ABD Ulusal Güvenlik Ajansı, Ivanti’nin yaygın olarak kullanılan kurumsal VPN cihazındaki kusurlardan yararlanan bilgisayar korsanlarının ABD savunma sektöründeki kuruluşları hedef aldığını doğruladı.
NSA sözcüsü Edward Bennett, Cuma günü TechCrunch’a e-postayla gönderilen bir açıklamada, ABD istihbarat teşkilatının diğer kurumlarla birlikte muadilleriyle birlikte “Ivanti ürünlerinin yakın zamandaki sömürülmesinin geniş etkisini takip ettiğini ve farkında olduğunu” doğruladı. [sic] ABD savunma sektörü.”
“ [NSA’s] Siber Güvenlik İşbirliği Merkezi, bu etkinliği tespit etmek ve azaltmak için ortaklarımızla birlikte çalışmaya devam ediyor” diye ekledi.
NSA’nın bu siber saldırıları izlediğinin doğrulanması, Mandiant’ın şüpheli Çinli casusluk korsanlarının dünya çapında binlerce şirket ve büyük kuruluş tarafından kullanılan popüler uzaktan erişim VPN yazılımı Ivanti Connect Secure’u etkileyen birden fazla güvenlik açığından yararlanmak için “toplu girişimlerde” bulunduğunu bildirmesinden birkaç gün sonra geldi.
Mandiant bu haftanın başlarında, UNC5325 olarak adlandırdığı bir tehdit grubu olarak takip edilen Çin destekli bilgisayar korsanlarının çeşitli sektörlerdeki kuruluşları hedef aldığını söyledi. Mandiant, güvenlik firması Volexity’nin daha önceki bulgularına atıfta bulunarak, bunun, ABD ordusuna ekipman ve hizmet sağlayan binlerce özel sektör kuruluşundan oluşan dünya çapında bir ağ olan ABD savunma sanayi üs sektörünü de içerdiğini söyledi.
Mandiant, analizinde UNC5325’in Ivanti Connect Secure cihazı hakkında “önemli bilgi” gösterdiğini ve tespitten daha iyi kaçınmak için arazide yaşama tekniklerini (hedeflenen sistemde halihazırda bulunan meşru araç ve özelliklerin kullanımı) kullandığını söyledi. söz konusu. Çin destekli bilgisayar korsanları ayrıca “fabrika ayarlarına sıfırlama, sistem yükseltmeleri ve yamalardan sonra bile Ivanti cihazlarında gömülü kalacak” yeni kötü amaçlı yazılımlar da kullandı.
Bu durum, Perşembe günü ABD siber güvenlik kurumu CISA tarafından yayınlanan ve savunmasız Ivanti VPN cihazlarından yararlanan bilgisayar korsanlarının fabrika ayarlarına sıfırlama yaptıktan sonra bile kök düzeyinde kalıcılığı koruyabileceği konusunda uyaran bir tavsiye belgesinde de tekrarlandı. Federal siber güvenlik kurumu, kendi bağımsız testlerinin başarılı saldırganların Ivanti’nin Dürüstlük Denetleme Aracı’nı aldatabildiğini gösterdiğini ve bunun da “uzlaşmanın tespit edilememesiyle” sonuçlanabileceğini söyledi.
CISA’nın bulgularına yanıt olarak Ivanti saha bilgi güvenliği sorumlusu Mike Riemer, TechCrunch’a Ivanti’nin CISA testlerinin canlı müşteri ortamında işe yarayacağına inanmadığını söyleyerek CISA’nın bulgularını küçümsedi. Riemer, Ivanti’nin “Ivanti tarafından önerilen güvenlik güncellemelerinin ve fabrika ayarlarına sıfırlamaların uygulanmasının ardından tehdit aktörlerinin başarılı bir şekilde devam ettiğinin farkında olmadığını” ekledi.
Ocak ayında başlayan Connect Secure güvenlik açıklarının yaygın şekilde kullanılmasından tam olarak kaç Ivanti müşterisinin etkilendiği bilinmiyor.
Akamai, geçen hafta yayınlanan bir analizde, bilgisayar korsanlarının her gün yaklaşık 250.000 istismar girişiminde bulunduğunu ve 1.000’den fazla müşteriyi hedef aldığını söyledi.
Kaynak: https://techcrunch.com/2024/03/01/nsa-says-its-tracking-ivanti-cyberattacks-as-hackers-hit-us-defense-sector/