Fransa’daki Siber Saldırılar ve Houken Grubu
Fransa’daki siber güvenlik durumu, son zamanlarda ortaya çıkan bir dizi kötü niyetli kampanya ile ciddi şekilde etkilendi. Fransa’nın siber güvenlik ajansı tarafından yapılan açıklamaya göre, çin kökenli bir hacker grubu çeşitli devlet, telekomünikasyon, medya, finans ve ulaşım sektörlerindeki kuruluşları hedef aldı. Bu saldırılarda, Ivanti Cloud Services Appliance (CSA) cihazlarındaki bazı sıfır gün açıkları kullanıldı.
Houken: Yeni Bir Tehdit Seti
Saldırılar, Eylül 2024’te tespit edilen bir girişim seti olan Houken ile ilişkilendirildi. Yönetilen bu tehdit setinin, Google Mandiant tarafından izlenen UNC5174 tehlike kümesi ile belirli bir ölçüde örtüştüğü değerlendiriliyor. Fransa Ulusal Bilgi Sistemleri Güvenlik Ajansı (ANSSI), “Sıfır gün açıklarını ve sofistike bir rootkit kullanan operatörler, çoğunlukla Çince konuşan geliştiriciler tarafından oluşturulmuş geniş bir açık kaynak araç yelpazesini de kullanıyor” açıklamasında bulundu.
Saldırı Altyapısı ve Araçlar
Houken’ın saldırı altyapısı, ticari VPN servisleri ve özel sunucular gibi çeşitli unsurlardan oluşuyor. ANSSI, bu grubun 2023’ten beri ilk erişim aracısı olarak kullanıldığını ve hedef ağlara zemin hazırlamak amacıyla diğer tehdit aktörleri ile bilgilerin paylaşılabileceğini öne sürdü. Böylece, birincil bir taraf açıkları tespit ederken, ikinci bir taraf bu açıkları kullanarak fırsatlar yaratıyor ve erişimi üçüncü taraflarla paylaşıyor.
UNC5174 ile İlişkili Saldırılar
Son aylarda, UNC5174’ün SAP NetWeaver açıklarını aktif bir şekilde kullanarak GOREVERSE adlı bir varyantını dağıttığı belgelenmiştir. Bu siber saldırı grubu, daha önce Palo Alto Networks, Connectwise ScreenConnect ve F5 BIG-IP yazılımlarındaki açıkları kullanarak SNOWLIGHT adlı kötü niyetli yazılımı teslim etti. SNOWLIGHT, daha sonra GOHEAVY adlı bir tel çerçeve aracı ile çeşitli saldırılar gerçekleştirdi.
Ivanti CSA Üzerindeki Saldırılar
ANSSI tarafından belgelenen saldırılarda, kötü niyetli aktörlerin Ivanti CSA aygıtlarındaki üç güvenlik açığını, CVE-2024-8963, CVE-2024-9380 ve CVE-2024-8190 kullanarak kimlik bilgilerine ulaşmayı ve kalıcılık elde etmeyi başardıkları gözlemlendi. Saldırılar, aşağıdaki yöntemlerle gerçekleştirildi:
- PHP web shell’lerini doğrudan dağıtmak,
- Mevcut PHP betiklerini değiştirerek web shell yeteneklerini enjekte etmek,
- Rootkit olarak görev yapan bir çekirdek modülü yüklemek.
Saldırganların Teknik Yetenekleri
Saldırılarda, Behinder ve neo-reGeorg gibi halka açık web shell‘ler kullanılarak yapılar oluşturuldu ve GOREVERSE’in daha sonra dağıtılması sağlandı. Ayrıca, HTTP proxy tünelleme aracı olan suo5 ve Fortinet tarafından belgelenen bir Linux çekirdek modülü olan sysinitd.ko kullanıldı. ANSSI’ye göre, sysinitd.ko ve sysinitd, hedef cihazlarda root yetkileri ile uzaktan komut çalışma olanağı sunuyor.
Saldırganların Stratejileri
ANSSI’nin raporuna göre, saldırganlar, gelişmiş kaynak taraması yapmanın yanı sıra UTC+8 saat diliminde (Çin Standart Zamanı) faaliyet gösterirken, diğer aktörlerin exploiti önlemek amacıyla açıkları yamalamaya çalıştıkları da gözlemlendi. Saldırganların hedef alım yelpazesi oldukça geniş olup, Güneydoğu Asya’daki kamu ve eğitim sektörleri, Hong Kong ve Makao’daki sivil toplum kuruluşları gibi çeşitli kuruluşları içeriyor.
Olası Ortak Aktörler
Houken ve UNC5174 arasındaki teknik benzerlikler, bu grupların ortak bir tehdit aktörü tarafından yönetildiği olasılığını artırıyor. Ayrıca, bu saldırılardan birinde, saldırganların erişimlerini kullanarak kripto para madenciliği yaptıkları da bildirildi. ANSSI, Houken ve UNC5174 tehdit gruplarının, kendi çıkarları doğrultusunda çeşitli devlet bağlantılı kuruluşlara erişim ve değerli veriler satmayı hedefleyen özel bir varlığı temsil edebileceğini öne sürdü.
Siber güvenlik alanındaki bu gelişmeler, hem devletler hem de özel sektör için ciddi bir tehdit oluşturmaya devam ediyor. Bu tür saldırıların önlenmesi için hem bireylerin hem de kuruluşların daha fazla dikkat göstermesi gerekmektedir.
