Fortinet’in FortiOS SSL-VPN teknolojisinde yakın zamanda açıklanan sıfır gün güvenlik açığıyla ilgili verileri analiz eden araştırmacılar, Fortinet’in FortiGate güvenlik duvarlarında çalışmak üzere özel olarak tasarlanmış sofistike yeni bir arka kapı belirlediler.
Kötü amaçlı yazılımın, devlet kuruluşlarını ve bu kuruluşlarla çalışanları hedef alan siber casusluk operasyonlarında yer alan Çin merkezli bir tehdit aktörünün işi olduğu görülüyor. Mandiant bu haftaki bir raporda, bunun, işletmelerin ağlarını korumak için kullandıkları güvenlik duvarlarını, IPS’yi, IDS’yi ve diğer İnternet’e dönük teknolojileri hedef alan ülkedeki düşmanların son örneği olduğunu söyledi.
Şirketten araştırmacılar Aralık ayında halka açık bir depoda kötü amaçlı yazılımla karşılaştılar ve Fortinet’in ilk güvenlik açığı açıklamasında yayınladığı bilgilere dayanarak kötü amaçlı yazılımı Fortinet sıfır gün hatasına (CVE-2022-42475) bağlamayı başardılar. Güvenlik açığı, kimliği doğrulanmamış bir saldırganın etkilenen sistemlerde rasgele kod yürütmesine olanak tanır ve Fortinet’in FortiOS ve FortiProxy teknolojilerinin birden çok sürümünde bulunur. Fortinet güvenlik açığını açıkladığında, şirket bir saldırganın açıktan yararlandığı en az bir olaydan haberdar olduğunu söyledi.
BoldMove Arka Kapı
Mandiant, Aralık ayında keşfettiği ve “BoldMove” olarak izlediği kötü amaçlı yazılımın CVE-2022-42475’in kötüye kullanılmasıyla ilişkili olduğunu söyledi. Mevcut telemetri, kötü amaçlı yazılımla ilişkili istismar etkinliğinin Ekim 2022 gibi erken bir tarihte gerçekleştiğini gösteriyor. Hedefler arasında Avrupa’da bir devlet kurumu ve Afrika’da bir yönetilen hizmet sağlayıcı yer alıyor.
Mandiant, C ile yazılmış BoldMove arka kapısının iki çeşidi olduğunu söyledi: tehdit aktörünün FortiOS için özelleştirdiği bir Windows sürümü ve bir Linux sürümü. Çalıştırıldığında, kötü amaçlı yazılımın Linux sürümü önce sabit kodlu bir komut ve kontrol (C2) sunucusuna bağlanmaya çalışır. Başarılı olursa, BoldMove üzerine indiği sistem hakkında bilgi toplar ve bunu C2’ye iletir. C2 sunucusu daha sonra talimatları kötü amaçlı yazılıma iletir ve bu, tehdit aktörünün etkilenen FortiOS cihazının tam uzaktan kontrolünü ele geçirmesiyle sona erer.
Mandiant’ta siber casusluk analizi yöneticisi Ben Read, kötü amaçlı yazılımın ek dosyalar indirme veya ters bir kabuk açma yeteneği gibi bazı temel işlevlerinin bu tür kötü amaçlı yazılımlar için oldukça tipik olduğunu söylüyor. Ancak BoldMove’un özelleştirilmiş Linux sürümü, FortOS’un belirli özelliklerini manipüle etme yetenekleri de içerir.
Read, “Bu özelliklerin uygulanması, Fortinet cihazlarının işleyişine ilişkin derin bir bilgi birikimini gösteriyor” diyor. “Ayrıca, bazı Linux varyantlarının özelliklerinin daha düşük güçlü cihazlarda çalışacak şekilde yeniden yazılmış gibi görünmesi de dikkat çekicidir.”
Düşman, BoldMove’un Windows sürümünü 2021’de veya Linux sürümünden çok önce derlemiş görünüyor. Mandiant şu ana kadar bu sürümle ilişkili vahşi ortamda herhangi bir istismar etkinliği tespit etmedi. “Elimizdeki Windows örneği 32 bit, yani [it] Windows’un en modern sürümlerinde çalışmalıdır, ancak 64 bit makinelerde çalışacak şekilde derlenebilir,” diyor Read. Ancak bir Fortinet cihazında çalışmaz.
Teknik Pirzola
Saldırganların kampanyada kullandığı yeni siber casusluk kampanyası ve BoldMove kötü amaçlı yazılımı, güvenlik duvarlarını, IPS’yi, IDS’yi ve diğer ağ güvenliğini hedeflemek için Çin merkezli tehdit aktörleri ve diğer ülkelerden gelen gelişmiş kalıcı tehditler arasında bir modeli sürdürüyor. cihazlar.
Bu teknolojiler için istismarlar geliştirmek zor olabilir ve önemli kaynaklar ve teknik kesintiler gerektirebilir.
Mandiant, BoldMove ile “saldırganlar yalnızca bir istismar geliştirmekle kalmadı, aynı zamanda sistemler, hizmetler, günlük kaydı ve belgesiz tescilli biçimler hakkında derinlemesine bir anlayış gösteren kötü amaçlı yazılım da geliştirdi” dedi. Ancak güvenlik satıcısı, başarılı bir istismarın saldırganlara herhangi bir kullanıcı etkileşimi gerektirmeden bir ağa geniş erişim sağlaması nedeniyle saldırganlar için getirisinin yüksek olabileceğini de sözlerine ekledi.
Fortinet’in ürünleri bu bağlamda özellikle popüler bir hedef olsa da, tehdit aktörleri Pulse Secure VPN’ler, Citrix ADC’ler ve SonicWall dahil olmak üzere diğer satıcıların ürünlerini de hedef aldı. Saldırılar FBI, ABD Siber Güvenlik ve Bilgi Güvenliği Teşkilatından (CISA) ve diğerlerinden çok sayıda tavsiye alınmasına yol açtı.
FortiOS’ta okudu
Bu arada Fortinet, geçen hafta CVE-2022-42475 ile ilişkili kötü amaçlı yazılımı, tehdit aktörünün FortiOS için özelleştirdiği “jenerik” bir Linux arka kapısının bir çeşidi olarak tanımladı. Şirket, analizinin, kötü amaçlı dosyanın güvenliği ihlal edilmiş sistemlerde Fortinet’in IPS motorunun bir bileşeni gibi göründüğünü gösterdiğini söyledi.
Fortinet, kötü amaçlı yazılımın daha gelişmiş özellikleri arasında, tespit edilmekten kaçınmak için FortiOS günlük kaydını manipüle etmek olduğunu söyledi. Kötü amaçlı yazılım, FortiOS’ta olay günlüklerini arayabilir, bunları bellekte açabilir ve günlükleri yeniden oluşturmasını sağlayan belirli bir diziyi arayıp silebilir. Kötü amaçlı yazılım ayrıca günlüğe kaydetme işlemlerini tamamen kapatabilir.
Fortinet, “İstismarın karmaşıklığı, gelişmiş bir aktörü ve yüksek oranda hükümet veya hükümetle ilgili hedefleri hedef aldığını gösteriyor” dedi.
Fortinet’e göre, istismarı geliştirmek, tehdit aktörünün FortiOS ve temeldeki donanım hakkında “derin bir anlayışa” sahip olmasını gerektirecekti. Satıcı, “Özel implantların kullanılması, aktörün FortiOS’un çeşitli parçalarının tersine mühendislik de dahil olmak üzere gelişmiş yeteneklere sahip olduğunu gösteriyor” dedi.