Microsoft, OneDrive kişisel depolama hizmetini kötüye kullanan Polonium adını verdiği Lübnanlı bir bilgisayar korsanlığı grubunu tespit ettikten sonra, İran hükümetiyle bağlantıları olabilecek grubu devre dışı bırakabildiğini söyledi.
En son çabalarında, gelişmiş kalıcı tehdit (APT), 20’den fazla İsrail örgütünü ve bir hükümetler arası örgütü hedef aldı. Microsoft Tehdit İstihbarat Merkezi (MSTIC), kampanyadaki Polonium aktörleri tarafından oluşturulan 20’den fazla kötü amaçlı OneDrive uygulamasını askıya aldığını söyledi.
Yazılım devi, hedeflenen kuruluşlar arasında kritik üretim, ulaşım sistemleri, finansal hizmetler, BT ve İsrail’in savunma endüstrisinde yer alanların olduğunu söylüyor – bunların tümü, tedarik zinciri saldırılarını gerçekleştirmek için bir yol sunuyor.
“En az bir durumda, Polonium’un bir BT şirketinden ödün vermesi, hedeflenen ağlara erişmek için hizmet sağlayıcı kimlik bilgilerine dayanan bir tedarik zinciri saldırısında bir alt havacılık şirketini ve hukuk firmasını hedef almak için kullanıldı.” MSTIC’e göre. “Hedefledikleri birden fazla imalat şirketi aynı zamanda İsrail’in savunma sanayisine de hizmet ediyor ve bu, birkaç İranlı grup da dahil olmak üzere birçok aktör tarafından aşağı akış erişimi elde etmek için hizmet sağlayıcı erişimini hedefleyen artan bir eğilimi takip eden bir Polonyum taktiğine işaret ediyor.”
Polonium’un Enfeksiyon Rutini
Gözlemlenen vakaların %80’inde grup, ilk erişim elde etmek için Fortinet VPN cihazlarındaki (muhtemelen CVE-2018-13379 güvenlik açığı yoluyla) bir kusurdan yararlandı. Ardından Microsoft’a göre hedef ağlara CreepySnail adlı özel bir PowerShell implantı kurdular. Oradan oyuncular, kurbanlarının çoğunda komuta ve kontrol (C2) için meşru bulut hizmetlerini kötüye kullanmak için CreepyDrive ve CreepyBox adlı bir dizi araç kullandılar.
MSTIC, saldırıların muhtemelen İran İstihbarat ve Güvenlik Bakanlığı’nın (MOIS) yardımıyla gerçekleştirildiğini “orta derecede bir güvenle” söyledi.
“Gözlenen faaliyet, İran’la bağlantılı diğer aktörlerle koordine edildi. [MOIS]öncelikle kurban örtüşmesine ve araç ve tekniklerin ortaklığına dayalı,” MSTIC değerlendirmesinde, “Alt müşterilere erişim sağlamak için BT ürünleri ve hizmet sağlayıcılarından yararlanma taktiği, İranlı aktörlerin ve onların vekillerinin favorisi olmaya devam ediyor.”
Devlet Amaçlarını Destekleyen Siber Operasyonlar
Proofpoint’in tehdit araştırma ve tespitinden sorumlu başkan yardımcısı Sherrod DeGrippo, İran’ın, özellikle MOIS’in, İran hükümetinin çıkarlarını desteklemek için siber operasyonlar yürütmek için çeşitli organizasyonları ve bağlı kuruluşları kullandığını açıklıyor.
“Devlet sorumluluğu yelpazesini kapsayan bu faaliyet, İran’ın çeşitli kuruluşlara maddi desteğini yansıtıyor” diyor.
DeGrippo’nun bakış açısından, bu rapor İran ve İsrail’in siber çatışmalara nasıl dahil olduğuna dair başka bir örnek gösteriyor ve İran ile hasımları arasında artan gri bölge gerilimlerinin ortasında geliyor.
Örneğin Mart 2021’de Proofpoint, İran bağlantılı tehdit aktörü TA453’ün 2020’nin sonlarında İsrailli ve Amerikalı tıp araştırmacılarını nasıl hedef aldığını bildirdi. TA453, muhalifleri, akademisyenleri, diplomatları, ve gazeteciler.
“Bu kampanya bir kerelik bir gereklilik olsa da, İsrailli kuruluşları ve bireyleri hedef alan TA453, iki ülke arasında sürekli artan bu jeopolitik gerilimlerle tutarlıdır” dedi.
