Çinli bilgisayar korsanları 2021'den bu yana bilinen kusurlardan yararlanıyor

Son zamanlarda Çinli grup Tuz Tayfunu tarafından telekomünikasyon şirketlerine ve aralarındaki ülkelere gerçekleştirildiği iddia edilen saldırılar Brezilya olacaktır 'SA tüm dünyayı alarma geçirdi. Haberler istilaların karmaşıklık düzeyinden bahsediyor ve daha da endişe verici olanı 'suçlular teorik olarak hala bu şirketlerin ağları içinde olacak.

Bu grupla ilgili ilk bilgiler, Microsoft'un Tehdit İstihbaratı ekibinin, Çin'in şirketleri gözetlemek ve veri yakalamak için birkaç internet servis sağlayıcısına nasıl başarılı bir şekilde sızdığına dair bilgileri yayınladığı 2021'de geldi.Grup tarafından gerçekleştirilen ilk saldırılardan biri, bu cihazlar aracılığıyla gerçekleşen internet faaliyetlerini izlemek için bir ağ geçidi görevi gören Cisco yönlendiricilerindeki bir ihlalden kaynaklandı. Erişim sağlandıktan sonra bilgisayar korsanları erişimlerini ek ağlara genişletebildiler.Ekim 2021'de Kaspersky, siber suçluların Vietnam, Endonezya ve Endonezya gibi diğer ülkelere yönelik saldırıları zaten genişlettiğini doğruladı. 

İlk güvenlik açıkları zaten 2021'den beri biliniyorsa, NEDEN hala saldırıya uğradık? Cevap tam olarak bu güvenlik açıklarıyla günlük olarak nasıl başa çıktığımızla ilgilidir.

İhlal yöntemi

Şimdi, son günlerde, hükümet bilgileri şirketlere ve ülkelere yönelik bir dizi saldırıyı doğruladı” - bu, sunucuları, güvenlik duvarlarını Sophos'u ve ayrıca Microsoft Exchange sunucularını izlemek için kullanılan bir VPN uygulaması olan üretici Ivanti, Fortinet Forticlient EMS'deki bilinen güvenlik açıklarından kaynaklandı. 

Microsoft'un güvenlik açığı, kısa bir süre sonra şirketin düzeltmeleri yayınlamasıyla 2021'de açıklandı. Sophos güvenlik duvarlarındaki kusur 2022'de yayınlandı ve Eylül 2023'te düzeltildi. Forticlient'te bulunan sorunlar 2023'te kamuoyuna açıklandı ve Mart 2024'te düzeltildi ve ayrıca CVE'leri (Ortak Güvenlik Açıkları ve Maruziyetler) 2023'te kaydedilen Ivanti'nin sorunları da düzeltildi. Ancak şirket, güvenlik açığını yalnızca geçen Ekim ayında düzeltti. 

Tüm bu güvenlik açıkları, suçluların meşru kimlik bilgileri ve yazılım kullanarak saldırıya uğrayan ağlara kolayca sızmasına olanak tanıdı, bu da bu izinsiz girişlerin tespit edilmesini neredeyse imkansız hale getirdi. Suçlular oradan bu ağlar içinde yanal olarak hareket ederek kötü amaçlı yazılım dağıttılar ve bu da uzun vadeli casusluk çalışmalarına yardımcı oldu. 

Son saldırılarla ilgili endişe verici olan şey, Salt Typhoon grubu bilgisayar korsanlarının kullandığı yöntemlerin, Çin devlet ajanlarına atfedilen önceki kampanyalarda gözlemlenen uzun vadeli taktiklerle tutarlı olmasıdır. Bu yöntemler, kötü amaçlı faaliyetleri rutin işlemler olarak maskelemek için meşru kimlik bilgilerinin kullanılmasını içerir ve bu da geleneksel güvenlik sistemleri tarafından tanımlanmasını zorlaştırır. VPN'ler ve güvenlik duvarları gibi yaygın olarak kullanılan yazılımlara odaklanmak, kurumsal ve hükümet ortamlarındaki güvenlik açıkları hakkında derinlemesine bilgi sahibi olunduğunu gösterir.

Güvenlik açığı sorunu

Kullanılan güvenlik açıkları da endişe verici bir modeli ortaya koyuyor: yamaların ve güncellemelerin uygulanmasındaki gecikmeler Üreticiler tarafından sunulan düzeltmelere rağmen, birçok şirketin operasyonel gerçekliği bu çözümlerin hemen uygulanmasını zorlaştırıyor. Uyumluluk testi, kritik görev sistemlerinde aksaklıkların önlenmesi ihtiyacı ve bazı durumlarda arızaların ciddiyetinin farkında olunmaması, artan maruz kalma penceresine katkıda bulunur.

Bu konu sadece teknik değil, aynı zamanda süreçleri, öncelikleri ve çoğu zaman kurum kültürünü de içeren organizasyonel ve stratejiktir.

Kritik bir husus, birçok şirketin yama uygulamasını operasyonel sürekliliğe kıyasla “ikincil” bir görev olarak ele almasıdır. Bu, liderlerin yükseltme sistemlerine anlık hizmet kesintisi ile gelecekteki potansiyel kullanım riski arasında karar vermesi gereken sözde kesinti ikilemini yaratır. Ancak son saldırılar, bu güncellemeleri geciktirmenin hem mali hem de itibar açısından çok daha pahalı olabileceğini gösteriyor.

Buna ek olarak, uyumluluk testi yaygın bir darboğazdır.Özellikle telekomünikasyon gibi endüstrilerdeki birçok kurumsal ortam, eski ve modern teknolojilerin karmaşık bir kombinasyonuyla çalışır. Bu, yamanın bağımlı sistemlerde sorunlara neden olmamasını sağlamak için her güncellemenin önemli ölçüde çaba gerektirmesine neden olur. Bu tür bakım anlaşılabilir ancak daha sağlam test ortamları ve otomatik doğrulama süreçleri gibi uygulamaların benimsenmesiyle hafifletilebilir.

Yamaların uygulanmasındaki gecikmeye katkıda bulunan bir diğer nokta da arızaların ciddiyeti konusunda farkındalık eksikliğidir. Çoğu zaman BT ekipleri, özellikle bugüne kadar geniş çapta araştırılmadığında belirli bir CVE'nin önemini hafife alır. Sorun, saldırganlar için fırsat penceresinin, kuruluşlar sorunun ciddiyetini fark etmeden önce açılabilmesidir. Bu, tehdit istihbaratının ve teknoloji satıcıları ile şirketler arasındaki net iletişimin büyük fark yaratabileceği bir alandır.

Son olarak şirketlerin, yama süreçlerini otomatikleştirmeyi, ağları bölümlere ayırmayı, olası izinsiz girişlerin etkisini sınırlamayı, olası saldırıları düzenli olarak simüle etme rutinini içeren ve potansiyel “zayıf noktaları” bulmaya yardımcı olan güvenlik açığı yönetimine yönelik daha proaktif ve öncelikli bir yaklaşım benimsemeleri gerekiyor. 

Yama ve güncelleme gecikmeleri konusu sadece teknik bir zorluk değil, aynı zamanda kuruluşların güvenlik yaklaşımlarını dönüştürerek daha çevik, uyarlanabilir ve dirençli hale getirmeleri için bir fırsattır.Her şeyden önce, bu çalışma modu yeni değildir ve bununla yüzlerce başka saldırı gerçekleştirilir modus operandi ağ geçidi olarak kullanılan güvenlik açıklarından Bu dersten yararlanmak, kurban olmak veya bir sonraki saldırıya hazırlanmak arasındaki fark olabilir.