Resim: Ian Hutchinson
Uluslararası Kızılhaç Komitesi (ICRC) bugün yaptığı açıklamada, geçtiğimiz ay sunucularına karşı ifşa edilen saldırının, muhtemelen devlet destekli bir bilgisayar korsanlığı grubu tarafından koordine edilen hedefli bir saldırı olduğunu söyledi.
Olay sırasında saldırganlar, şirketin kişisel bilgilerine (isimler, konumlar ve iletişim bilgileri) erişim sağladı. “Aile Bağlantılarını Geri Yükleme” programında 515.000’den fazla kişi savaş, felaket ve göç nedeniyle ayrılan aileleri yeniden birleştirmeye yardımcı olur.
Kızılhaç sunucularını ihlal etmek için, tehdit aktörleri, genellikle “saldırgan güvenlik için tasarlanmış” taktikler ve özel bilgisayar korsanlığı araçları ve tespitten kaçınmak için şaşırtma teknikleri kullandılar. gelişmiş kalıcı tehdit (APT) grupları.
Kızıl Haç ayrıca, saldırganların “tamamen hedeflenen ICRC sunucularında yürütülmek üzere tasarlanmış kodu” kullanmaları ve hedeflenen sunucuların MAC adresini kullanmalarıyla ortaya çıkan saldırının hedeflenen doğasına da dikkat çekti.
Ek olarak, “dağıtılan kötü amaçlı dosyaların çoğu, kötü amaçlı yazılımdan koruma çözümlerimizi atlamak için özel olarak hazırlandı ve bu izinsiz giriş, yalnızca planlı geliştirme programımızın bir parçası olarak gelişmiş uç nokta algılama ve yanıt (EDR) aracılarını kurduğumuzda algılandı.”
Zoho güvenlik açığı kullanılarak ihlal edildi
Kızıl Haç, soruşturma sırasında, saldırganların 9 Kasım 2021’de gerçekleşen ilk ihlalden sonra 70 gün boyunca sunucularına erişimi sürdürebildiklerini keşfetti.
Ağı sahile çıkarmak için saldırganlar, yama uygulanmamış kritik bir güvenlik açığından yararlandı (CVE-2021-40539) Zoho’nun, kimlik doğrulaması olmadan uzaktan kod yürütmelerine olanak tanıyan ManageEngine ADSelfService Plus kurumsal parola yönetimi çözümünde.
ICRC, “Bu güvenlik açığı, kötü niyetli siber aktörlerin web kabukları yerleştirmesine ve yönetici kimlik bilgilerini tehlikeye atma, yanal hareket yürütme ve kayıt defteri kovanlarını ve Active Directory dosyalarını sızdırma gibi sömürü sonrası faaliyetler yürütmesine olanak tanır” diye ekledi.
“Ağımıza girdikten sonra, bilgisayar korsanları kendilerini meşru kullanıcılar veya yöneticiler olarak gizlemelerine izin veren saldırgan güvenlik araçlarını dağıtabildiler. Bu da, bu verilerin şifrelenmiş olmasına rağmen verilere erişmelerine izin verdi.”
Kızıl Haç, saldırıyı belirli bir tehdit aktörüne bağlamadı ve bilgisayar korsanlarını olay sırasında erişilen son derece hassas verileri paylaşmamaya, sızdırmamaya veya satmamaya çağırdı.
Saldırı hala atıf beklerken, saldırılarda CVE-2021-40539 açığından yararlandığı bilinen en az bir devlet destekli bilgisayar korsanlığı grubu var.
Palo Alto Networks araştırmacıları bu Zoho hatasını kullanan bir bilgisayar korsanlığı kampanyasını bağladı APT27 olarak bilinen ve daha sonra BfV Alman iç istihbarat servisleri tarafından gözlemlenen Çin destekli gruba Alman ticari kuruluşlarını hedef alan Mart 2021’den beri aynı hatayı kullanıyor.
FBI ve CISA da ortak tavsiyeler yayınladılar (1, 2) geçen yıl, ihlal edilmiş kritik altyapı kuruluşlarının ağlarına web kabukları bırakmak için ManageEngine kusurlarından yararlanan APT gruplarını uyarmak için.