Siber Suçlar, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Araştırmacılar Uyardı: Kriminal ve Ulus-Devletin Ağ Uç Cihazlarına Odaklanması Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
28 Mayıs 2024
Saldırganlar, kurumsal ağlara uzaktan ilk erişim sağlamak için güvenliği zayıf sanal özel ağları tehlikeye atma girişimlerini artırıyor.
Ayrıca bakınız: Bugün Yeni Windows 11 Pro Cihazlara Geçmek İçin Dört Neden
Check Point Yazılım Teknolojileri Pazartesi günü bir güvenlik uyarısında şunları söyledi: “Geçtiğimiz birkaç ay boyunca, kötü niyetli grupların uzaktan erişim VPN ortamlarını kuruluşlara giriş noktası ve saldırı vektörü olarak kullanma konusundaki ilgisinin arttığını gözlemledik.”
Güvenlik sağlayıcısının uyarısı, saldırganların yalnızca güvenliği zayıf VPN’leri değil aynı zamanda güvenlik duvarlarını ve uzaktan erişim protokollerini de kullanarak uç cihazlardan yararlanmaya odaklandığını gösteren verilerin ardından geldi. Siber sigorta şirketi Coalition, uç cihazların kritik bir güvenlik savunması olmaya devam ettiğini ancak 2023 hasar verilerinin “bilinen güvenlik açıklarına sahip sınır cihazlarına sahip olmanın bir işletmenin siber hak talebinde bulunma olasılığını artırdığını” gösterdiğini bildirdi (bkz: Kötü Güvenli Ağ Uç Cihazlarının Tehlikesi).
Check Point, telemetrisinin, kendi cihazları da dahil olmak üzere çok sayıda satıcının VPN ürünlerinin hedef alındığını gösterdiğini söyledi. Şirket, saldırganların gelişen taktiklerini takip etmek için izleme çabalarını hızlandırdığını ve hedeflenen müşterileri bilgilendirmek ve onlara yardımcı olmak için olay müdahale ve teknik destek ekiplerini bir araya getirdiğini söyledi.
“Saldırganlar, uzaktan erişim kurulumları üzerinden kuruluşlara erişmeye motive oluyorlar, böylece ilgili kurumsal varlıkları ve kullanıcıları keşfetmeye çalışabilirler, önemli kurumsal varlıklar üzerinde kalıcılık kazanmak için güvenlik açıklarını araştırabilirler” dedi. “Son zamanlarda çeşitli siber güvenlik sağlayıcıları da dahil olmak üzere VPN çözümlerinin güvenliğinin ihlal edildiğine tanık olduk. Bu olayların ışığında, Check Point müşterilerinin VPN’lerine yetkisiz erişim elde etme girişimlerini izliyoruz.”
Bu cephede, Check Point yakın zamanda “önerilmeyen yalnızca şifre kimlik doğrulama yöntemine dayanan eski VPN yerel hesaplarını kullanan az sayıda oturum açma denemesi” gördüğünü bildirdi.
Bir sözcü, Bleeping Computer’a şu ana kadarki saldırı modelinin “küresel olarak birkaç girişimden ibaret olduğunu ancak bir eğilimi anlamaya yetecek kadar” olduğunu ve bloklanması kolay bir saldırı olduğunu söyledi.
Satıcı, kuruluşların yalnızca parola erişimine izin verecek şekilde ayarlamış olabilecekleri tüm yerel hesapları derhal bulmalarını ve devre dışı bırakmalarını öneriyor.
Bu tür hesaplar, Quantum Security Gateway ve CloudGuard Network Security ürünleri de dahil olmak üzere şirketin Güvenlik Ağ Geçitlerinde ve özellikle Mobil Erişim ve Uzaktan Erişim VPN adı verilen yazılım kanatlarında (diğer adıyla modüller) mevcut olabilir. Şirketin web sitesinde “Uzaktan erişim her Check Point ağ güvenlik duvarına entegre edilmiştir” yazıyor. “İstemciden siteye VPN’yi yapılandırın veya herhangi bir tarayıcıdan bağlanmak için bir SSL VPN Portalı kurun.”
Firma, yalnızca parola kullanacak şekilde ayarlanmış tüm yerel hesapları bulmak ve devre dışı bırakmak için, bunları bulmak için kullanılabilecek bir komut dosyası da dahil olmak üzere ayrıntılı talimatların yanı sıra bu kullanıcı hesaplarının Security Management Server veritabanından nasıl silineceğine ilişkin ayrıntılar yayınladı. Şirket ayrıca, herhangi bir yerel hesabın uzaktan erişim VPN’sinde oturum açmak için yalnızca parola kimlik doğrulamasını kullanmasını engellemek için Güvenlik Ağ Geçitlerine yüklenebilecek bir güvenlik düzeltmesi yayınladı.
