ABD, İngiltere ve Avustralya siber güvenlik kurumları bugün, İran destekli bir bilgisayar korsanlığı grubuyla bağlantılı olan Microsoft Exchange ProxyShell ve Fortinet güvenlik açıkları konusunda uyarı yayınladı.
Uyarı, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Avustralya Siber Güvenlik Merkezi (ACSC) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından yayınlanan ortak bir tavsiye niteliğinde yayınlandı.
CISA yetkilileri konu ile ilgili yaptıkları açıklamada şu ifadeleri kullandı: “FBI ve CISA, İran hükümeti destekli bilgisayar korsanlığı grubunun en az Mart 2021’den bu yana Fortinet güvenlik açıklarından ve en az Ekim 2021’den bu yana da bir Microsoft Exchange ProxyShell güvenlik açığından yararlanarak sistemlere erişim elde ettikten sonra, fidye yazılımı dağıtmayı da içeren çeşitli saldırılar düzenlemekte olduğunu tespit etti.”
“ACSC, bu APT grubunun Avustralya’da da aynı Microsoft Exchange güvenlik açığını kullandığını tespit etti.”
İran devlet bilgisayar korsanları, saldırılarını ABD’nin kritik altyapı sektörlerine (ulaşım, sağlık vb.) ve Avustralya kuruluşlarına odaklamış durumda.
Kritik sektörlere, veri hırsızlığı ve fidye yazılımı dağıtımı da dahil olmak üzere diğer kötü amaçlar için kullanılabilecek hedeflere erişim elde etmeyi amaçlıyorlar.
CISA ve FBI ayrıca, İran destekli hack grubunun gözlemlendiği birçok örnek hakkında da bilgi paylaştı:
- Mart 2021’de FBI ve CISA, İran hükümeti destekli aktörlerin 4443, 8443 ve 10443 bağlantı noktalarındaki cihazları Fortinet FortiOS güvenlik açığı CVE-2018-13379 için taradığını gözlemledi. 2019-5591. İran Hükümeti tarafından desteklenen APT aktörleri, savunmasız ağlara erişim elde etmek için muhtemelen bu güvenlik açıklarından yararlandı.
- Mayıs 2021’de, İran hükümeti tarafından desteklenen bu APT aktörleri, bir ABD belediye yönetiminin etki alanını barındıran bir web sunucusuna erişmek için Fortigate üzerindeki bir açıktan yararlandı.
- Haziran 2021’de yine aynı bilgisayar korsanları, çocuklara yönelik sağlık bakımı konusunda uzmanlaşmış ABD merkezli bir hastaneyle ilişkili çevresel kontrol ağlarına erişmek için bir Fortigate cihazından yararlandı. Tehdit aktörleri, hastanedeki bilinen kullanıcı hesaplarına, FBI ve CISA’nın yargıçlarının İran hükumetinin saldırgan siber faaliyeti ile ilişkili olduğu 154.16.192[.]70 IP adresinden erişti.
- Ekim 2021 itibarıyle de, sonraki işlemlerden önce sistemlere ilk erişim elde etmek için bir Microsoft Exchange ProxyShell güvenlik açığından (CVE-2021-34473) yararlandı.
Bu ortak tavsiye belgesinde yer alan bilgiler, Salı günü bir Microsoft Tehdit İstihbarat Merkezi (MSTIC) raporunda paylaşılan ayrıntılarla örtüşmekte.
Microsoft, Eylül 2020’de başlayan saldırılarda fidye yazılımı dağıtan ve veri sızdıran altı İranlı tehdit grubunu izlediğini belirtmişti.
MSTIC, korsanların Fortinet’in FortiOS SSL VPN ve ProxyShell hatalarına karşı savunmasız Microsoft Exchange sunucusu da dahil olmak üzere birçok üründeki güvenlik açıklarını taradığını ve bunlardan yararlandığını gözlemledi.
FBI ayrıca özel sektör ortaklarını bir hafta önce İranlı bir tehdit aktörünün ABD ve dünya çapındaki kuruluşlarla ilgili çalıntı bilgileri açık ve karanlık web kaynaklarından, sistemlerini ihlal etmek için satın almaya çalıştığı konusunda da uyardı.
“FBI, CISA, ACSC ve NCSC, kritik altyapı kuruluşlarını, İran hükümetinin desteklediği siber aktörler tarafından hedef alınma riskini azaltmak için bu danışma belgesinin “Mitigations” bölümünde listelenen önerileri uygulamaya çağırıyor”
Kaynak: bleepingcomputer.com
Diğer Haberler
Milli Eğitim Bakanlığı ve Turkcell’den Geleceğin Yazılımcıları İçin İstihdam Seferberliği
WordPress Siteleri Sahte Fidye Yazılım Saldırıları İle Hackleniyor
Microsoft Windows Media Player ve Groove Music’i Değiştiriyor