Kaspersky ICS CERT, birçok Doğu Avrupa ülkesinde ayrıca Afganistan’da askeri-endüstriyel kompleks işletmelere ayrıca kamu kurumlarına yönelik …
Kaspersky ICS CERT, birçok Doğu Avrupa ülkesinde ayrıca Afganistan’da askeri-endüstriyel kompleks işletmelere ayrıca kamu kurumlarına yönelik hedefli bir saldırı dalgası tespit etti. Siber suçlular, endüstriyel casusluk amacıyla kurbanların tüm BT altyapısının kontrolünü ele geçirmeyi başardılar.
Ocak 2022’de Kaspersky araştırmacıları, askeri kuruluşlara ayrıca kamu kuruluşlarına yönelik birkaç gelişmiş saldırıya tanık oldu. Saldırıların temel amacı, şirketlerin özel bilgilerine erişmek ayrıca BT sistemlerini kontrol altına almaktı. Saldırganlar tarafınca kullanılan kötü amaçlı yazılım, Çince konuşan bir APT grubu olan TA428 APT tarafınca dağıtılana benziyordu.
Saldırganlar, bazıları e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, özenle hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak saldırılara hazırlandıklarını ayrıca hedeflerini önceden seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın herhangi bir etkinlik olmadan rastgele kod yürütmesine olanak tanıyan bir güvenlik açığından yararlanmak için kötü amaçlı kod içeren bir Microsoft Word belgesi içeriyordu. Mevzu Bahis güvenlik açığı, Microsoft Office’in bir bileşeni olan Microsoft Denklem Düzenleyicisi’nin eski sürümlerinde bulunuyor.
Saldırganlar ve aynı anda altı farklı arka kapı kullandılar. Bunu kötü amaçlı programlardan birinin güvenlik çözümü tarafınca tespit edilip kaldırılması durumunda virüslü sistemlerle ek iletişim kanalları kurmak için yaptılar. Bu arka kapılar, virüslü sistemleri kontrol etmek ayrıca gizli verileri toplamak için kapsamlı işlevsellik sağladı.
Saldırının son aşaması, etki alanı denetleyicisini ele geçirmeyi ayrıca kuruluşun tüm iş istasyonları ayrıca sunucularının tam kontrolünü ele geçirmeyi içeriyordu. Hatta vakalardan birinde siber güvenlik çözümleri kontrol merkezini bile ele geçirdiler. Etki alanı yöneticisi ayrıcalıkları ayrıca Actiayrıca Directory’ye erişim kazandıktan sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ayrıca saldırıya uğrayan kuruluşun hassas verilerini ayrıca diğer dosyaları aramak için “altın bilet” adı verilen esas saldırıyı gerçekleştirdiler.
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Altın bilet saldırıları, Windows 2000’in kullanıma sunulmasından bu yana kullanılan varsayılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ içinde taklit edilerek, saldırganlar ağa ait herhangi bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için yalnızca parolaları değiştirmek veya güvenliği ihlal edilmiş hesapları engellemek yeterli olmayacaktır. Tavsiyemiz, tüm şüpheli etkinlikleri dikkatlice kontrol etmeniz ayrıca güvenilir güvenlik çözümlerine yönelmenizdir.”
Kaspersky ICS CERT üzerinde saldırı hakkında daha fazla bilgilendirme edinebilirsiniz.
ICS bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları kurumlara şunları öneriyor: