Rusya Dış İstihbarat Servisi’nin (SVR) siber aktörleri, hükümet, teknoloji ve finans sektörlerini hedef alan küresel bir kampanyada yaygın güvenlik açıklarından yararlanarak bir kez daha mercek altında.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve ABD kurumları, yeni bir ortak danışma belgesinde, SolarWinds saldırısıyla bilinen ve COVID-19 aşı araştırmalarını hedef alan SVR siber operasyonlarının, odaklarını çeşitli sektörlerdeki yamalanmamış yazılım açıklarına kaydırdığı konusunda uyardı. .
“Rus siber aktörler, çeşitli sektörlerde yama yapılmamış sistemlere ilgi duyuyor ve bu sistemlere erişme konusunda oldukça yetenekli ve bir kez sisteme girdiklerinde, hedeflerine ulaşmak için bu erişimden yararlanabilirler.” – Paul Chichester, NCSC Operasyon Direktörü
SVR’nin Taktikleri: Kalıcı bir Küresel Tehdit
APT29 veya Rahat Ayı olarak da adlandırılan SVR, bilinen güvenlik açıklarından, özellikle de kuruluşlar tarafından yama yapılmadan bırakılanlardan yararlanma konusunda endişe verici bir yetenek sergiledi. Grup, yabancı istihbarat toplamak amacıyla sıklıkla devlet kurumlarını, düşünce kuruluşlarını ve özel şirketleri hedef alan ısrarlı ve gizli siber operasyonlarıyla ünlüdür.
Yaklaşımlarının önemli bir yönü takip ettikleri iki tür hedeftir. Bunlardan ilki hükümetler, finansal kurumlar ve teknoloji şirketleri gibi stratejik öneme sahip kuruluşları içerir. Bu “niyet hedefleri” istihbarat değerlerine göre dikkatle seçilir. “Fırsat hedefleri” olarak bilinen ikinci grup, kötü amaçlarla kullanılabilecek, yama yapılmamış sistemlere sahip herhangi bir kuruluştan oluşur.
SVR, Yama Uygulanmamış Güvenlik Açıklarından Geniş Ölçekte İstismar Ediyor
Tavsiye belgesi, SVR aktörlerinin aktif olarak hedeflediği, kamuya açıklanmış 20’den fazla güvenlik açığını içermektedir. Birleşik Krallık’takiler de dahil olmak üzere dünyanın dört bir yanındaki kuruluşlardan, bu tehditlere maruz kalmayı en aza indirmek için yamaları hızla dağıtmaları ve yazılım güncellemelerine öncelik vermeleri isteniyor.
SVR aktörleri, yama uygulanmamış sistemler üzerinden ilk erişimi elde ettikten sonra, ayrıcalıkları artırabilir ve ağlar arasında yanal olarak hareket ederek genellikle tedarik zincirleri gibi bağlantılı sistemleri tehlikeye atabilirler. Bu onların casusluk, veri sızdırma ve ağ kesintisi dahil olmak üzere daha fazla operasyon başlatmalarına olanak tanır.
