ABD Ulusal Güvenlik Ajansı, Ivanti’nin yaygın olarak kullanılan kurumsal VPN cihazındaki kusurlardan yararlanan bilgisayar korsanlarının ABD savunma sektöründeki kuruluşları hedef aldığını doğruladı.
NSA sözcüsü Edward Bennett, Cuma günü TechCrunch’a e-postayla gönderilen bir açıklamada, ABD istihbarat teşkilatının diğer kurumlarla birlikte muadilleriyle birlikte “Ivanti ürünlerinin yakın zamandaki sömürülmesinin geniş etkisini takip ettiğini ve farkında olduğunu” doğruladı. [sic] ABD savunma sektörü.”
“ [NSA’s] Siber Güvenlik İşbirliği Merkezi, bu etkinliği tespit etmek ve azaltmak için ortaklarımızla birlikte çalışmaya devam ediyor” diye ekledi.
NSA’nın bu siber saldırıları izlediğinin doğrulanması, Mandiant’ın şüpheli Çinli casusluk korsanlarının dünya çapında binlerce şirket ve büyük kuruluş tarafından kullanılan popüler uzaktan erişim VPN yazılımı Ivanti Connect Secure’u etkileyen birden fazla güvenlik açığından yararlanmak için “toplu girişimlerde” bulunduğunu bildirmesinden birkaç gün sonra geldi.
Mandiant dedi ki bu haftanın başlarında UNC5325 olarak adlandırdığı bir tehdit grubu olarak takip edilen Çin destekli bilgisayar korsanlarının çeşitli sektörlerdeki kuruluşları hedef aldığı ortaya çıktı. Mandiant, bunun, ABD ordusuna ekipman ve hizmet sağlayan binlerce özel sektör kuruluşundan oluşan dünya çapında bir ağ olan ABD savunma sanayii üs sektörünü de içerdiğini söyledi: daha önceki bulgulara atıfta bulunarak güvenlik firması Volexity’den.
Mandiant, analizinde UNC5325’in Ivanti Connect Secure cihazı hakkında “önemli bilgi” gösterdiğini ve tespitten daha iyi kaçınmak için arazide yaşama tekniklerini (hedeflenen sistemde halihazırda bulunan meşru araç ve özelliklerin kullanımı) kullandığını söyledi. söz konusu. Çin destekli bilgisayar korsanları ayrıca “fabrika ayarlarına sıfırlama, sistem yükseltmeleri ve yamalardan sonra bile Ivanti cihazlarında gömülü kalma girişiminde bulunmak amacıyla” yeni kötü amaçlı yazılımlar da dağıttı.
Buydu ABD siber güvenlik kurumu CISA tarafından yayınlanan bir tavsiye belgesinde de yinelendi Perşembe günü, güvenlik açığı bulunan Ivanti VPN cihazlarından yararlanan bilgisayar korsanlarının fabrika ayarlarına sıfırlama yaptıktan sonra bile kök düzeyinde kalıcılığı koruyabileceği konusunda uyardı. Federal siber güvenlik kurumu, kendi bağımsız testlerinin başarılı saldırganların Ivanti’nin Dürüstlük Denetleme Aracı’nı aldatabildiğini gösterdiğini ve bunun da “uzlaşmanın tespit edilememesiyle” sonuçlanabileceğini söyledi.
CISA’nın bulgularına yanıt olarak Ivanti saha bilgi güvenliği sorumlusu Mike Riemer, TechCrunch’a Ivanti’nin CISA testlerinin canlı müşteri ortamında işe yarayacağına inanmadığını söyleyerek CISA’nın bulgularını küçümsedi. Riemer, Ivanti’nin “Ivanti tarafından önerilen güvenlik güncellemelerinin ve fabrika ayarlarına sıfırlamaların uygulanmasının ardından tehdit aktörlerinin başarılı bir şekilde devam ettiğinin farkında olmadığını” ekledi.
Ocak ayında başlayan Connect Secure güvenlik açıklarının yaygın şekilde kullanılmasından tam olarak kaç Ivanti müşterisinin etkilendiği bilinmiyor.
Akamai bir analizde şunları söyledi: geçen hafta yayınlandı Bilgisayar korsanlarının her gün yaklaşık 250.000 istismar girişiminde bulunduğunu ve 1.000’den fazla müşteriyi hedef aldığını belirtti.