Kullanıcılara SMS mesajı veya e-posta yoluyla tek kullanımlık bir şifre göndermek, kullanıcıların işletim sistemi şifrelerini girmelerini gerektirmek, kullanıcıya bir sorgulamaya girmeleri gereken yanıtı sağlamak için bir RADIUS veya TACACS sunucusu kullanmak gibi diğer kimlik doğrulama seçenekleri de mevcuttur. SoftID – RSA’nın SecurID’sinin yazılım sürümü – veya diğer tek kullanımlık şifre kartları veya USB belirteçleri veya biyometri kullananlar da dahil olmak üzere çeşitli üçüncü taraf kimlik doğrulama modüllerinin kullanılması.
Uç Cihazlar Ateş Altında
Bu, son aylarda saldırganların halka açık VPN’leri nasıl hedef aldığına ilişkin ilk uyarı değil.
Google Cloud’un Mandiant tehdit istihbarat birimi kısa süre önce, devlet destekli saldırganların, güvenlik duvarları, VPN’ler ve e-posta filtreleri de dahil olmak üzere uç cihazlardan yararlanmaya daha fazla odaklandıkları konusunda uyardı; bunun nedeni kısmen, savunucuların düzgün bir şekilde izlemesinin zor olabilmesidir (bkz.: Eyalet Bilgisayar Korsanlarının Yeni Sınırı: Ağ Uç Cihazları).
Yeni kampanyalar gün yüzüne çıkmaya devam ediyor. Geçtiğimiz ay Cisco, geçen yılın sonlarından itibaren ulus devlet korsanlarının güvenlik duvarı cihazlarını hedef almaya başladıkları, kötü amaçlı yazılım yüklemeye ve “Gizli Kapı” adını verdikleri bir kampanya kapsamında veri sızdırmaya çalıştıkları konusunda uyarmıştı. Cisco’nun Talos tehdit istihbarat grubu, kampanyanın tamamı devlet sektöründeki “küçük bir müşteri grubunu” etkilediğini bildirdi (bkz: Cisco, Olası Ulus Devlet Saldırısından 0 Gün Sonra Güvenlik Duvarını Düzeltiyor).
Brutus Botnet’i
Yine geçen ay Cisco, saldırganların halka açık birçok farklı hesapta kimlik doğrulaması yapmak için aynı şifreyi kullanmaya çalıştığı şifre püskürtme saldırıları karşısında uzak VPN hizmetlerini kullanan müşterilere onları kilitlemelerini tavsiye etti.
Güvenlik araştırmacısı Aaron Martin Mart ayında, bu saldırılar ile kendisi ve araştırmacı arkadaşı Chris Grube’nin “tuhaf kaba kuvvet faaliyeti” nedeniyle Brutus adını verdikleri daha önce belgelenmemiş, kötü amaçlı yazılım yayan bir botnet arasında olası bir bağlantı olduğunu vurguladı.
Martin, botnet’in, çeşitli sanal makineler ve güvenliği ihlal edilmiş Windows ve Linux sistemlerinin yanı sıra “gizli IoT cihazları” da dahil olmak üzere bir dizi virüslü cihazdan oluşturulduğunu söyledi.
Botnet, yalnızca Cisco’nun değil aynı zamanda Fortinet, Palo Alto Networks ve SonicWall’un halka açık SSL VPN cihazlarını ve ayrıca kimlik doğrulama için Active Directory’yi kullanan halka açık bir dizi web uygulamasını hedeflemek için dünya çapında 20.000 IP adresini dolaşıyordu.
“Herkesin gördüğü tek şey, bu benzersiz, açıklanmayan hesapların kaba kuvvetle çalıştırılmasıdır” dedi ve bu da saldırganların sıfır gün istismarını mı hedef aldığı yoksa başka bir ihlal yoluyla elde edilen hesap listelerini mi kullandığı konusunda soruları gündeme getiriyor.
Botnet’in tuhaf davranışının bir kısmı, görünüşte anlamsız ısrarıydı. “Yeni bir IP devreye girip denemeye başlamadan önce yaklaşık altı deneme görüyoruz. Bundan sonra sadece durulama ve tekrarlama yeterli” dedi. “Botnet için ayrı bir konum da yok (ABD, İngiltere, Rusya, Çin, Hollanda vb. gibi ülkeler arasında) ve rastgele konumlar var; örneğin Brooklyn, Azure, AWS’deki iş ofisleri, yerleşim yerleri.”
Martin, Brutus’u yöneten kişinin kimliğinin belirsizliğini koruduğunu, ancak daha önce APT29’a atfedilen saldırılarda görülen iki IP adresi (eski adıyla Nobelium) ve Cozy Bear olmak üzere Midnight Blizzard gibi ikinci dereceden kanıtlar bulunduğunu söyledi. Araştırmacılar grubu, Batı istihbaratının SolarWinds, Microsoft ve diğerlerine yönelik büyük saldırılardan sorumlu tuttuğu Rusya Dış İstihbarat Servisi’ne bağladı (bkz: Microsoft Büyük İhlal Yaşadıktan Sonra Müşteriler Ne Yapabilir?).