Savunma, Kimlik Doğrulama Etkinliğine Odaklanmalı
Kurumsal siber risk iyileştirmesi için SaaS sağlayıcısı olan Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, ilgili devletler arasındaki bilinen düşmanlık göz önüne alındığında, Polonium’un tam motivasyonunu bilmek imkansız olsa da, denedikleri “makul derecede güvenli bir bahis” olduğunu söylüyor. daha büyük bir gündemin parçası olarak hedeflerine mümkün olduğunca fazla zarar vermek.
Dark Reading’e “Devlet ve devlet destekli tehdit aktörleri, yaygın siber suçlu gruplarının sunduğu sorunları birleştiriyor” diye açıklıyor. “Suçluların genellikle satılık bilgi, fidye için saklanacak veriler veya daha sonraki saldırılar için kullanılacak kaynakların peşinde olduğu durumlarda, devlet düzeyindeki aktörler genellikle siber casusluk veya yıkıcı saldırılar gibi ek, çok daha derin motivasyonlara sahiptir”.
Teknikler ve araçlardaki örtüşme nedeniyle, ikisini birbirinden ayırmak zor olabilir ve bu da hedeflenen kuruluşlar için konuyu karmaşıklaştırabilir, diye ekliyor.
Devlet Destekli Siber Saldırıları Savuşturmak
Bu gibi saldırıları engellemek için Microsoft, kuruluşların uzaktan erişim altyapıları ve VPN’leri boyunca tüm kimlik doğrulama etkinliklerini gözden geçirmelerini önerir. Özgünlüğü doğrulamak ve herhangi bir anormal etkinliği araştırmak için tek faktörlü kimlik doğrulama ile yapılandırılmış hesaplara özel bir odaklanma yapılmalıdır.
Parkin, erişim ve kimlik doğrulama günlüklerinin şüpheli etkinlikleri kolayca ortaya çıkarabileceğine ve bir ihlal girişiminin haber değeri taşıyan bir olaya dönüşmesini engelleyebileceğine dikkat çekiyor.
“Sistem yönetiminden, asla gözden geçirilmeyen günlükleri tutmanın yararsızlığı hakkında eski bir söz vardır” diyor. “Erişim günlükleriyle, şüpheli etkinlikler için düzenli incelemeler düzenli olarak yapılmalıdır. Değilse, neden onları tutuyorsunuz?”
Proofpoint’ten DeGrippo, bilinen güvenlik açıklarını düzeltmeye ek olarak, savunma için temel en iyi uygulamanın, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek için tüm uzaktan erişim hesaplarının gerekli olmasını sağlamak olduğunu da belirtiyor.
“Yalnızca tek faktörlü kimlik doğrulama gerektiren hesaplar, MFA’nın sağladığı korumaya sahip değil, bu da bir saldırganın ikincil bir kimlik doğrulamayla karşılaşmadan bir kullanıcının parolasını başarılı bir şekilde phishing veya sosyal mühendislik yapmasına izin veriyor” diye ekliyor.
VPN’ler: Fancy Bear’den Sayfa Almak
Bir tehdit kapsamı optimizasyon şirketi olan CardinalOps’ta siber savunma stratejisi başkan yardımcısı Phil Neray, Dark Reading’e Rus tehdit aktörü Fancy Bear’in (aka APT28 ve Strontium) 2018’de VPNFilter kampanyasıyla büyük ölçekte VPN’leri hedeflediğini söyledi. hedeflenen kritik altyapı
MITRE ATT&CK, bu yaklaşımı, olağan dışı erişim modelleri, etkinlik pencereleri ve normal iş saatleri dışındaki erişim için kimlik doğrulama günlüklerini inceleyen güvenlik bilgileri ve olay yönetimi (SIEM) algılama sorguları oluşturma dahil önerilen azaltıcı önlemlerle birlikte T1133 Harici Uzak Hizmetler olarak sınıflandırır.
Neray, “Bu kampanyada olduğu gibi, savunmasız VPN’leri ilk erişim noktası olarak kullanmak, VPN’ler bir tarafta İnternet’e maruz kaldığı ve diğer tarafta kurban ağına doğrudan erişim sağladığı için çekicidir” diyor. “SIEM’inizin, şüpheli oturum açmaların izlenmesi gibi belirli algılamalara sahip olduğundan emin olmanızı öneririz.”