Kanada Siber Güvenlik Merkezi (CCCS), Avustralya Radyo Savunma Yönetimi Siber Güvenlik Departmanı (ASD) ve İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), dünya genelinde devlet destekli olduğuna inanılan bilinmeyen bir hacker grubunun hükümet ağlarını hedef aldığını uyarıyor.
ArcaneDoor: Cisco ve Diğerleri Üzerinden Saldırılar
Saldırıların Cisco'nun ağ güvenlik duvarlarındaki açıklıklardan ve muhtemelen Microsoft gibi diğer şirketlerin sağladığı ağ ekipmanlarındaki boşluklardan gerçekleştirildiği biliniyor. Cisco, saldırılara ArcaneDoor adını verdi (diğer adları ise UAT4356 ve STORM-1849).
Köklü Bir İnceleme: Kasım 2023'ten Beri Devam Ediyor
Virüslü etkinlik, bu yılın Ocak ayında, Cisco'nun bir müşterisinin IT altyapısındaki şüpheli faaliyetler hakkında bildirimde bulunmasıyla ilk kez tespit edildi. Ardından yapılan araştırmalar, saldırıların en azından 2023 Kasım'ından bu yana gerçekleştirildiğini ortaya koydu. Saptanan birkaç kurban, farklı ülkelerin hükümet kuruluşlarıyla ilişkilendiriliyor.
Profesyonel Hackerlar: Hedefe Yönelik Araçlar Kullanılıyor
Gizemli hacker grubunun, hedeflenen cihazların mimarisini ve çalışma prensiplerini derinlemesine anlayarak "açık bir casusluk odaklı yaklaşım" sergilediği belirtiliyor. Uzmanlara göre, bu, devlet düzeyinde desteklenen deneyimli siber suçluların ayırt edici özelliklerinden biridir.
Cisco Ağ Güvenlik Açıkları
Saldırılar özellikle Cisco Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) cihazlarındaki açıklıklardan gerçekleştiriliyor. Zafiyet bilgileri CVE-2024-20353 ve CVE-2024-20359 belgelerinde bulunuyor ve sırasıyla CVSS 8.6 ve 6.0 tehlike derecelerine sahip. Bu açıklıklardan ilki, kimlik doğrulaması yapılmamış uzaktan bir saldırganın DoS saldırısı düzenlemesine olanak tanırken, ikincisi kimlik doğrulaması yapılmış yerel bir saldırganın kök ayrıcalıklarıyla keyfi kod yürütmesine izin veriyor.
Yazılım Güncellemeleri ve Önlemler
Zarar gören cihazlardan sonra, saldırganlar Line Dancer ve Line Runner adlı iki kötü amaçlı implant yerleştiriyor. Bu implantlar, kötü amaçlı kod yükleme ve yürütme, ayrıca güvenlik sistemlerini atlama gibi faaliyetler için kullanılıyor. Cisco, belirtilen zafiyetler için yamaları zaten yayınladı.
Ulusal siber güvenlik kurumlarının uyarıları ve şirketlerin aldığı önlemler, siber tehditlerin ciddiyetini vurguluyor. Sizce, bu tür devlet destekli hacker gruplarının ortaya çıkması, siber güvenlik endüstrisinde hangi tür değişikliklere yol açmalıdır?