Rus SVR’nin istismar ettiği gözlemlenen yama yapılmamış güvenlik açıklarının tam listesi aşağıdadır:
CVE | Satıcı/Ürün | Detaylar |
| CVE-2023-20198 | Cisco IOS XE Yazılımı web kullanıcı arayüzü özelliği | Saldırganın yerel kullanıcı ve parola kombinasyonu oluşturmasına olanak tanıyan ayrıcalık yükseltme güvenlik açığı |
| CVE-2023-4911 | RHSA GNU C Kütüphanesinin dinamik yükleyicisi ld.so | Yerel bir saldırganın yükseltilmiş ayrıcalıklarla kod yürütmesine olanak verebilecek arabellek taşması güvenlik açığı |
| CVE-2023-38545 | Haxx Libcurl | SOCKS5 yığın arabellek taşması güvenlik açığı |
| CVE-2023-38546 | Haxx Libcurl | Belirli koşulların karşılanması durumunda bir saldırganın çalışan bir programa çerez eklemesine olanak tanıyan eksik yetkilendirme güvenlik açığı |
| CVE-2023-40289 | Supermicro X11SSM-F, X11SAE-F ve X11SSE-F 1,66 | Bir saldırganın ayrıcalıkları yükseltmesine olanak tanıyan komut ekleme güvenlik açığı |
| CVE-2023-24023 | Bluetooth Çekirdek Spesifikasyonu 4.2 ila 5.4’te Güvenli Basit Eşleştirme ve Güvenli Bağlantılar eşleştirmesine sahip Bluetooth BR/EDR cihazları | Kısa anahtar uzunluğunu zorlayan belirli ortadaki adam saldırılarına izin verir [CWE-326]ve BLuffS olarak da bilinen şifreleme anahtarının ve canlı enjeksiyonun keşfedilmesine yol açabilir. |
| CVE-2023-40088 | Android | Uzak (proksimal, bitişik) kod yürütme |
| CVE-2023-40076 | GoogleAndroid 14.0 | İzinler, bir saldırganın kimlik bilgilerine erişmesine ve yerel ayrıcalıkları yükseltmesine olanak tanıyan güvenlik açığını atlar |
| CVE-2023-40077 | Google Android 11-14 | Ayrıcalıkların yükselmesine yol açabilecek serbest güvenlik açığından sonra kullanın |
| CVE-2023-45866 | BlueZ’de Bluetooth HID Sunucuları | Yakın çevredeki bir saldırganın tuş vuruşları yapmasına ve rastgele komutlar yürütmesine olanak verebilecek uygunsuz kimlik doğrulama güvenlik açığı |
| CVE-2022-40507 | Qualcomm | Çift ücretsiz güvenlik açığı |
| CVE-2023-36745 | Microsoft Exchange Sunucusu | Uzaktan kod yürütme |
| CVE-2023-4966 | Citrix NetScaler ADC, NetScaler Ağ Geçidi | Arabellek taşması güvenlik açığı |
| CVE-2023-6345 | Google Chrome | Uzaktaki bir saldırganın potansiyel olarak kötü amaçlı bir dosya aracılığıyla korumalı alandan kaçış gerçekleştirmesine olanak tanıyan tamsayı taşması güvenlik açığı |
| CVE-2023-37580 | Zimbra | Siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı |
| CVE-2021-27850 | Apaçi Gobleni | Kimliği doğrulanmayan kritik uzaktan kod yürütme güvenlik açığı |
| CVE-2021-41773 | Apache HTTP sunucusu 2.4.99 | Dizin geçiş güvenlik açığı |
| CVE-2021-42013 | Apache HTTP sunucusu 2.4.50 | Uzaktan kod yürütme güvenlik açığı |
| CVE-2018-13379 | Fortinet FortiGate SSL VPN | Yol geçiş güvenlik açığı |
| CVE-2023-42793 | JetBrains TeamCity | Kimlik doğrulama atlama güvenlik açığı |
| CVE-2023-29357 | SharePoint Sunucusu | Ayrıcalık yükselmesi güvenlik açığı |
| CVE-2023-24955 | SharePoint Sunucusu | Uzaktan kod yürütme güvenlik açığı |
| CVE-2023-35078 | Ivanti Endpoint Manager 11.10’a kadar mobil sürümler | Kimlik doğrulama atlama güvenlik açığı |
| CVE-2023-5044 | Kubernetes Girişi-nginx | Kod yerleştirme güvenlik açığı |
Yalnızca Bir Siber Güvenlik Tehdidi Değil: Daha Geniş Etkiler
Rapor aynı zamanda SVR aktörlerinin gelişen teknolojiye ayak uydurmak için tekniklerini nasıl uyarladıklarına da ışık tutuyor. NCSC, grubun bulut altyapısına artan güvene, bulut yanlış yapılandırmalarından ve zayıf güvenlik uygulamalarından yararlanmaya yanıt olarak yaklaşımını ayarladığı konusunda uyarıyor. Bu da onları, geçiş yapan veya hâlihazırda bulut hizmetlerine büyük ölçüde bağımlı olan kuruluşlar için zorlu bir rakip haline getiriyor.
