Kötü niyetli siber korsanlar, muhtemelen Çin hükümeti adına çalışarak, ABD’deki en az dört İnternet Servis Sağlayıcısını (ISP) hedef alan bir sıfırıncı gün güvenlik açığını kullanarak zararlı yazılım bulaştırdı. Bu yazılım, müşterilerin kimlik bilgilerini çalmak amacıyla kullanıldı.
Güvenlik firması Lumen’in araştırma kolu Black Lotus Labs’e göre, bu güvenlik açığı, internet servis sağlayıcılarının ve yönetilen hizmet sağlayıcılarının karmaşık ağ altyapılarını tek bir kontrol panelinden yönetmelerini sağlayan Versa Director adlı sanallaştırma platformunda bulunuyor. Saldırılar en geç 12 Haziran’da başladı ve muhtemelen hâlâ devam ediyor. Bu saldırılar, tehdit aktörlerinin “VersaMem” adını verdikleri özel bir web shell yüklemelerine olanak tanıdı. Bu shell, Versa Director sistemlerinde uzaktan yönetim kontrolü sağlıyor.
ISP Altyapısında Yönetim Kontrolü Elde Etmek
VersaMem’in yönetim kontrolü, bu yazılımın, Versa doğrulama yöntemlerine müdahale ederek yeni fonksiyonlar eklemesine olanak tanır. Bu eklenen fonksiyonlardan biri, ISP müşterilerinin kimlik bilgilerini girdikleri anda bu bilgileri yakalamak ve şifrelenmeden önce ele geçirmektir. Black Lotus, etkilenen ISP’ler veya müşterileri hakkında ayrıntı vermedi.
CVE-2024-39717 olarak izlenen bu sıfırıncı gün güvenlik açığı, yetkisiz Java dosyalarının yüklenmesine izin veren bir açık olup, Versa sistemlerinde yükseltilmiş ayrıcalıklarla çalışmaktadır. Versa, Lumen’in raporlamasından sonra bu güvenlik açığını kapattı. Tüm Versa Director sürümleri 22.1.4 öncesi bu açıktan etkilenmiştir. Tehdit aktörleri, saldırıları küçük ofis ve ev ofis yönlendiricilerini kullanarak gerçekleştirdi.
“Bu güvenlik açığının ciddiyeti, tehdit aktörlerinin karmaşıklığı, Versa Director sunucularının ağdaki kritik rolü ve başarılı bir saldırının potansiyel sonuçları göz önüne alındığında, Black Lotus Labs bu saldırı kampanyasını son derece önemli buluyor” diye belirtti.
ISP Altyapısına İlk Erişim ve Saldırının Yürütülmesi
Black Lotus Labs, saldırganların Versa Director sistemlerine port 4566 üzerinden erişim sağladığını belirledi. Versa’nın yüksek kullanılabilirlik (HA) eşleştirmesi için kullandığı bu port, yönetim portu olarak bilinir. Ancak, bu portun savunmasız kalması nedeniyle saldırganlar, Versa Director sistemlerine erişim sağlayabildi.
Saldırının ayrıntıları hakkında konuşan Black Lotus araştırmacıları, bazı ABD’li kurbanların Versa Director sunucularında anormal trafik gözlemlediklerini belirtti. Bu trafik, Versa dışı bir IP adresinden kısa süreli TCP trafiğini ve ardından port 443 üzerinden HTTPS trafiğini içeriyordu. Bu davranış, başarılı bir sömürünün olası bir işareti olarak değerlendirildi.
Tespit Edilemeyen Zararlı Yazılım ve Tehdit Aktörleri
VersaMem, modüler bir yapıya sahip olup, farklı tehdit aktörlerinin her bir saldırıda çeşitli amaçlarla kullanabilecekleri modüllerin yüklenmesini destekler. Black Lotus, bu güne kadar sadece kimlik bilgilerini çalan bir modül belirledi. Yazılım, dosyaların disk üzerinde saklanmasını gerektirmediği için sadece bellekte çalışır ve bu da tespit edilmesini zorlaştırır.
Tehdit aktörleri, tespit edilme riskini azaltmak için saldırıları küçük ofis ve ev ofis yönlendiricileri üzerinden yürütüyor. Bu tür cihazlar üzerinden yapılan proxy saldırıları, hem Çin hem de Rusya destekli siber korsanlar arasında yaygın bir taktiktir. FBI, Ocak ayında Çinli hackerlar tarafından bu cihazlara bırakılan zararlı yazılımları kaldırmak için bu tür yönlendiricilere komutlar gönderdi. Çin hükümeti adına çalışan tehdit aktörleri, bu taktiği aktif olarak kullanmaya devam ediyor.
Black Lotus, bu saldırıların Volt Typhoon adı verilen Çin devlet destekli bir hacker grubu tarafından gerçekleştirildiğine dair orta düzeyde bir güvene sahip. Bu grup, dünyanın en aktif ve karmaşık hacker gruplarından biri olarak bilinir.
Versa Director Kullanan Kuruluşlar İçin Tavsiyeler
Versa Director kullanan kuruluşların, Black Lotus Labs’in sağladığı göstergeleri incelemeleri ve sistemlerinin hedef alınıp alınmadığını kontrol etmeleri önerilir.