Üst düzey bir CISA tehdit avcılığı yetkilisi, bugün McLean, Virginia’da MITRE ATT&CKcon katılımcılarına, ABD’nin kritik altyapı kuruluşlarının “kim kimdir” bilgilerinin, Şubat 2022’de Ukrayna’nın işgalinden önceki günlerde Rus devleti tehdit aktörleri tarafından ihlal edilmeye yaklaştığını söyledi.
CISA Tehdit Şube Şefi Mark Singer, “Amerika Birleşik Devletleri’ndeki kritik altyapı kuruluşlarına oldukça kritik hizmetler sağlayan” bir yönetilen hizmet sağlayıcının (MSP) 2021’in sonları ile 2022’nin başlarında meydana gelen ihlaliyle ilgili bazı ayrıntıları aktardı.
Singer, bunun, Rusya’nın Ukrayna’yı işgaline kadar geçen aylarda CISA’nın dahil olduğu üç olaya müdahale çalışmasından biri olduğunu söyledi, ancak konuşmada detaylandırdığı tek şey bu oldu.
CISA’nın MSP davasıyla ilgilenmesi Ocak 2022’de, Rus işgalinden bir ay önce ve Rus tehdit aktörlerinin MSP’nin ağını ilk kez Ağustos 2021’de ihlal etmesinden birkaç ay sonra başlamış gibi görünüyor.
Singer, CISA müfettişlerinin “angajmanda oldukça erken bir dönemde oldukça ciddi bir uzlaşma olduğunu” fark ettiğini söyledi.
“Bu etkileşimde hitap ettiğimiz, odaklandığımız aktörlerin hizmet sağlayıcı ağının bir kısmına ulaşmış olması ve burada toplayabilecek, kurcalayabilecek, müşteri grubu için iletişimleri değiştirin,” dedi Singer. “Bunun bizim için endişe verici olmasının nedeni, söz konusu hizmet sağlayıcının müşteri grubunun, Amerika Birleşik Devletleri’ndeki kritik altyapı kuruluşlarının kim kimdir?”
Tehdit aktörleri “sahtekarlık yapabilecekleri, değiştirebilecekleri, kurcalayabilecekleri, tekrar oynatabilecekleri iletişimlerin tüm ICS verileri olduğu ve Modbus protokolünün bu şirketlerin gerçek operasyonel teknolojisine gittiği bir yere ulaştılar” dedi.
Rusya Muhtemelen Birkaç Gün İçinde ABD’nin Kritik Altyapısını İhlal Edecekti
“Agresif bir sınırlama tepkisi”, tehdit aktörlerini başarılı bir şekilde ağdan tahliye etti, ancak CISA müdahale ekipleri ne kadar erişim elde ettiklerini bilmedikleri için, MSP’nin tüm müşterileriyle konuşmak gibi alışılmadık bir adım attılar. CISA ayrıca her şeyin yolunda olduğundan emin olmak için dört ay boyunca ağda kaldı; bu, ABD’nin en büyük siber güvenlik kurumu için alışılmadık bir adım daha.
Birkaç ay sonra, Rusya siber odağını tamamen Ukrayna’ya çevirdiğinde, CISA adli tıp müfettişleri olaya ait kayıtları inceliyorlardı ve tehdit aktörlerinin MSP ağına yeniden erişim sağlamak için ele geçirilen iki kimlik bilgisini kullanmaya çalıştıklarını fark ettiler. Şubat 2022 işgalinden iki gün öncesine kadar.
Singer, “Tam olarak ne yapmış olabilecekleri biraz bilinmiyor” dedi. “Benim teorilerim var. Ancak bu aktörün yetenekleri, raporlama ve zaten endişe duyduğumuz riskler göz önüne alındığında, o ortama yeniden erişemedikleri için gerçekten çok mutluyum.
“Bir hafta farkla bunu başarmış olmamız ve o zamanlar bunu bilmiyorduk, bugün bile beni biraz rahatsız ediyor. Yani olağanüstü derecede yakın bir karar.”
Singer, olay sırasında ve sonrasındaki yardımlarından dolayı Ukrayna’nın ulusal Bilgisayar Acil Durum Müdahale Ekibi CERT-UA’ya övgüde bulundu. CERT-UA “çalışmalarıyla harika bir iş yapıyordu ve yapmaya devam ediyor” dedi.
Ayrıca şunu okuyun: Güvenlik Araçlarının MITRE ATT&CK Kapsamı Tutarsız ve Eksik: Araştırmacılar
FSB Bağlantılı Gruplar Tehdit Olarak Kaldıkça Çin Tehdidi Büyüyor
Singer ayrıca, Volt Typhoon gibi grupların ABD ile büyük bir çatışma durumunda ABD’nin kritik altyapısına sızmasıyla Çin Halk Cumhuriyeti’nin (ÇHC) potansiyel olarak Rusya’nınkinden daha büyük olduğunu öne sürdüğü tehdit konusunda da uyardı.
“Müdahale ettiğimiz olay türleri, gördüğümüz izinsiz giriş türleri, bu durum zaman geçtikçe daha da endişe verici hale geliyor” diyerek tehdidi Rusya’nın oluşturduğundan “daha büyük bir risk” olarak nitelendirdi. Ukrayna savaşına giden yol.
Singer, Çin’in ayrıca “2027 yılına kadar Tayvan’ı işgal etme kapasitesine sahip olmak istediklerini kamuoyuna açıkladığını” söyleyerek büyük bir çatışma olasılığını artırdığını söyledi.
Bir dinleyici tarafından en büyük endişelerin hangi tehdit gruplarının olduğu sorulduğunda, Rus FSB bağlantılı tehdit gruplarının “çok aktif” kaldığını ve “en fazla zararı verme yeteneğine” sahip olduğunu belirtti.
Katılımcıların Rus tehditlerine karşı güncel kalmaları için çeviri konusunda CERT-UA’yı takip etmelerini tavsiye etti.
Ayrıca ATT&CK’nin hükümet ve kurumsal güvenlik yetkilileri arasında “ortak bir dil olarak çok fazla değer kattığını” söyledi. Singer ayrıca siber güvenlik profesyonellerinin daha fazla alçakgönüllü olmaları çağrısında bulunarak “birbirlerine soru sorabilmenin ve öğrenmeyi gerçekten destekleyebilmenin” önemine dikkat çekti.