Kısa süre önce gerçekleşen Microsoft Exchange Server saldırısı gibi büyük boyutlu siber casusluk saldırılarına nadiren tanık oluyoruz. Microsoft’a göre saldırının arkasında, Çin’in desteklediği ve dört güvenlik açığını kötüye kullanan bir saldırgan grubu var.

Yazar: Trend Micro

8 Mart 2021

Okuma süresi: 2 dakika

Sadece ABD’de 30 bin kurumun saldırıdan etkilendiği düşünülüyor. Bilgisayar korsanlarının kurbanların sistemlerini uzaktan kontrol ettiği düşünüldüğünde ise dünya çapındaki rakamlar daha çarpıcı olabilir. Shodan platformu üzerinden gerçekleştirdiğimiz son kontrollerde, bu güvenlik açıklarını gidermeyen 63 bin civarında korunmasız sunucu olduğunu tespit ettik.

Kurumların önceliği Microsoft’un sağladığı yamaları kullanarak sunucuların açıklarını kapatmak olmalıdır. Ancak yamaların hemen uygulanamayacağı durumlarda korunmasız sunucuların İnternet bağlantısı vakit kaybedilmeden kesilmelidir. Bu sırada Exchange sunucusuyla çalışan herkesin olası güvenlik ihlallerini tespit etmek için sistemlerini kontrolden geçirmesi gerekiyor.

Hem Microsoft’un hem de diğer otoritelerin konuyla ilgili önerilerine tamamen katıldığımızı belirtelim. Ayrıca XDR müşterileri, Trend Micro Vision One’daki hazır sorgu kalıplarını kullanarak sistemlerinin güvenliğinin ihlal edilip edilmediğini kontrol edebilir. Bu sorgu kalıplarına Knowledge Base bölümünde yayınladığımız yazıdan erişebilirsiniz. Aynı yazıda müşterilerimizin tüm güvenlik çözümlerinde uygulayabileceği ek tespit sistemleri ve koruma önlemlerinden de bahsettik.

Peki ne olmuştu?

Saldırıların izi şimdilik, Microsoft Exchange Server’daki dört farklı sıfır gün güvenlik açığının kötüye kullanılmaya başladığı 6 Ocak 2021 tarihine kadar sürülebildi. Saldırıyı gerçekleştiren yeni bilgisayar korsanlarına Microsoft sonradan “Hafnium” adını verdi. Saldırganlar, gerçek adreslerini gizlemek için ABD’de bulunan sanal özel sunucuyu (VPS) kullandı. Microsoft, her zamanki rutin yama tarihlerinin dışına çıkarak bir acil durum yaması yayınladı. Yamanın açıklama bölümünde Microsoft konuyla ilgili bazı konulara değindi:

“Saldırganlar, incelediğimiz saldırılarda güvenlik açıklarından yararlanarak e-posta hesaplarına erişime izin veren kurum içi Exchange sunucularına sızdı. Güvenlik açıkları, sızılan sistemlere uzun vadeli erişimi kolaylaştıran başka kötü amaçlı yazılımların kurulmasına neden oldu.”

Bu açıkların her biri art arda kullanılsaydı saldırganlar kendilerini yetkili Exchange sunucusu gibi tanıtabilir, Sistem kimliği altında kod çalıştırabilir ve sunucudaki yollara istedikleri dosyaları yazabilirlerdi. Hafnium grubunun, dört güvenlik açığını kötüye kullandıktan sonra saldırıyı bir adım ileriye taşıyarak kurbanlarının bilgilerini çalmaya devam etmek ve başka kötü amaçlı saldırılarda bulunabilmek için sistemlere web kabukları yerleştirdiği söyleniyor. Bu saldırılar kapsamında, kurumları zarara uğratabilecek fidye yazılımlar da sistemlere yüklenebilirdi.

Hem Beyaz Saray hem de ABD Siber Güvenlik ve Altyapı Güvenliği Kurumu (CISA) saldırıların geniş kapsamlı olabilecek sonuçlarından ötürü oldukça kaygılı. CISA, devlet kurumlarındaki Exchange sunucularının vakit kaybedilmeden güncellenmesi veya İnternet bağlantılarının kesilmesine dair bir talimat yayınladı.

Saldırılar, 2021 Ocak’ında yayınladığımız Chopper ASPX web kabuğu araştırmasıyla da bağlantılı olabilir. Trend Micro Research’ün, saldırıların birbiriyle nasıl ilişkili olduklarına ve gelecekte başka saldırılar olup olmayacağına dair analizleri devam ediyor.

Saldırıdan etkilendim mi?

Microsoft’un yaptığı ilk değerlendirmede, Hafnium’un bulaşıcı hastalık araştırmaları, hukuk, yüksek öğrenim, savunma, siyasetle ilgili düşünce kuruluşları ve STK’lar gibi sektörlerdeki kuruluşları hedef aldığı iddia edildi. Ancak, geniş kapsamlı en son saldırı dalgasında başka saldırganların da furyaya katılmış olabileceğine dair görüşler öne sürülüyor. CISA’nın eski şefi Chris Krebs, kaynağı ne olursa olsun bu saldırıların, genellikle güvenliğe az kaynak ayırabilen KOBİ’leri, eğitim sektöründeki kurumları ve eyaletlerle yerel yönetimleri daha şiddetli etkilenmiş olabileceğini düşünüyor.

Kurumunuzdaki Exchange Server sistemlerinin saldırıdan etkilenip etkilenmediğini aşağıdaki talimatları takip ederek kontrol edebilirsiniz:

• Sunuculara sızılıp sızılmadığını kontrol etmek için Microsoft detection tool yazılımı aracılığıyla Exchange Server sistemlerinin kayıt günlüklerini tarayın.
• Bu saldırıyla ilgili sızmayı somut olarak işaret eden göstergeleri (IoC) tespit etmek için Trend Micro Vision One aracılığıyla tarama yapın.

Bu adımlardan sonra ne yapmalıyım?

Taramanız sistemin güvenliğinin ihlal edilmediğini gösterdiyse ancak yamaları henüz yüklememişseniz, Microsoft’un sitesine giderek yamaları yükleyin.

Microsoft’un aracını kullanarak yaptığınız taramada sisteminizin güvenliğinin ihlal edilmiş olabileceğine dair kanıtlara rastlanmışsa bu güvenlik ihlalini bildirmeniz gerekmektedir.

Ancak izleyeceğiniz prosedürler kurum içi kaynaklara ve içinde bulunduğunuz şartlara göre değişir. KOBİ’ler ve büyük şirketler için tavsiyelerimiz aşağıdadır:

1. Kurum içinde bir güvenlik ekibiniz yoksa, güvenlikle ilgili destek aldığınız hizmet sağlayıcısına veya Yönetimli hizmet Sağlayıcınıza başvurun.
2. Kurum içinde güvenlik açıklarına müdahale edebilecek bir ekibiniz varsa atmanız gereken adımlara bu ekip karar verecek.
3. Sızmayı somut olarak işaret eden göstergelerin sisteminizde olduğundan emin olmak için kapsamlı bir tarama yapılana kadar sistemlerinizi başka cihazlara kopyalamayın.
4. Güvenlik ihlaliyle ilgili bildirim gereklilikleriyle hakkında bilgi almak için hukuk biriminizle görüşün.

Trend Micro’nun bu saldırıya özel tespitleri ve ek güvenlik önlemleri hakkında daha fazla bilgi edinmek için Knowledge Base bölümünde yayınladığımız ve yeni bilgiler aldıkça güncellediğimiz yazıyı inceleyebilirsiniz: https://success.trendmicro.com/solution/000285882.