Sanallaştırma ve Güvenlik Tehditleri
Son dönemlerde siber güvenlik dünyasında sanallaştırma ve ağ altyapısı alanındaki tehditler, çeşitli gruplar tarafından yoğun bir şekilde hedef alınmaktadır. Bu tehdit aktörlerinden biri, Fire Ant kod adıyla anılan siber casusluk grubu, VMware ESXi ve vCenter ortamlarına sızmayı amaçlayan kapsamlı bir kampanya yürütmektedir. Sygnia isimli siber güvenlik şirketinin raporuna göre, bu tehdit aktörü, çok katmanlı saldırı zincirleri oluşturarak, izole olduğu düşünülen ortamların sınıflandırılmış ağ varlıklarına erişim sağlamayı başarmıştır.
Tehdit Aktörünün Yöntemleri
Fire Ant, çeşitli sofistike ve gizli teknikler kullanarak, operasyonel esneklik sergilemiştir. Bu grup, tehdidi ortadan kaldırma çabalarına uyum sağlamak için gerçek zamanlı olarak adapte olmuştur. saldırılar sonucunda VMware ESXi ana makineleri ve vCenter sunucuları üzerinde kalıcı kontrol sağlamış, misafir ortamlarına geçiş yapma yeteneği göstermiştir. Ayrıca, ağ segmentasyonunu aşarak, ağ aygıtlarını ele geçirme becerisi kazanmıştır.
CVE-2023-34048 Güvenlik Açığı
Fire Ant’in sanallaştırma yönetim katmanına erişimi, bilinen bir güvenlik açığı olan CVE-2023-34048‘in istismarıyla sağlanmıştır. Bu açık, Broadcom tarafından Ekim 2023’te yamalanmadan önce, UNC3886 olarak bilinen bir diğer siber casusluk grubu tarafından sıfırıncı gün açığı olarak kullanılmıştır. Bu durum, tehdit aktörlerinin siber güvenlik konusunda ne denli ileri seviye becerilere sahip olduğunu göstermektedir.
Çeşitli Arka Kapılar ve Araçlar
Saldırıları başarıyla gerçekleştiren Fire Ant, vpxuser hizmet hesabı kimlik bilgilerini ele geçirerek, bağlı ESXi ana makinelerine erişim sağladı. Hem ESXi ana makineleri hem de vCenter üzerinde birçok kalıcı arka kapı yükledi. Bu arka kapılar, yeniden başlatmalarda bile erişimin devam etmesini sağladı. Ayrıca, Python tabanlı bir implant olan “autobackup.bin” ile uzaktan komut yürütme, dosya indirme ve yükleme yetenekleri elde edildi.
Misafir Sanal Makineleri Üzerindeki Etkisi
Sistemlere yetkisiz şekilde erişim sağladıktan sonra, tehdit aktörleri VMware Araçları’nda bulunan başka bir açığı (CVE-2023-20867) kullanarak misafir sanal makineleriyle doğrudan etkileşimde bulunabilir hale geldi. Güvenlik araçlarının işleyişine müdahale ederek, bellek anlık görüntülerinden, etki alanı kontrol cihazları da dahil olmak üzere kimlik bilgilerini elde edebilmiştir.
Kritik Tehdit Özellikleri
Fire Ant’in siber saldırılarındaki bazı kritik özellikleri şunlardır:
- Misafir ağ geçişini sağlamak için V2Ray çerçevesinin kullanılmayı.
- Birden fazla ESXi ana makinesi üzerinde kaydedilmemiş sanal makineler kurmak.
- Ağ segmentasyon engellerini aşarak çapraz bölge sürekliliği oluşturmak.
- Olay yanıtı ve iyileştirme çabalarına karşı direnç göstermesi.
Bu işlemler, Fire Ant’in hypervisor’dan misafir işletim sistemlerine sürekli ve gizli erişimini sağlamaktadır.
Saklanma ve İzlenebilirlik Üzerine Stratejiler
Fire Ant, yakalanmaktan kaçınmak konusunda oldukça kararlı bir yaklaşım sergilemektedir. Saldırganların, ESXi ana makinelerinde günlük kaydını bozmak için “vmsyslogd” işlemini durdurması, denetim izinin etkili bir şekilde bastırılması ve adli inceleme görünürlüğünün sınırlanması bu durumu desteklemektedir. Bu tür stratejilerin, tehdit aktörlerinin gizli operasyonlarına zemin hazırladığı gözlemlenmiştir.
Görünmezlik ve Tespit Zorlukları
Sonuç olarak, Fire Ant’ın kampanyası, sanallaştırma ve ağ altyapısının görünürlük ve tespit açısından kritik bir önem taşıdığını vurgulamaktadır. Geleneksel uç nokta güvenlik araçlarının etkisiz olduğu bu tür ortamlarda, siber güvenlik çözümlerinin geliştirilmesi gerektiği açıktır. Fire Ant, ESXi ana makineleri, vCenter sunucuları ve yük dengeleyiciler gibi altyapı sistemlerini hedef alarak, bu varlıkların tespit ve yanıt programlarına entegre edilmediği durumlarda uzun süreli ayak izleri bırakmanın yolunu bulmuştur. Bu nedenle, güvenlik ekiplerinin, ağları ve sanal ortamları izlemek için yeni stratejiler geliştirmesi gerekmektedir.
