saldırganlar tarafından kullanılan teknikleri ortaya koyar.
TeamCity sunucularına zamanında yama yapamayan kuruluşlardaki güvenlik ekipleri, hem APT 29 hem de diğer saldırganlar tarafından yapılan izinsiz giriş işaretlerini kontrol etmelidir.
Microsoft’a göre, Ekim ayının başlarından bu yana Kore destekli bilgisayar korsanlığı grupları Lazarus ve Andariel, güvenliği ihlal edilmiş ağlara kalıcı erişim sağlamak ve bunları daha sonraki operasyonlar için kullanmak için CVE-2023-42793’ten yararlanıyor.