SVR aktörleri aynı zamanda SolarWinds’in tedarik zincirinin tehlikeye atılması ve COVID-19 aşı araştırmalarını hedef alan bir dizi hedef odaklı kimlik avı kampanyası da dahil olmak üzere yakın zamanda gerçekleşen büyük ölçekli saldırılarla da ilişkilendirildi. Bu olaylar, grubun stratejik varlıklara odaklandığını ve bunların ulusal güvenlik ve halk sağlığını etkileme potansiyelini gösteriyor.
APT29’un Arsenal’i: Kimlik Avından Tedarik Zinciri Saldırılarına
Tavsiye belgesinde ayrıca SVR siber aktörleri tarafından kullanılan taktikler, teknikler ve prosedürler (TTP’ler) de özetleniyor. Cephanelikleri arasında hedef odaklı kimlik avı kampanyaları, şifre püskürtme, tedarik zinciri saldırıları ve güvenilir ilişkilerin kötüye kullanılması yer alıyor. Bu yöntemler, ele geçirilen hesaplardan ilk erişim elde etmelerine ve takip işlemleri yürütmelerine olanak tanır.
Örneğin, son kampanyalarda SVR aktörlerinin, mağdurları erişim izni vermeleri için kandırmak amacıyla teknik desteğin kimliğine bürünen Microsoft Teams hesaplarını kullanarak bulut ortamlarından yararlandıkları tespit edildi. Güvenliği zayıf olan küçük işletme hesaplarından ödün vererek, yüksek profilli kuruluşları hedef alacak platformlar oluşturmayı başardılar.
Altyapı ve Kaçınma Taktikleri
SVR siber aktörleri, uzun süreler boyunca tespit edilmeden kalma yetenekleriyle biliniyor. Faaliyetlerini gizlemek için sıklıkla Onion Router (TOR) ağını ve proxy hizmetlerini kullanıyorlar. Bazı durumlarda, tespit edilmekten kaçınmak için sahte kimlikler ve düşük itibarlı e-posta hesapları kullanarak altyapı kiralıyorlar.
SVR, operasyonlarının açığa çıktığından şüphelendiğinde, altyapılarını ve üzerindeki her türlü kanıtı yok etmek için hızla harekete geçer. Bu kaçamak yaklaşım, araştırmacıların operasyonlarını orijinal kaynağa kadar takip etmelerini zorlaştırıyor.
Son Suistimaller: Zimbra, JetBrains ve Daha Fazlası
SVR aktörleri ayrıca birçok yüksek profilli güvenlik açığından yararlanmaya da dahil oldu. Örneğin, danışma belgesinde, saldırganların kurban etkileşimi olmadan kullanıcı kimlik bilgilerine erişmesine izin veren bir komut yerleştirme güvenlik açığı olan CVE-2022-27924 kullanılarak Zimbra posta sunucularının istismarından bahsediliyor.
Yakın zamanda JetBrains TeamCity’nin CVE-2023-42793 güvenlik açığından yararlanarak rastgele kod yürütülmesine olanak sağladılar. Bu tür bir istismar, SVR’nin yaygın olarak kullanılan yazılım sistemlerine odaklandığını vurguluyor ve onların çok çeşitli sektörlere ve coğrafyalara sızmasına olanak tanıyor.
Azaltımlar: Kuruluşların Yapabilecekleri
Devam eden bu kampanyaların ışığında, NCSC ve ABD kurumları, kuruluşların SVR siber aktörlerine karşı savunma yapmasına yardımcı olmak için çeşitli önerilerde bulundu. Bunlar şunları içerir:
- Yamaların ve güncellemelerin hızlı dağıtımı: Kuruluşlar, bilinen güvenlik açıklarını kapatmak için yazılım güncellemelerine, kullanılabilir hale gelir gelmez öncelik vermelidir.
- Çok faktörlü kimlik doğrulama: Ağlar ve sistemler genelinde çok faktörlü kimlik doğrulamanın uygulanması, yetkisiz erişim riskini azaltabilir.
- Bulut hesaplarını denetleme: Bulut tabanlı hesapların olağandışı etkinliklere karşı düzenli olarak denetlenmesi, izinsiz girişlerin daha fazla büyümeden tespit edilmesine yardımcı olabilir.
- Saldırı yüzeyinin azaltılması: Saldırganların giriş noktalarını sınırlamak için internete yönelik gereksiz hizmetleri devre dışı bırakın ve kullanılmayan uygulamaları kaldırın.