Çinli Hackerlar, ArcGIS Haritalama Aracı İçindeki Bir Bileşeni Web Shell’e Dönüştürerek Bir Yıldan Uzun Süre Hedef Ortamda Tespit Edilmeden Kaldı
Çinli devlet destekli hackerlar, ArcGIS coğrafi haritalama aracındaki bir bileşeni bir web shell’e dönüştürerek, hedef ortamda bir yıldan uzun bir süre boyunca tespit edilmeden kalmayı başardı. Bu durum, siber güvenlik uzmanları tarafından endişeyle karşılanırken, kritik altyapıları ve hassas verileri koruma ihtiyacını bir kez daha gözler önüne seriyor.
ArcGIS coğrafi bilgi sistemi (GIS), Esri (Environmental Systems Research Institute) tarafından geliştirilmekte olup, temel işlevselliği genişletebilen sunucu nesnesi uzantıları (SOE) için destek sunmaktadır. Bu yazılım, belediyeler, kamu hizmetleri ve altyapı operatörleri tarafından haritalar aracılığıyla mekansal ve coğrafi verileri toplamak, analiz etmek, görselleştirmek ve yönetmek için kullanılmaktadır. Bu nedenle, ArcGIS’e yapılan bir saldırı, geniş bir yelpazede etkilere yol açabilir ve kritik sistemlerin işleyişini aksatabilir.
Siber güvenlik şirketi ReliaQuest’teki araştırmacılar, bu tehdit aktörünün bir Çinli APT grubu olduğundan emin olduklarını ve bunun Flax Typhoon olduğuna dair orta düzeyde güven duyduklarını belirtiyor. Bu durum, Çinli hacker gruplarının siber saldırılardaki rolünü bir kez daha gündeme getiriyor ve bu gruplara karşı alınması gereken önlemlerin önemini vurguluyor.
ReliaQuest tarafından BleepingComputer ile paylaşılan bir rapora göre, hackerlar, özel bir dahili ArcGIS sunucusuna bağlı, halka açık bir ArcGIS sunucusuna giriş yapmak için geçerli yönetici kimlik bilgilerini kullandı. Bu, hackerların hedef sisteme erişmek için meşru yolları kullandığını ve bu nedenle tespit edilmelerinin daha zor olduğunu gösteriyor.
Saldırgan, erişimlerini kullanarak, REST API parametresi (katman) aracılığıyla base64 ile kodlanmış komutları kabul eden ve bunları dahili ArcGIS sunucusunda rutin işlemler gibi görünen şekilde yürüten kötü amaçlı bir Java SOE’yi bir web shell olarak yükledi. Bu durum, saldırının ne kadar karmaşık ve gizli olduğunu ortaya koyuyor.
Bu değişim, yalnızca saldırganların bu arka kapıya erişebilmesini sağlayan, sabit kodlanmış bir gizli anahtarla korunuyordu. Bu, saldırganların sistemde kalıcı bir varlık oluşturduğunu ve istedikleri zaman sisteme geri dönebileceklerini gösteriyor.
ArcGIS’ten SoftEther VPN’e
Flax Typhoon, kalıcılık sağlamak ve yeteneklerini ArcGIS portalının ötesine genişletmek için, SoftEther VPN Köprüsü’nü indirmek ve yüklemek üzere kötü amaçlı SOE’yi kullandı ve bunu sistem başlatıldığında otomatik olarak başlayan bir Windows hizmeti olarak kaydetti. Bu, saldırganların sistemde daha da derinlere inmesini ve daha fazla kontrol elde etmesini sağladı.
Başlatıldığında, kurbanın iç ağını tehdit aktörünün makinesine bağlayarak, 172.86.113[.]142 adresindeki saldırganın sunucusuna giden bir HTTPS tüneli oluşturdu. Bu, saldırganların kurbanın ağına uzaktan erişebilmesini ve ağ içinde serbestçe hareket edebilmesini sağladı.
