editor
Bilgisayar korsanları, ABD’li internet sağlayıcılarına yönelik siber saldırılarını gerçekleştirmek için bir ağ yönetim aracındaki güvenlik açığını kullanıyor. Telekomünikasyon şirketi Lumen Technologies Inc.’in siber güvenlik araştırma birimi Black Lotus Labs, bu hackleme kampanyasını bugün duyurdu. Araştırmacılar, saldırıların muhtemelen Çin destekli Volt Typhoon adlı devlet destekli bir hacker grubuna ait olduğuna inanıyor. Black Lotus Labs, siber saldırıların 12 Haziran gibi erken bir tarihte başladığını belirledi.
Korsanlar, şirketlerin ağ yönetimini sağlayan Versa Director adlı yazılım aracındaki sıfırıncı gün açığını kullanarak kötü amaçlı yazılım yayıyor. Versa Director, veri merkezleri gibi coğrafi olarak ayrılmış teknoloji varlıklarını bir araya getiren kurumsal ağları koordine eden bir yazılım. Bu araç yalnızca internet sağlayıcıları tarafından değil, aynı zamanda teknoloji altyapısını koruyan yönetilen hizmet sağlayıcıları (MSP’ler) tarafından da kullanılmaktadır.
Saldırganlar, VersaMem adı verilen özel bir kötü amaçlı yazılım kullanarak bu açığı istismar ediyor. VersaMem, bir sistemin uzaktan kontrol edilmesini sağlayan bir web kabuğu olarak işlev görüyor ve Java programlama dilinde yazılmış uygulamaları depolamak için kullanılan JAR dosyası formatında paketlenmiş. Versa Director’ın bazı temel bileşenleri de Java ile yazıldığından, bu dosyalar Apache Tomcat gibi açık kaynaklı araçlar tarafından destekleniyor. Black Lotus Labs’a göre, VersaMem kötü amaçlı kodu, Versa Director’ın Tomcat kurulumuna bağlanarak ve onu değiştirerek çalışıyor.
Kötü amaçlı yazılımın ilk amacı, yöneticilerin Versa Director oturum açma kimlik bilgilerini çalmak. VersaMem, bu kimlik bilgilerini düz metin biçiminde çıkararak Bilgisayar korsanlarının kolayca okumasını sağlıyor. Çalınan bu bilgiler, sadece internet sağlayıcıları ve MSP’ler için değil, aynı zamanda bu şirketlerin müşterileri için de tehlike oluşturabilir. Ayrıca, VersaMem tarafından yapılan kod değişiklikleri, ek kötü amaçlı yazılım modüllerinin yüklenmesini da kolaylaştırıyor. Bu modüller, ihlal önleme sistemlerinin tespitini zorlaştırmak için yükleniyor. Black Lotus Labs araştırmacıları, “Yukarıda açıklanan işlevsellik sadece bellekte gerçekleşiyor ve diskteki Java dosyaları değiştirilmediği için tespit edilme riski önemli ölçüde azalıyor,” şeklinde açıklamada bulundu.
Lumen’in araştırma birimi, bilgisayar korsanlarının ABD’de en az dört ve Hindistan’da bir şirketi hedef aldığını belirtiyor. Bu şirketler telekomünikasyon, MSP ve bilgi teknolojisi sektörlerinde faaliyet göstermekte. Araştırmacılar, Versa Director açığını ilk kez geçen Perşembe günü açıkladı. Ağ yönetim aracını geliştiren Versa Software Inc., açığı birkaç hafta önce fark etmiş ve müşteriler için bir güvenlik yaması yayınlamış durumda.
