Şüpheli bir China-nexus tehdit aktörü, Fortinet FortiOS SSL-VPN’de yakın zamanda yamalanan bir güvenlik açığından yararlanarak bir Avrupa devlet kurumunu ve Afrika’da bulunan bir yönetilen hizmet sağlayıcıyı (MSP) hedef alan saldırılarda sıfır gün olarak kullandı.
Google’ın sahibi olduğu Mandiant tarafından toplanan telemetri kanıtları, istismarın Ekim 2022’de, düzeltmelerin yayınlanmasından en az yaklaşık iki ay önce gerçekleştiğini gösteriyor.
Mandiant araştırmacıları teknik bir raporda, “Bu olay, Çin’in internete bakan cihazları, özellikle yönetilen güvenlik amaçları için kullanılanları (örneğin, güvenlik duvarları, IPS\IDS cihazları vb.) istismar etme modelini sürdürüyor” dedi.
Saldırılar, gelişmiş bir arka kapının kullanılmasını gerektirdi. CESUR HAREKETFortinet’in FortiGate güvenlik duvarlarında çalışmak üzere özel olarak tasarlanmış bir Linux çeşidi.
Söz konusu izinsiz giriş vektörü, FortiOS SSL-VPN’de özel olarak hazırlanmış istekler yoluyla kimliği doğrulanmamış uzaktan kod yürütülmesine neden olabilecek, yığın tabanlı bir arabellek taşması güvenlik açığı olan CVE-2022-42475’in kötüye kullanılmasıyla ilgilidir.
Bu ayın başlarında Fortinet, bilinmeyen bilgisayar korsanlığı gruplarının, ek yükler sağlayabilen ve uzak bir sunucu tarafından gönderilen komutları yürütebilen genel bir Linux implantıyla hükümetleri ve diğer büyük kuruluşları hedef alma konusundaki eksiklikten yararlandığını açıkladı.
Mandiant’tan elde edilen son bulgular, tehdit aktörünün güvenlik açığını sıfır gün olarak kendi avantajına kullanmayı ve casusluk operasyonları için hedeflenen ağları ihlal etmeyi başardığını gösteriyor.
Tehdit istihbaratı firması, “BOLDMOVE ile saldırganlar yalnızca bir açıktan yararlanma değil, aynı zamanda sistemler, hizmetler, günlük kaydı ve belgesiz tescilli biçimler hakkında derinlemesine bir anlayış gösteren kötü amaçlı yazılım da geliştirdi” dedi.
C dilinde yazılan kötü amaçlı yazılımın hem Windows hem de Linux türevlerine sahip olduğu ve ikincisi Fortinet’e özel bir dosya formatından veri okuyabildiği söyleniyor. Arka kapının Windows lezzetinin meta veri analizi, bunların 2021 yılına kadar derlendiğini gösteriyor, ancak vahşi ortamda hiçbir örnek tespit edilmedi.
BOLDMOVE, bir sistem araştırması yürütmek üzere tasarlanmıştır ve bir komut ve kontrol (C2) sunucusundan komutlar alabilir ve bu da saldırganların dosya işlemleri gerçekleştirmesine, uzak bir kabuk oluşturmasına ve virüs bulaşmış ana bilgisayar aracılığıyla trafiği aktarmasına olanak tanır.
Kötü amaçlı yazılımın genişletilmiş bir Linux örneği, tespit edilmekten kaçınmak amacıyla günlük tutma özelliklerini devre dışı bırakmak ve değiştirmek için ekstra özelliklerle birlikte gelir ve bu da Fortinet’in raporunu destekler.
Mandiant, “Ağ cihazlarında sıfır gün güvenlik açıklarının kullanılması ve ardından özel implantların yüklenmesi, Çin’in ağ cihazlarının daha önceki sömürüsüyle tutarlıdır” dedi.