VPN, meşru trafikle karışan, bağlantı noktası 443’te normal HTTPS trafiğini kullandı ve SOE tespit edilip silinse bile, VPN hizmeti hala aktif olacaktı. Bu, saldırganların tespit edilmelerini zorlaştırmak için çeşitli teknikler kullandığını gösteriyor.
Saldırgan, VPN bağlantısından yararlanarak, yerel ağı tarayabilir, yanal olarak hareket edebilir, dahili ana bilgisayarlara erişebilir, kimlik bilgilerini dökebilir veya bu etkinlik için web shell’e güvenmeden veri sızdırabilir. Bu, saldırganların hedeflerine ulaşmak için çeşitli yöntemler kullandığını ve tek bir yönteme bağlı kalmadıklarını gösteriyor.
ReliaQuest, hacker’ın Güvenlik Hesap Yöneticisi (SAM) veritabanını, güvenlik kayıt defteri anahtarlarını ve LSA sırlarını dökmeye çalıştığı için, hedef kuruluşun BT personelinin iki iş istasyonunu hedef alan şüpheli eylemler gözlemledi. Bu, saldırganların sistemdeki ayrıcalıklarını yükseltmeye ve daha fazla kontrol elde etmeye çalıştıklarını gösteriyor.
Araştırmacılar, “Bunlar, ayrıcalıkları artırmak ve ağdaki ayak izlerini derinleştirmek için gereken kimlik bilgilerini elde etmek için açık “klavye başında” girişimleriydi,” diyor. Bu, saldırganların doğrudan etkileşim yoluyla sistemi kontrol etmeye çalıştıklarını ve bu nedenle tespit edilmelerinin daha zor olduğunu gösteriyor.
“Özellikle dikkat çekici bir gözlem, “pass.txt.lnk” dosyasının diske yazılması ve erişilmesiydi; bu da Aktif Dizin (AD) ortamında yanal olarak hareket etmek ve ek sistemleri tehlikeye atmak için aktif kimlik bilgisi toplama olasılığını gösteriyor.” Bu, saldırganların sistemde bulunan hassas bilgilere erişmeye ve bunları kullanarak daha fazla sisteme erişmeye çalıştıklarını gösteriyor.
Devlet, kritik altyapı ve BT kuruluşlarını hedef almasıyla kötü şöhretli olan Flax Typhoon, bir süredir “arazide yaşama” ikilileri gibi kaçınma taktikleri kullanıyor, ancak SOE yeni bir yöntem. Bu, saldırganların sürekli olarak yeni ve daha karmaşık saldırı yöntemleri geliştirdiğini gösteriyor.
Tehdit grubu, meşru yazılımlar aracılığıyla uzun vadeli, gizli erişim sağlamak için casusluk kampanyalarıyla tanınıyor. Bu, saldırganların hedeflerine ulaşmak için sabırlı ve kararlı olduklarını gösteriyor.
FBI, Flax Typhoon’u ABD’yi etkileyen devasa “Raptor Train” botnet’ine bağladı ve bu yılın başlarında Hazine’nin Yabancı Varlıklar Kontrol Ofisi (OFAC), devlet destekli hackerları destekleyen şirketlere yaptırım uyguladı. Bu, Flax Typhoon’un uluslararası alanda faaliyet gösteren bir hacker grubu olduğunu ve bu gruba karşı uluslararası işbirliğinin önemini gösteriyor.
Ersi, bir SOE’nin bu şekilde kullanıldığını ilk kez gördüklerini doğruladı. Geliştirici, kullanıcıları kötü amaçlı SOE’lerin riskine karşı uyarmak için belgelerini güncelleyeceğini söylüyor. Bu, yazılım geliştiricilerinin ürünlerini güvenlik açıklarına karşı sürekli olarak izlemesi ve kullanıcıları bu risklere karşı uyarması gerektiğini gösteriyor.
