Giriş
Son yıllarda siber saldırılar, devlet destekli grupların hedef aldığı kritik altyapılarda kalıcı hale gelmiştir. “Operation Highland” adıyla bilinen bu siber casusluk olayı, Çinli “Velvet Ant” grubunun 10 yıl boyunca yönetim faaliyetlerini gözlemleme imkanı bulduğu bir durumu ortaya koymaktadır.
Saldırı Nasıl Çalışıyor?
Saldırının başlangıcı, internet bağlantılı sunucuların ele geçirilmesi ile başlamaktadır. Velvet Ant, sahte bir sistem bileşeni gibi gizlenen değiştirilmiş bir GS-Netcat ters kabuğu kullanarak hedefe bağlanmaktadır. Bu kabuk, belirli bir alan adına bağlanarak şifrelenmiş uzaktan kabuk erişimi sağlamaktadır.
Saldırının devamında, Velvet Ant özel bir SOCKS5 proxy kurarak içerideki sistemlere ulaşım sağlamakta ve bu sunucuları iç ağda pivot noktaları haline getirmektedir. Proxy’nin daimon olarak çalışması ve her ev sahibi için farklı dosya adı ve portlar kullanması, saldırganların çok daha gizli kalmalarını sağlamaktadır.
Etkilenen Sistemler
Velvet Ant, Linux Pluggable Authentication Modules (PAM) ‘ı hedef almakta ve bu modülleri sahte versiyonlarla değiştirmektedir. Ayrıca, OpenSSH bileşenleri, saldırganların yetkisiz erişim sağlamasına yardımcı olacak şekilde trojenleştirilmiştir. Bu açıklıklardan faydalanarak, saldırganlar her oturumda giriş bilgilerini izleyebilmekte ve yönlendirilmiş talepleri kolayca işleyebilmektedir.
Çözüm ve Korunma
Saldırının tespit edilmesinin ardından, Velvet Ant’ten kurtulmak son derece karmaşık hale gelmiştir. Saldırganlar, sistemin kritik bileşenlerini değiştirdiğinden, kurtarma işlemleri sırasında yetkili yöneticilerin sisteme erişimini engelleyebilir. Sygnia, siber güvenlik uzmanlarının şu önlemleri almalarını önermektedir:
- PAM, OpenSSH ve Windows LSASS bileşenlerini kritik güvenlik varlıkları olarak değerlendirin.
- Gelişmiş Tehdit Koruma (EDR), dosya bütünlüğü izleme ve çok faktörlü kimlik doğrulama kullanın.
- Olası yetkisiz değişiklikleri sürekli izleyin.
- Kapsamlı bir yedekleme planı oluşturun ve yedeklerinizi test edin.
Sonuç
Tehditleri önlemek ve sistem güvenliğini sağlamak için, organizasyonların düzenli olarak güncellemeler yapmaları, yetkisiz portları kapatmaları ve gerekli güvenlik önlemlerini almaları büyük önem taşımaktadır. Sisteminizi korumak için proaktif adımlar atın ve güvenlik yamalarını zamanında uygulayın.
