Giriş
Çin merkezli bir siber saldırı grubu, Linux giriş sisteminde on yılı aşkın bir süredir gizlenerek saldırılar düzenliyor. Bu durum, sistemlerin güvenliği açısından büyük bir tehdit oluşturmaktadır ve dikkatli izleme gerektirir.
Saldırı Nasıl Çalışıyor?
Sygnia’nın “Velvet Ant” olarak adlandırdığı grup, PAM (Pluggable Authentication Module) ve OpenSSH bileşenlerini arka kapılarla değiştirdi. Bu değişiklikler, sıradan bir temizleme işleminin ulaşamayacağı alanlarda gerçekleştirildi. Saldırganlar, internete doğrudan erişimi olmayan bir ağa sızmak için önce internetle bağlantılı sistemleri kullandılar.
2016 yılına uzanan ilk izler, saldırganların yeni bir zararlı yazılım yüklemek yerine güvenilir oturum açma programlarını değiştirdiğini gösteriyor. Saldırı görünüşte normal yönetim işlemleri olarak algılandı. Birçok sistemde, temel PAM oturum açma modülü arka kapılı kopyalarıyla değiştirilerek, bazıları gizli şifrelerle giriş yapılmasına izin verdi ya da gerçek kullanıcı adlarını ve şifrelerini kaydetti.
Etkilenen Sistemler
Araştırmacılar, bu grubun dokuz ayrı versiyonunu tespit etti. OpenSSH programları da benzer şekilde değiştirilerek, kullanıcı kimlik bilgilerini ve tüm komutları kaydetti. Bu programlar, gerektiğinde kaydı kapatmak için gizli bir anahtara sahipti.
Yalıtılmış ağa erişim sağlamak da ekstra çalışmalar gerektirdi. Saldırgan, başka kamufle edilmiş araçlar ve internete açık bir web sunucusunu bir köprü olarak kullanarak, komutları sistem içine yönlendirdi. Giriş sistemi bozulduğunda, normal çıkış yöntemleri (şifre sıfırlama, oturum sonlandırma vb.) pek etkili olmadı.
Çözüm ve Korunma
Velvet Ant grubu her tespit edilişinde, savunucuların daha az gözlemlediği başka cihazlara geçiş yapıyor. Örneğin, 2024 yılında CVE-2024-20399 açığı kullanılarak Cisco NX-OS anahtarlarında bir arka kapı oluşturuldu. Bu hata yönetici erişimi gerektirdiği için tamamen yeni bir uzaktan kırılma değil, kalıcılık aracı olarak kullanıldı. Cisco , bu açığı Temmuz 2024’te yamanırken, CISA ertesi gün bu durumun tehdit oluşturduğunu bildirdi.
Çözüm önerileri olarak aşağıdaki önlemler alınmalıdır:
- Giriş dosyalarını izleyin. PAM ve OpenSSH programları ile önemli dosyalarında meydana gelen değişiklikleri takip edin ve bir uyarı aldığınızda harekete geçin.
- Değişiklikleri kontrol edin. Cihazların mevcut durumunu bildiğiniz iyi kopyalarla karşılaştırarak, değişen dosyanın takibini yapın, çünkü herhangi bir alert oluşturulmayabilir.
- Arka kapıyı kaldırmadan şifreleri sıfırlamayın, aksi takdirde yeni şifreler de aynı şekilde çalınabilir. Herhangi bir değişikliği önce bir laboratuvar ortamında test edin.
Önceki F5 ve Cisco vakalarının kendi kontrolleri de bulunmaktadır: CVE-2024-20399 üzerinde yamalar uygulayın ve F5 cihazlarında beklenmeyen dış bağlantıları izleyin.
Kapsayıcı ders açıktır: Normal izleme dışında kalan altyapı bile bütünlük kontrollerine ihtiyaç duyar ve bu artık giriş katmanını da kapsar.
