HACKER DÜNYASI : ABD, Rus devlet bilgisayar korsanlarının aylardır savunma şirketi ağlarında giz lendiğini söyledi


ABD, Rus devlet bilgisayar korsanlarının aylardır savunma şirketi ağlarında gizlendiğini söyledi

Şub 27, 2022

Federal hükümet Çarşamba günü yaptığı açıklamada, Rus hükümeti tarafından desteklenen bilgisayar korsanlarının, ABD silah geliştirme iletişim altyapısı hakkında hassas bilgileri açığa çıkaran devam eden bir kampanyada birkaç ABD savunma yüklenicisinin ağlarını ihlal ettiğini söyledi.

Kampanya, en geç Ocak 2020’de başladı ve FBI, Ulusal Güvenlik Ajansı ve Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın ortak tavsiyesine göre bu ay boyunca devam edecek. Bilgisayar korsanları, ABD Savunma Bakanlığı ve istihbarat topluluğu için sözleşmeleri destekleyen Temizlenmiş Savunma Müteahhitlerini veya CDC’leri hedef aldı ve başarıyla hackledi.

“Kalıcı Erişim”, “Önemli İçgörü”

Yetkililer tavsiyede “Bu iki yıl boyunca, bu aktörler bazı durumlarda en az altı ay olmak üzere birden fazla CDC ağına sürekli erişimi sürdürdüler” diye yazdı. “Aktörlerin başarılı bir şekilde erişim elde ettiği durumlarda, FBI, NSA ve CISA, e-postaların ve verilerin düzenli ve yinelenen sızdırıldığını belirledi. Örneğin, 2021 uzlaşması sırasında, tehdit aktörleri şirketin ürünleri, diğer ülkelerle ilişkileri ve iç insan kaynakları ve yasal konularla ilgili yüzlerce belgeyi sızdırdı.

Elden sızdırılan belgeler, sınıflandırılmamış CDC’ye ait tescilli ve ihracat kontrollü bilgiler içerir. Bu bilgi, Rus hükümetine ABD silah platformu geliştirme ve dağıtım zaman çizelgeleri, iletişim altyapısı planları ve ABD hükümeti ve ordusu tarafından kullanılan belirli teknolojiler hakkında “önemli bir fikir” veriyor. Belgeler ayrıca, çalışanlar ve hükümet müşterileri arasında teknolojik ve bilimsel araştırmalarla ilgili özel ayrıntıları tartışan sınıflandırılmamış e-postaları da içeriyor.

FBI, NSA, CISA

FBI, NSA, CISA

Danışman dedi ki:

Bu sürekli izinsiz girişler, aktörlerin hassas, sınıflandırılmamış bilgilerin yanı sıra CDC’ye ait ve ihracat kontrollü teknoloji elde etmesine izin verdi. Elde edilen bilgiler, ABD silah platformlarının geliştirme ve konuşlandırma zaman çizelgeleri, araç özellikleri ve iletişim altyapısı ve bilgi teknolojisi planları hakkında önemli bilgiler sağlıyor. Müseccel dahili belgeler ve e-posta iletişimleri edinerek, düşmanlar kendi askeri planlarını ve önceliklerini ayarlayabilir, teknolojik gelişme çabalarını hızlandırabilir, yabancı karar vericileri ABD’nin niyetleri hakkında bilgilendirebilir ve potansiyel işe alım kaynaklarını hedefleyebilir. Gizli olmayan CDC ağlarında yaygın olarak bulunan bilgilerin hassasiyeti göz önüne alındığında, FBI, NSA ve CISA, Rus devlet destekli siber aktörlerin yakın gelecekte ABD savunma istihbaratı için CDC’leri hedef almaya devam edeceğini tahmin ediyor. Bu kurumlar, tüm CDC’leri, uzlaşma kanıtına bakılmaksızın bu danışma belgesinde önerilen etki azaltma önlemlerini uygulamaya teşvik eder.

Reklamcılık

Hedefli kimlik avı, saldırıya uğramış yönlendiriciler ve daha fazlası

Bilgisayar korsanları, hedeflerini ihlal etmek için çeşitli yöntemler kullandılar. Yöntemler, hedefli kimlik avı, veri ihlalleri, kırma teknikleri ve yama uygulanmamış yazılım güvenlik açıklarından yararlanmayı kullanarak ağ parolalarını toplamayı içerir. Saldırganlar kendilerini hedef ağ üzerinde kurduktan sonra Active Directory’yi eşleyerek ve etki alanı denetleyicilerine bağlanarak sistem ayrıcalıklarını yükseltir. Oradan, diğer tüm hesapların kimlik bilgilerini sızdırabilir ve yeni hesaplar oluşturabilirler.

Danışman, bilgisayar korsanlarının iletişimlerini şifrelemek ve kimliklerini gizlemek için sanal özel sunucular kullandığını ekledi. Ayrıca algılamadan kaçmak için “küçük ofis ve ev ofis (SOHO) cihazlarını operasyonel düğümler olarak” kullanırlar. 2018’de Rusya, 500.000’den fazla tüketici yönlendiricisine bulaşırken yakalandı, böylece cihazlar bağlı oldukları ağlara bulaşmak, şifreleri sızdırmak ve güvenliği ihlal edilen cihazdan geçen trafiği manipüle etmek için kullanılabilecekti.

Bu teknikler ve diğerleri başarılı olmuş görünüyor.

Ortak raporda, “Birden çok durumda, tehdit aktörleri en az altı ay boyunca sürekli erişimi sürdürdü” dedi. “Aktörler kalıcılığı sağlamak için çeşitli kötü amaçlı yazılımlar kullansa da, FBI, NSA ve CISA, kötü amaçlı yazılımlara veya diğer kalıcılık mekanizmalarına dayanmayan izinsiz giriş girişimlerini de gözlemledi. Bu durumlarda, saldırganların, gerektiğinde güvenliği ihlal edilmiş ortamlara erişimi sürdürmek için başka hesaplara geçebilmeleri için meşru kalıcılık kimlik bilgilerine sahip olmaları muhtemeldir.

Danışmanlık, yöneticilerin kampanyada ağlarının güvenliğinin ihlal edilip edilmediğini belirlemek için kullanabilecekleri teknik göstergelerin bir listesini içerir. Tüm CDC’leri kurumsal ve bulut ortamlarındaki şüpheli etkinlikleri araştırmaya teşvik eder.

İnceleyeceğiz ...

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s