Google'ın tehdit istihbaratı ekibi, kurumsal ağların kenarında yer alan ve mobil cihazların güvenli erişimini yöneten SonicWall Secure Mobile Access (SMA) cihazlarının hedef alındığını duyurdu. Saldırganların bu cihazlara özel bir arka kapı yerleştirdiği belirtildi.
Hedef alınan cihazların kullanım ömrünün sona ermiş olması, yani düzenli güvenlik güncellemeleri almıyor olmaları dikkat çekiyor. Buna rağmen birçok kurum bu cihazlara güvenmeye devam ediyor. Bu durum, Google'ın kimliği belirsiz hacker grubuna verdiği UNC6148 adının hedef aldığı bu cihazları birincil konumuna getiriyor.
Google'ın yayınladığı bir raporda, "GTIG, SMA cihazları bulunan tüm kuruluşların, kendilerinin hedef alınıp alınmadığını belirlemek için analiz yapmalarını öneriyor. Kuruluşlar, kök kiti anti-adli bilişim yeteneklerinden etkilenmemek için adli analiz amacıyla disk görüntüleri edinmelidir. Kuruluşların fiziksel cihazlardan disk görüntüleri yakalamak için SonicWall ile etkileşime girmeleri gerekebilir." ifadeleri yer alıyor.
Belirsizlikler ve Kullanılan Yöntemler
Saldırılarla ilgili birçok kritik detay hala bilinmiyor. Saldırganların, hedef alınan cihazlardaki yönetici kimlik bilgilerini nasıl ele geçirdiği henüz anlaşılamamış durumda. Ayrıca, UNC6148 grubunun hangi güvenlik açıklarını kullandığı da belirsizliğini koruyor. Cihaz kontrolünü ele geçirdikten sonra tam olarak neler yaptıkları da net değil.
Bu detaylardaki eksikliğin temel nedeni, UNC6148 grubunun cihazları ilk ele geçirdikten sonra yüklediği 'Overstep' adlı özel arka kapı kötü amaçlı yazılımının çalışma şekli. Overstep, saldırganların log kayıtlarını seçici bir şekilde silmesine olanak tanıyarak adli incelemeleri zorlaştırıyor. Ayrıca raporda, saldırganların henüz kamuoyunca bilinmeyen bir güvenlik açığını kullanan 'sıfır gün' açığına sahip olabileceği de öne sürülüyor. UNC6148'in kullanmış olabileceği potansiyel güvenlik açıkları şunlar:
- CVE-2021-20038: Bellek bozulması güvenlik açığından kaynaklanan kimliği doğrulanmamış uzaktan kod yürütme.
- CVE-2024-38475: Apache HTTP Sunucusu'nda kimliği doğrulanmamış yol geçişi güvenlik açığı. Bu açık, SMA 100'de bulunuyor ve kullanıcı hesabı kimlik bilgileri, oturum belirteçleri ve tek kullanımlık şifreler için tohum değerleri depolayan iki ayrı SQLite veritabanını çıkarmak için kullanılabilir.
- CVE-2021-20035: Kimliği doğrulanmış uzaktan kod yürütme güvenlik açığı. Bu güvenlik açığının aktif olarak kullanıldığı rapor edilmişti.
- CVE-2021-20039: Kimliği doğrulanmış uzaktan kod yürütme güvenlik açığı. Bu açığın 2024'te fidye yazılımı yüklemek için aktif olarak kullanıldığına dair raporlar bulunuyor.
- CVE-2025-32819: Hedeflenen bir cihazın yerleşik yönetici kimlik bilgilerini bir parolaya sıfırlamak için kullanılabilecek kimliği doğrulanmış dosya silme güvenlik açığı, böylece saldırganlar yönetici erişimi sağlayabilir.
Google'ın Mandiant bölümünü de içeren GTIG araştırmacıları, "UNC6148'in komut çalıştırmak ve Overstep yüklemek için bir web arayüzü sağlayan ters kabuk (reverse shell) yüklemeyi nasıl başardığı da bilinmiyor." diye belirtti. Ekip, "Tasarım gereği bu cihazlarda kabuk erişimi mümkün olmamalıdır ve SonicWall Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) ile yapılan ortak soruşturmada UNC6148'in bu ters kabuğu nasıl kurduğu belirlenemedi." şeklinde ekledi ve "Ters kabuğun UNC6148 tarafından bilinmeyen bir güvenlik açığının istismar edilmesi yoluyla kurulmuş olması mümkündür." yorumunda bulundu.
Son olarak, grubun motivasyonları ve Overstep yüklendikten sonra ne yaptıkları da henüz ortaya çıkarılamadı. Ele geçirilen cihazlarda önemli log kayıtlarının silinmesi, enfeksiyonları tespit etmeyi zorlaştırıyor. Google, bu gönderide SonicWall müşterilerinin hedef alınıp alınmadığını veya hacklenip hacklenmediğini belirlemek için kullanabileceği teknik göstergeler sunuyor.
