Rus Bilgisayar Korsanlarının Son Zamanlarda Aktif Olarak Kullandığı Güvenlik Açıkları Belirlendi
Rus İstihbaratı adına çalışan saldırganlar, saldırı tekniklerini güncelledi. Bunun üzerine ABD ve İngiltere’den ortak bir uyarı yapıldı.
Rusya kaynaklı siber saldırganlar dünyanın dört bir yanındaki hükümet organlarını, kuruluşları ve enerji üretim tesislerini hedef almaya devam ediyor. Rus bilgisayar korsanları mevcut saldırılarını sürdürürken, aynı zamanda da son Microsoft Exchange sıfır gün açıkları da dahil olmak üzere yeni güvenlik açıklarını kullanmaya başladı.
ABD İç Güvenlik Bakanlığı’nın Siber Güvenlik Altyapı Güvenliği Ajansı (CISA), FBI ve Ulusal Güvenlik Ajansı (NSA) ile Birleşik Krallık Ulusal Siber Güvenlik Merkezi tarafından, Rusya’nın yabancı istihbarat servisi tarafından kullanılan SVR’a karşı (siber güvenlik araştırmacıları tarafından APT29, Cozy Bear ve The Dukes olarak da bilinen bir grup) ortak bir tavsiye metni yayınlandı.
Söz konusu tavsiye metni, ABD ve İngiltere’deki siber güvenlik kurumlarının Solarwinds ve aşı geliştiricilere karşı gerçekleştirilen saldırıların Rusya ile bağını açıklamasından sonra yayınlandı.
Metinde şu ifadelere yer verildi: “SVR, teknolojik olarak sofistike ve oldukça yetenekli bir siber aktör. İngiltere, ABD, Avrupa, NATO üye ülkeleri ve Rusya’nın komşuları dahil olmak üzere küresel çapta örgütleri hedef alabilecek yeteneklere sahipler.”
İlgili tavsiye metninde Rus siber saldırganlarının, ağlara sızmak ve tespit edilmekten kaçınmak için tekniklerini ve prosedürlerini güncelledikleri konusunda uyarılar da yer aldı.
Uyarılardan biri de, saldırganların güvenliği ihlal edilmiş ağlara erişimi sürdürmek ve Microsoft Exchange’deki güvenlik açıkları dahil olmak üzere çok sayıda güvenlik açığından yararlanmak için açık kaynak aracı Sliver’ı kullanıyor oluşu.
Sliver, sızma testçileri tarafından ağ güvenliğini yasal ve meşru olarak test etmek için kullanılan ve açık kaynak olarak geliştirilmiş bir araç. Ancak bu durumda SVR’ın saldırılarında kullandığı kötü amaçlı yazılım olan WellMess ve WellMail ile güvenliği ihlal edilen ağlara erişimi sağlamak için kötüye kullanılmakta.
Makalede korsanların kullandığı güvenlik açıklarının bir listesi de yayınlandı
Yayınlanan metinde ayrıca Rus bilgisayar korsanları tarafından kullanılan diğer güvenlik açıklarına da yer verildi:
- CVE-2018-13379 FortiGate
- CVE-2019-1653 Cisco router
- CVE-2019-2725 Oracle WebLogic Server
- CVE-2019-9670 Zimbra
- CVE-2019-11510 Pulse Secure
- CVE-2019-19781 Citrix
- CVE-2019-7609 Kibana
- CVE-2020-4006 VMWare
- CVE-2020-5902 F5 Big-IP
- CVE-2020-14882 Oracle WebLogic
- CVE-2021-21972 VMWare vSphere
Saldırganlar ayrıca, yönetici haklarını elde etmek ve sızılan ağ hakkında daha fazla bilgi edinmek için e-posta sunucularını da hedef alıyor.
Ancak, saldırıların gelişmişliğine rağmen, ABD ve İngiltere siber güvenlik yetkilileri tarafından hazırlanan makalede, “temel siber güvenlik ilkelerine uymanın, üst düzey aktörlerin bile hedef ağları tehlikeye atmasını zorlaştıracağı” belirtildi.
Bu güvenlik önlemlerinin en önemlilerinden biri ise güvenlik yamalarının derhal uygulanması. Böylece bilgisayar korsanları eriştikleri ağlarda kalıcılık sağlamak ve sürdürmek için bilinen güvenlik açıklarından faydalanamayacak.
Bunlara ek olarak NCSC, özellikle şifrelerin güvenliğin tehlikeye atılabileceği durumlar için çok faktörlü kimlik doğrulama sistemlerinin kullanılmasını önerdi.
Kaynak: zdnet.com
Diğer Haberler
Microsoft Windows 95’ten Kalma İkonları Kaldırıyor
Milyonlarca Kişi Eski Modemlerden Dolayı Tehlike Altında
Teksas’daki Enerji Boru Hattına Siber Saldırı Yapıldı