Güvenlik Açıkları

NSA, E-posta Sunucularını Hedefleyen Yeni Sandworm Saldırılarına Karşı Uyarıyor

2 dakikada okunur

NSA, Rusya destekli hacker’ların Ağustos 2019’dan bu yana Exim e-posta sunucularında arka kapılar oluşturmak için saldırılar düzenlediğini söyledi.

ABD Ulusal Güvenlik Ajansı (NSA) geçtiğimiz günlerde, e-posta sunucularına karşı Rusya‘nın en gelişmiş siber casusluk birimlerince gerçekleştirilen yeni bir siber saldırı dalgası tespit ederek yeni bir güvenlik uyarısı yayınladı.  NSA, saldırıları Rusya Federal Güvenlik İstihbarat Servisi’ne (GRU) bağlı Özel Teknolojiler Ana Merkezi’yle doğrudan bağlantılı olduğunu kaydetti.

Sandworm” olarak da bilinen bu grup, CVE-2019-10149 olarak izlenen kritik bir güvenlik açığından yararlanarak Ağustos 2019‘dan bu yana Exim sunucularını hackliyor. NSA’in yaptığı güvenlik uyarısından bir kesit;

Sandworm CVE-2019-10149’u sömürdükten sonra  kurban makine üzerinde Sandworm tarafından kontrol edilen bir shell script indirip çalıştıracaktı

Bu shell script;

  • Ayrıcalıklı kullanıcılar ekleme
  • Ağ güvenliği ayarlarını devre dışı bırakma
  • Ek uzaktan erişimi etkinleştirmek için SSH yapılandırmalarını güncelleme
  • Takip eden sömürüyü etkinleştirmek için ek bir komut dosyası yürütme gibi işlevlere sahipti.

NSA özel kuruluşları ve devlet kurumlarını Exim sunucularını 4.93 sürümüne yükseltmeleri ve sistemlerde ihlal belirtilerinin olup olmadığının araştırması gerektiğini söylüyor. İhlal belirtileri NSA’in yayınladığı PDF dokümanında mevcuttur.

Sandworm’un, Saldırıyı Yapmak için 9 Ay’ı Vardı

Sandworm grubu 2000’lerin ortalarından beri aktiftir. Grubun Ukrayna’da 2014-2015 yıllarında elektrik üretim tesislerine zarar veren BlackEnergy zararlı yazılımını geliştiren hacker grubu olduğu biliniyor. Ayrıca grup, Turla ile birlikte Rus devlet destekli en gelişmiş iki hack grubundan biri olarak kabul ediliyor.

CVE-2019-10149 güvenlik açığı Haziran 2019‘da ortaya çıktı ve “WIZard’ın Dönüşü” olarak adlandırıldı.

Yayınlandıktan bir hafta sonra, saldırganlar zafiyeti kötüye kullanmaya başladı. İki hafta sonra Microsoft, Azure müşterilerine, bir tehdit aktörünün Azure altyapısında çalışan ve sunucuları ele geçirmek için bu güvenlik açığından yararlanan bir Exim solucanının geliştirildiğini bildiren bir uyarı yayınladı. İnternetin e-posta sunucularının neredeyse yarısı Exim kullanıyor. 1 Mayıs 2020‘deki istatistiklere göre, tüm Exim sunucularının yalnızca yarısı sürüm 4.93‘e güncellendi ve çok sayıda Exim örneği saldırılara maruz kaldı.

Ancak günümüzün NSA güvenlik danışmanlarının Exim sunucularını uyararak güvenliğin sağlanmasının yanı sıra iki amacı daha vardır.

Bu aynı zamanda çok sayıda Sandworm saldırısının altyapısını yok etmek anlamına geliyor. Bu uyarıyı takiben, sunucularda yapılan güvenlik yamaları ile birlikte, Sandworm operatörlerinin son 9 aydır hackledikleri sunucuların çoğunda saldırganların sağlamış olduğu erişim kaybolacak.

Bunlar ilgini çekebilir
Güvenlik Açıkları

Windows SMB Protokolünü Etkileyen Kritik Bir Güvenlik Açığı Daha: SMBleed

4 dakikada okunur
Siber güvenlik araştırmacıları geçtiğimiz günlerde, Microsoft Windows Sunucu İleti Bloğu (SMB) protokolünü etkileyen ve saldırganların çekirdek belleğine uzaktan sızmasına izin verebilecek yeni…
Güvenlik Açıkları

MS Windows SMBv3 Protokolünde Kritik Güvenlik Açığı

1 dakikada okunur
Microsoft‘un popüler işletim sistemi olan Windows 10, dünya genelinde milyonlarca kişi tarafından kullanılıyor. Microsoft, 2015 yılından bu yana sürekli güncelleme alan Windows…
Güvenlik Açıkları

Yeni Sudo Güvenlik Açığı

2 dakikada okunur
Apple Security‘den Joe Vennix, sudo komutunda belirli bir yapılandırma altında, düşük ayrıcalıklı kullanıcıların veya kötü amaçlı yazılımları, Linux veya macOS sistemlerde root…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.