Perşembe, Ocak 27, 2022
spot_img
Ana SayfaTeknoloji Haberleriİranlı Hackerlar ABD Kritik Altyapısının Peşinde

İranlı Hackerlar ABD Kritik Altyapısının Peşinde

Sorumlu kuruluşlar ABD, İngiltere ve Avustralya’dan hükümet yetkilileri Çarşamba günü uyardı, ABD’deki kritik altyapı, Microsoft ve Fortinet’in kurumsal ürünlerindeki bilinen güvenlik açıklarından yararlanan İranlı hükümet bilgisayar korsanlarının hedefinde.

Çarşamba günü yayınlanan ortak bir danışma belgesinde, İran hükümetiyle uyumlu ileri düzey kalıcı tehditlere sahip bir bilgisayar korsanlığı grubunun Microsoft Exchange ve Fortinet’in FortiOS’un güvenlik tekliflerinin temelini oluşturan güvenlik açıklarından yararlandığı belirtildi. Tanımlanan tüm güvenlik açıkları yamalandı, ancak ürünleri kullanan herkes güncellemeleri yüklemedi. Öneri FBI, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Birleşik Krallık Ulusal Siber Güvenlik Merkezi ve Avustralya Siber Güvenlik Merkezi tarafından yayınlandı.

Geniş Bir Hedef Yelpazesi

“İran hükümeti destekli APT aktörleri, Ulaştırma Sektörü ve Sağlık ve Halk Sağlığı Sektörünün yanı sıra Avustralya kuruluşları da dahil olmak üzere birçok ABD kritik altyapı sektöründeki geniş bir mağdur grubunu aktif olarak hedef alıyor” dedi. “FBI, CISA, ACSC ve NCSC aktörleri değerlendiriyor [that] belirli sektörleri hedeflemek yerine bilinen güvenlik açıklarından yararlanmaya odaklanmıştır. İran hükümeti tarafından desteklenen bu APT aktörleri, veri hırsızlığı veya şifreleme, fidye yazılımı ve gasp gibi takip eden işlemler için bu erişimden yararlanabilir.”

Danışmanlık, FBI ve CISA’nın, sistemlere ilk erişim sağlamak için grubun en az Mart ayından bu yana Fortinet güvenlik açıklarından ve en az Ekim ayından bu yana Microsoft Exchange güvenlik açıklarından yararlandığını gözlemlediğini söyledi. Bilgisayar korsanları daha sonra fidye yazılımı dağıtmayı içeren takip operasyonlarını başlatır.

Mayıs ayında saldırganlar, adı açıklanmayan bir ABD belediyesini hedef aldılar ve burada, ele geçirilmiş ağa daha fazla girmek için muhtemelen “elie” kullanıcı adıyla bir hesap oluşturdular. Bir ay sonra, çocuklar için sağlık bakımı konusunda uzmanlaşmış ABD merkezli bir hastaneyi hacklediler. İkinci saldırı muhtemelen 91.214.124’te İran bağlantılı sunucuları içeriyordu.[.]143, 162.55.137[.]20 ve 154.16.192[.]70.

Geçen ay, APT aktörleri, takip eden operasyonlardan önce sistemlere ilk erişim sağlayan Microsoft Exchange güvenlik açıklarından yararlandı. Avustralyalı yetkililer, grubun Exchange kusurundan yararlandığını da gözlemlediklerini söyledi.

Tanınmayan Kullanıcı Hesaplarına Dikkat Edin

Bilgisayar korsanları, ele geçirdikleri ağların etki alanı denetleyicilerinde, sunucularında, iş istasyonlarında ve etkin dizinlerinde yeni kullanıcı hesapları oluşturmuş olabilir. Hesapların bazıları mevcut hesapları taklit ediyor gibi görünüyor, bu nedenle kullanıcı adları genellikle hedeflenen kuruluştan hedeflenen kuruluşa farklılık gösteriyor. Danışmanlık, ağ güvenliği personelinin Destek, Yardım, elie ve WADGUtilityAccount gibi kullanıcı adlarına özel dikkat göstererek tanınmayan hesapları araması gerektiğini söyledi.

Danışmanlık, Microsoft’un Phosphorous olarak adlandırdığı İran bağlantılı bir grubun gelir elde etmek veya rakipleri bozmak için giderek daha fazla fidye yazılımı kullandığını bildirmesinden bir gün sonra geldi. Microsoft, grubun hedeflere “agresif kaba kuvvet saldırıları” uyguladığını da sözlerine ekledi.

Microsoft, bu yılın başlarında Phosphorus’un, CVE-2018-13379 için güvenlik düzeltmelerini henüz yüklememiş olan FortiOS sistemlerini aramak için milyonlarca IP adresini taradığını söyledi. Kusur, bilgisayar korsanlarının sunuculara uzaktan erişmek için kullanılan açık metin kimlik bilgilerini toplamasına izin verdi. Phosphorus, ABD, Avrupa ve İsrail’deki 900’den fazla Fortinet sunucusundan kimlik bilgilerini topladı.

Daha yakın zamanlarda Phosphorus, ProxyShell adı altında yer alan bir dizi kusur olan CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065’e karşı savunmasız olan şirket içi Exchange Sunucularını taramaya geçti. . Microsoft, güvenlik açıklarını Mart ayında düzeltti.

Microsoft, “Zayıf sunucuları belirlediklerinde Phosphorus, hedef sistemlerde kalıcılık kazanmaya çalıştı” dedi. “Bazı durumlarda, aktörler, adında bir Plink koşucu indirdi. MicrosoftOutLookUpdater.exe. Bu dosya, SSH aracılığıyla C2 sunucularına periyodik olarak işaret vererek, aktörlerin daha fazla komut vermesini sağlar. Daha sonra oyuncular, Base64 ile kodlanmış bir PowerShell komutu aracılığıyla özel bir implant indirecekti. Bu implant, başlangıç ​​kayıt defteri anahtarlarını değiştirerek kurban sistemde kalıcılık sağladı ve nihayetinde ek araçları indirmek için bir yükleyici olarak işlev gördü.”

Yüksek Değerli Hedefleri Belirleme

Microsoft blog gönderisi ayrıca, kalıcı erişim elde ettikten sonra, bilgisayar korsanlarının, takip eden saldırılar için en ilginç hedefleri belirlemek için yüzlerce kurbanı tetiklediğini söyledi. Bilgisayar korsanları daha sonra “yardım” kullanıcı adı ve “_AS_@1394” parolasıyla yerel yönetici hesapları oluşturdular. Bazı durumlarda, aktörler daha sonra kullanılmak üzere kimlik bilgilerini almak için LSASS’ı terk etti.

Microsoft ayrıca, verileri korumak ve yetkisiz yazılımların çalışmasını önlemek için tasarlanmış Microsoft’un BitLocker tam disk şifreleme özelliğini kullanarak grubu gözlemlediğini söyledi.

RELATED ARTICLES

CEVAP VER

Please enter your comment!
Please enter your name here

- Advertisment -
Google search engine

Most Popular

Recent Comments