Ulus devlet siber tehdit grupları, yüksek düzeyde korunan devlet kurumlarını ve kritik altyapı tesislerini tehlikeye atmak için bir kez daha USB’lere yöneliyor.
Bir süredir modası geçmiş olan ve kesinlikle COVID karantinalarından da fayda görmeyen USB’ler, üst düzey tehdit aktörlerinin özellikle hassas kuruluşlarda güvenliği fiziksel olarak atlatmasının etkili bir yolunu bir kez daha kanıtlıyor.
İçinde açılış sunumu Bu hafta Las Vegas’taki CPX 2024’te Check Point araştırma başkan yardımcısı Maya Horowitz, USB’lerin 2023’te en az üç farklı büyük tehdit grubu için birincil enfeksiyon vektörünü temsil ettiğini belirtti: Çin’in Camaro Ejderhası (diğer adıyla Mustang Panda, Bronz Başkan, Dünya Preta, Işıltılı Güve, Kızıl Delta, Görkemli Boğa); Rusya’nın Gamaredon (diğer adıyla Primitive Bear, UNC530, ACTINIUM, Shuckworm, UAC-0010, Aqua Blizzard) ve arkasındaki tehdit aktörleri Ahududu Robin.
Horowitz, Dark Reading’e “Birkaç yıldır USB’ler hakkında pek bir şey duymadık; bunların hepsi İnternet üzerinden yapılan siber saldırılardı” dedi. “Ancak genellikle tehdit aktörlerinin modası vardır; bir saldırı başarılı olur, dolayısıyla diğerleri onu kopyalar. Sanırım USB sürücülerinde görmeye başladığımız şey de bu, bu saldırı vektörünü yeniden yüzeye çıkarıyor.”
Yeniden Dirilen USB Tehdidi
Ne sıklıkla kapınızı açtınız, karşılama minderinizin üzerinde bir Amazon paketi gördünüz ve iki gün önce gerçekte ne sipariş ettiğinizi unuttunuz mu?
Check Point’in tehdit yönetimi başkanı Daniel Wiley, Çarşamba günkü basın toplantısında şunları söyledi: “Yakın zamanda, çalışanlardan birinin Amazon bantlı bir Amazon kutusu aldığı bir enerji şirketiyle çalıştık.” “İçinde tamamen yeni, mühürlü bir SanDisk USB vardı. Bunu karısının sipariş ettiğini sanıyordu. O yüzden açtı ve fişini taktı. Diğer her şey zincirleme bir reaksiyondu. VPN’lerine sızmayı başardı. Diyelim ki Enerji şirketi iyi bir yerde değildi.”
Bunun bir enerji şirketi çalışanı olması tesadüf değildi; kritik endüstri, BT ve OT ağlarını genellikle İnternet tabanlı saldırıların geçemeyeceği hava boşlukları veya tek yönlü ağ geçitleriyle ayırıyor. USB’ler bu boşluğun üzerinde bir köprü görevi görüyor Stuxnet’in meşhur ispatı on yıldan fazla bir süre önce.
USB saldırıları bu hava boşluğu kısıtlaması olmadan da faydalı olabilir. Kısa süre önce Asya’da bir konferansa katılan bir İngiliz hastanesi çalışanını düşünün. Konferans sırasında sunumunu USB sürücüsü aracılığıyla diğer katılımcılarla paylaştı. Ne yazık ki meslektaşlarından birine Camaro Dragon kötü amaçlı yazılımı bulaştı ve hastane çalışanı bunu yakalayıp kendisiyle birlikte Birleşik Krallık’a getirerek hastanenin tüm kurumsal ağını etkiledi.
Horowitz’in açılış konuşmasında hatırladığı gibi, kötü amaçlı yazılım yeni bulaştığı makinelere bir arka kapı açıyordu ama aynı zamanda bir solucan gibi davranarak USB aracılığıyla temasa geçen tüm yeni cihazlara aktarım yapıyordu. Bu, Batı Avrupa’nın ötesine geçerek Hindistan, Myanmar, Rusya ve Güney Kore gibi ülkelere yayılmasını sağladı.
Raspberry Robin de hemen hemen aynı şekilde yayılıyor ve dünya çapında fidye yazılımı aktörlerine olanak tanıyor. Ve Gamaredon’un USB’leri LitterDrifter solucanını Şili, Almanya, Polonya, Güney Kore, Ukrayna, ABD ve Vietnam gibi çok çeşitli ülkelere götürdü.
Bu Sinir bozucu USB’ler Hakkında Ne Yapmalı?
Kuruluşların USB’ye bağlı çoğu tehdide karşı korunmak için kişisel cihazları ve iş cihazlarını her zaman ayırmak ve ikincisine daha fazla özen göstermek gibi basit adımlar vardır.
Horowitz, “Bazı kuruluşlar yalnızca İnternet’ten indirilen dosyaları tarar” dedi. “Bu yanlış, çünkü tehdit aktörleri veya zarar vermek isteyen çalışanlar, İnternet’ten indirilen dosyalar için kaydedilen güvenliği atlamak için kendi USB sürücülerini getirebilirler.”
Kritik altyapı endüstrilerinin bir adım daha ileri gitmesi gerekiyor: sanitasyon istasyonları, katı çıkarılabilir cihaz politikaları ve USB bağlantı noktası üzerinden bantlama, bu işi çok kolay bir şekilde halledebilir.
Horowitz, çıkarılabilir medyadan vazgeçmek istemeyen veya bunu göze alamayan kuruluşlar için, “Kendi Cihazınızı Getirin (BYOD) sorun değil, bunu yapabilirsiniz, ancak bu, daha fazla güvenlik katmanına ihtiyacınız olduğu anlamına gelir” dedi. Dark Reading’i anlatıyor.
Ve hepsinden önemlisi: Wiley, “Amazon’daki siparişlerinizi açmadan önce kontrol edin” diye espri yaptı.
