NSA, Çin devlet bilgisayar korsanlarının Citrix’i hedef aldığı konusunda uyardı



NSA, Çin devlet bilgisayar korsanlarının Citrix'i hedef aldığı konusunda uyardı

Ulusal Güvenlik Teşkilatı Salı günü şirketlere, Çin devlet bağlantılı siber casusların çok uluslu bulut bilişim şirketi Citrix’i hedef aldığına dair bir uyarı bildirimi gönderdi.

Elektronik casus teşkilatı, bildiriminde, telekomünikasyon şirketlerini hedef aldığı bilinen Çin devlet destekli bir bilgisayar korsanlığı grubunun güvenlik tanımı olan Advanced Persistent Threat 5 veya APT5 olarak bilinen bir grubun, uygulama dağıtım denetleyicileri adı verilen belirli bir Citrix yazılımına karşı çalıştığını söyledi ( ADC’ler).

Ajans, Citrix ADC’lerin hedeflenmesinin “normal kimlik doğrulama kontrollerini atlayarak hedeflenen kuruluşlara yasadışı erişimi kolaylaştırabileceğini” söyledi.

NSA, diğer güvenlik kurumlarıyla birlikte, gruptan gelen siber saldırıları tespit etmek için Citrix kullanan şirketler ve kuruluşlar için “tehdit avcılığı kılavuzu” hazırladı.

Citrix ürünleri, Fortune 100 şirketlerinin %99’u ve Fortune 500 şirketlerinin %98’i dahil olmak üzere dünya çapında 400.000’den fazla müşteri tarafından kullanılmaktadır.

Şirket, bilgisayar programlarını tam kurulum olmaksızın bir işletim sistemi içinde kapsülleyen yazılım olan “uygulama sanallaştırma” konusunda uzmanlaşmıştır.

Güvenlik şirketi Mandiant’a göre, NSA ve güvenlik yetkilileri tarafından UNC2630 ve MANGANESE kod adlarıyla da bilinen ATP 5 grubu, 2007’den beri bilgi çalmak için siber operasyonlar yürütüyor.

Bu arada Salı günü Citrix, analistlerin yazılımındaki “sıfır gün” güvenlik açığı olduğunu söylediği ve yama yapılmadan bırakılan Çinli bilgisayar korsanları tarafından yetkisiz bilgisayar ağı erişimi elde etmek için kullanılabileceğini söyleyen durumu hafifletmek için müşterilerine yazılım yamaları gönderdi.

Şirket, “Citrix Gateway ve Citrix ADC’de bir güvenlik açığı keşfedildi … bu güvenlik açığından yararlanılırsa, kimliği doğrulanmamış bir uzak saldırganın cihazda rasgele kod yürütmesine izin verebilir.”

Şirket, “Bu güvenlik açığını kullanan az sayıda hedefli saldırının farkındayız” dedi.

Citrix yazılımı sıfır gün güvenlik açığı, bu hafta ortaya çıkarılan türünün ikincisi.

Daha önce, güvenlik firması Fortinet, FortiOS SSL-VPN ürününde bir sıfır gün kusuru bulduğunu ve yama yaptığını duyurdu.

Yazılım kusuru, “kimliği doğrulanmamış uzak bir saldırganın rasgele kod veya komutlar yürütmesine” izin verebilir.

Şirketten yapılan açıklamada, “Fortinet, bu güvenlik açığının kötüye kullanıldığı bir durumun farkında ve sistemlerinizi aşağıdaki tehlike göstergelerine karşı hemen doğrulamanızı tavsiye ediyor” dedi.

Siber güvenlik haber kuruluşu SecurityWeek, iki sıfır gün hatasının bu yıl ortaya çıkarılan en az 50 halka açık sıfır gün saldırısı arasında yer aldığını söyledi.

Çin, gelecekteki bir çatışmada sabotaj hazırlığı yapmak için bilgi çalmayı ve ağlara sızmayı amaçlayan büyük ölçekli siber operasyonlara katılmaya devam ediyor.

Pentagon’un Çin ordusuyla ilgili son raporunda, Çin’in “askeri ve kritik altyapı sistemlerine yönelik gelişmiş, kalıcı bir siber casusluk ve saldırı tehdidi oluşturduğu ve artan bir etki tehdidi oluşturduğu” belirtildi.

Raporda, “ÇHC, en azından Amerika Birleşik Devletleri içindeki kritik altyapıda yerel, geçici kesintilere neden olabilecek siber uzay saldırıları başlatabilir ve ÇHC, bu yeteneklerin, bilgi teknolojilerine bağımlı askeri açıdan üstün düşmanlara karşı daha da etkili olduğuna inanıyor.” dedi, Çin Halk Cumhuriyeti’nin kısaltmasını kullanarak.

Siber güvenlik raporlarına göre, APT 5’in izi, güvenli sanal özel ağlar veya VPN’ler kullanan düzinelerce ABD ve Avrupa kuruluşuna yönelik siber saldırılara kadar izlendi.

Güvenlik şirketi Cyware, grupla ilgili olarak, “Hedef alınan kuruluşların birçoğu, Pekin’in Çin’in son 14. Beş Yıllık Planında belirtilen stratejik hedefleriyle uyumlu olarak savunma, hükümet, yüksek teknoloji, ulaşım ve finans sektörlerinde faaliyet gösteriyor” dedi.

Başka bir güvenlik firması olan Mandiant, APT5’in bölgesel telekomünikasyon sağlayıcıları ile küresel telekomünikasyon ve teknoloji firmalarının Asya merkezli çalışanlarını hedef aldığını söyledi.

Mandiant yakın tarihli bir raporda, grubun ABD, Avrupa ve Asya’da yüksek teknolojili üretime ve askeri uygulama teknolojisine yönelik siber saldırılarda da aktif olduğunu belirtti.

Mandiant raporunda, “APT5, birden fazla sektördeki kuruluşları hedef aldı veya ihlal etti, ancak odak noktası telekomünikasyon ve teknoloji şirketleri, özellikle de uydu iletişimleri hakkındaki bilgiler gibi görünüyor” dedi.

“2015 yılında APT5, özel ve devlet kurumları için hizmet ve teknolojiler sağlayan bir ABD telekomünikasyon kuruluşunu ele geçirdi.”

Raporda, APT 5’in Çinli bilgisayar korsanlarının şirket ağlarındaki yönlendirici verilerini indirip değiştirdiği ve bir Güney Asya savunma kuruluşundan askeri teknolojiyle ilgili dosyaları çaldığı belirtildi.

APT5’in, elektronik saldırılarda farklı taktikler ve altyapı kullanan birkaç alt gruptan oluşan, Çin hükümetiyle bağlantılı büyük bir grup olduğu söyleniyor.

Başka bir araç, oturum açma kimlik bilgilerini elde etmek için tuş vuruşu izleme araçlarının kullanılmasıdır.

Mandiant, “APT5, ağ aygıtlarından ödün vermeye ve bu aygıtları destekleyen temel yazılımı manipüle etmeye büyük ilgi gösterdi” dedi.




Kaynak : https://www.washingtontimes.com/news/2022/dec/13/nsa-warns-chinese-state-hackers-targeting-citrix/?utm_source=RSS_Feed&utm_medium=RSS

Yorum yapın

SMM Panel PDF Kitap indir