Havacılık ve uzay tedarik zincirleri için kritik öneme sahip şirketler, bilinen bir CVE’yi yamalamadı ve bu durum yabancı casusluk faaliyetlerine zemin hazırladı..

Çinli siber suçlular, dünya genelinde hassas üretim şirketlerine bir Virtual Private Network (VPN) açığından faydalanarak sızdı.

APT41, OT Organizasyonlarını Hedef Aldı

CPX 2025 etkinliğinde Dark Reading’e özel bir röportaj veren Check Point araştırmacıları, paha biçilmez fikri mülkiyeti (intellectual property, “IP”) hedefleyen, aylarca süren bir siber harekat hakkında yeni bilgiler paylaştı. Özetle, Check Point’in security gateway’lerindeki aylar öncesine ait bir path traversal zafiyetini kullanan ve APT41 (diğer adıyla Winnti) olarak düşük güven düzeyiyle ilişkilendirilen saldırganlar, dünya genelinde düzinelerce Operational Technology (OT) organizasyonuna ilk erişimi sağlamayı başardı.

Check Point, yalnızca kendi müşterilerinin ihlallerini takip ettiğini açıkladı. Bu nedenle, araştırmacılar aynı operasyonun çok daha geniş bir etki alanına sahip olabileceğine dikkat çekiyor.

Çinli Saldırganlar Gateway Üzerindeki CVE’yi İstismar Etti

Faaliyetler dalgalar halinde ilerledi: Söz konusu güvenlik açığının Mayıs 2024’te duyurulup yamalanmasının hemen ardından siber saldırılar başladı, Kasım ayında zirve yaptı ve geçen aya kadar devam etti. Tüm kurbanlar, Check Point security gateway’lerinde yer alan ve uzaktan erişimi etkinleştirecek şekilde yapılandırılmış olan CVE-2024-24919 güvenlik açığından etkilendi.

Bu açık, cihazların dosya yollarını doğrulama sürecinde yapılan küçük bir ihmal sonucu ortaya çıktı. Özel hazırlanmış isteklerle, kimliği doğrulanmamış saldırganlar bile erişmemesi gereken dizinlere ve dosyalara ulaşabildi. Bu dosyalar şifrelenmiş password hash’leri içerebilir ve saldırganlar bu hash’leri çözerek superuser ayrıcalıkları elde edebilir, böylece bir cihaz üzerinde tam kontrol sağlayabilir. CVE-2024-24919, Common Vulnerability Scoring System (CVSS) üzerinde 10 üzerinden 8.6 “yüksek” risk puanı aldı. Saldırganlar, bu güvenlik açığından yararlanarak hedef ağlarda lateral movement gerçekleştirdi, yetki düzeylerini artırdı ve domain controller’lar da dahil olmak üzere daha fazla sisteme erişebildi. Son olarak, modüler ShadowPad backdoor’u yükleyerek uzaktan erişim noktaları oluşturdular. Check Point araştırmacıları, saldırganların nihai hedefinin değerli fikri mülkiyeti çalmak olduğunu düşünüyor.

Araştırmacılar, saldırganların kurbanlarına zarar verdiğini gösteren herhangi bir kanıta ulaşmadıklarını belirtiyor. Bu nedenle, bu saldırıları Orange Cyberdefense’in 18 Şubat’ta duyurduğu siber harekattan ayrı bir kategori olarak değerlendiriyorlar. Orange Cyberdefense, takip ettiği “Green Nailao” grubunun CVE-2024-24919’u kullanarak Avrupa’daki organizasyonları ShadowPad, PlugX ve daha önce belgelenmemiş NailoLocker zararlı yazılımı ile enfekte ettiğini bildirmişti.

Küresel OT Organizasyonları Hedef Alındı

Check Point, geniş coğrafi bölgelerde faaliyet gösteren iki ila üç düzine kurban organizasyonu tespit etti. Bunların büyük bir kısmı ABD ve Latin Amerika’da bulunuyor—yaklaşık %20’si Meksika merkezli—ancak Avrupa, Orta Doğu ve Afrika’daki kuruluşlar da saldırılardan etkilendi. Saldırganlar tek bir bölgeyle sınırlı kalmasa da, büyük ölçüde belirli ve yüksek değere sahip OT sektörlerine odaklandılar. Örneğin, hedeflerin önemli bir kısmı, havacılık ve uzay şirketleri için kritik tedarik zincirleri sağlayan üreticilerdi. Tespit edilen kurbanların yaklaşık yarısı üretim sektörüne aitti.

Daha az sayıda kurban, az bilinen sektörlerde veya coğrafyalarda yer alıyordu—örneğin, küçük ülkelerdeki kamu hizmetleri şirketleri veya Afrika’daki finans kuruluşları. Check Point’in threat intelligence direktörü Lotem Finkelsteen, “Saldırganların cerrahi hassasiyetle çalıştığını, her şeyi kusursuz bir şekilde planladığını düşünüyoruz, stratejilerine dahil olmayan ‘ikincil hedefler’ de zaman zaman ortaya çıkıyor. Eğer bir erişim elde edildiyse, neden ileride kullanılmak üzere saklanmasın?” diye belirtiyor.

Check Point araştırma grubu yöneticisi Eli Smadja ise “Bir saldırganın ne düşündüğünü kesin olarak bilemezsiniz. Önemsiz gibi görünen bir işletme, başka bir şirket için bir kapı işlevi görebilir. Örneğin, finans kurumlarını kullanarak asıl hedeflerine erişebilirler” diye belirtiyor.

Küçük OT Organizasyonları Tehdit Altında

Saldırganların hedef aldığı sektörler kadar, etkilenen şirketlerin büyüklükleri de göze çarpıyor. Finkelsteen, “Üreticilerin genellikle büyük çapta olduğunu düşünürüz, ancak çoğu son derece küçük yapılara sahip; son birkaç yılda Çinli tehdit aktörlerinin operasyonlarında da benzer bir eğilim görüyoruz—kurbanlarin çoğu küçük işletmelerden oluşuyordu” diye belirtiyor. Pek çok üretici yalnızca tek bir fabrika işletiyor ya da küçük bir atölye gibi çalışıyor, ancak bu durum onları daha büyük rakipler kadar değerli olmaktan alıkoymuyor.

Küçük OT organizasyonları, tıpkı diğer işletmeler gibi siber saldırılara karşı oldukça savunmasız durumda. Check Point’ten threat intelligence grup yöneticisi Sergey Shykevich, “Genellikle tam zamanlı bir siber güvenlik ekibi bulunmaz. En fazla bir IT görevlisi vardır ve bu kişi hem güvenliği hem de IT’nin diğer tüm yönlerini yönetir” diye belirtiyor. Hatta bazen araştırmacılar bir ihlal yaşandığında şirkette ulaşabilecekleri tek kişinin, doğrudan işletme sahibi olduğunu bile görüyor.

Sonuç olarak, Finkelsteen özetle, “Bu tür işletmeler genelde yamaları hızlıca uygulamaz veya gateway, router gibi cihazları korumak için hangi güvenlik önlemlerini alacaklarını bilmezler” diyor. Küçük işletmeler, satın aldıkları ürünlerin düzenli olarak desteklendiğinden emin olmalı ve böylece kendilerini hedef alan bu güçlü gruplara karşı savunmasız kalmamalı. Son derece gelişmiş tehdit aktörlerinin ileri düzey araçlarla küçük işletmeleri hedef almasının adil bir rekabet olmadığını vurgulayarak sözlerini tamamlıyor.

https://www.darkreading.com/ics-ot-security/chinese-apt-vpn-bug-worldwide-ot-orgs