Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Çinli Bilgisayar Korsanları ve Diğerleri Yamasız Güvenlik Açıklarını Giderek Artan Bir Şekilde Tercih Ediyor
Bay Mihir (MihirBagwe) •
20 Mart 2023
Güvenlik araştırmacıları, henüz yamalanmamış güvenlik açıklarının ulus devlet tarafından istismar edilmesinde kalıcı bir artış öngören bir raporda, geçen yılın Çinli devlet bilgisayar korsanları için sıfır gün içinde başka bir kazanç olduğunu söylüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Siber güvenlik firması Mandiant tarafından yapılan orijinal araştırmadan ve açık kaynaklı raporlamadan alınan veriler, sıfır gün istismarının, tespit edilen tam sıfır gün sayılarında yıldan yıla dalgalanmalara rağmen genel olarak artış eğiliminde olduğunu gösteriyor.
Google’ın sahip olduğu tehdit istihbaratı şirketinden alınan bir rapor, 2022’de 55 sıfır gün açıklarının tespit edildiğini söylüyor. Bu, bir önceki yıl tespit edilen bilinen 81 sıfır günden daha az, ancak aynı zamanda 2020’ye kıyasla %200’lük bir artış.
Mandiant, “Saldırganlar, her ikisi de sıfır günün sağlayabileceği gizlilik ve sömürü kolaylığı arar” diye yazıyor. Saldırganlara sağladıkları taktik üstünlük göz önüne alındığında, “tehdit aktörlerinin sıfır-gün keşfini ve istismarını sürdürmeye devam etmelerini bekliyoruz.”
Sömürü araştırmacılarının en azından orta düzeyde bir güvenle atfedebildiği sıfır-günlerin yarısından biraz fazlasından Çin devlet destekli gruplar sorumluydu. Çin kampanyaları, “birden çok grubun katılımı, geniş hedefleme ve kurumsal ağ ve güvenlik cihazlarına odaklanma” açısından dikkate değerdi.
Mandiant, Çinli ulus devlet bilgisayar korsanlarının 2022’de bir önceki yıla göre daha az sıfır gün açıkları kullandığını, ancak Pekin’in yama uygulanmamış güvenlik açıklarını belirleme ve bunlardan yararlanma konusundaki artan kapasitesinin çok sayıda Batılı güvenlik araştırmacısının dikkatini çektiğini söylüyor. CrowdStrike geçtiğimiz günlerde Pekin’in yeteneklerini “üst seviyeye çıkardığını” söylerken Microsoft, Pekin tarafından olası sıfır gün stoklaması konusunda uyarıda bulundu. Her iki şirket de Çin’in sıfır gün zenginliğinin izini, Çin verilerinin işlenmesiyle ilgili düzenlemeleri sıkılaştıran daha geniş bir Veri Güvenliği Yasası’nın bir parçası olarak 1 Eylül 2021’de yürürlüğe giren bir güvenlik açığı açıklama gerekliliğine kadar takip ediyor.
Mandiant, Microsoft Office’teki geç yamalanmış Follina hatası gibi, birden fazla Çinli devlet bilgisayar korsanlığı grubu tarafından belirli bir sıfır günün istismar edilmesinin, Çinli devlet bilgisayar korsanlığı gruplarının araçları merkezi bir malzeme sorumlusundan aldığını öne sürdüğünü söylüyor.
Diğer Bulgular
Mandiant, Follina’ya kilitlenen tek hükümetin Çin olmadığını söylüyor. APT28 olarak bilinen Rus devlet bilgisayar korsanları da bundan yararlandı, ancak bu, açıklama ile yama sürümü arasındaki haftalarca süren gecikmeden yararlanan fırsatçı bilgisayar korsanları olabilir.
Mandiant, Moskova’nın 2022’de yalnızca iki sıfır gün istismarından yararlandığını söylüyor – bu durum, Kremlin’in Şubat 2022’de Ukrayna’yı işgalinin ardından Rus operatörlere karşı artan ihtiyata atfediyor. Rus bilgisayar korsanları, değerli sıfır günleri kullanmaktan çekinirken, savunucular eylemlerine karşı ekstra dikkatli olabilir.
Mandiant’ın UNC2633 olarak izlediği bir tehdit kümesi de Follina eylemine dahil oldu ve onu en az iki örnekte Qakbot kötü amaçlı yazılımını dağıtmak için kullandı. Fidye yazılımı bilgisayar korsanları gibi finansal olarak motive olmuş aktörler, 2022’de toplu olarak dört sıfır gün güvenlik açığından yararlandı.
2022’de sıfır günün büyük bölümünü Microsoft, Google ve Apple ürünleri oluşturdu ve en çok istismar edilen ürün türleri işletim sistemleri oldu, bunu web tarayıcıları, güvenlik, BT ve ağ yönetimi ürünleri ve mobil işletim sistemleri izledi.