On binlerce Cisco cihazını ele geçirmek için yazılımdaki bir güvenlik açığından yararlanan bir bilgisayar korsanlığı grubunun, tespit edilmekten kaçınmak için taktik değiştirdiği görülüyor.
Bilgisayar korsanlarının, şirketin yönlendiricilerde, anahtarlarda ve kablosuz denetleyicilerde kullanılan IOS XE yazılımındaki bir kusur nedeniyle en son 40.000'e kadar Cisco cihazını ele geçirdiği tespit edildi. Ardından, geçen hafta sonu Cisco'nun tehdide karşı bir yama yayınlamasıyla ele geçirilen cihazların sayısı gizemli bir şekilde düşmeye başladı .
Düşen enfeksiyon sayıları başlangıçta Cisco müşterilerinin güvenlik açığını ortadan kaldırmak için hızlı hareket ettiklerini gösteriyordu. Ancak şimdi, bilgisayar korsanlığı grubunun yalnızca hangi Cisco cihazlarının ele geçirildiğini daha iyi gizlemek için tekniklerini güncellediğini gösteren kanıtlar ortaya çıkıyor.
Etkilenen cihazların güvenliğini aşmak için bilgisayar korsanları, virüslü donanım üzerinde daha fazla komut alabilen ve çalıştırabilen bir implant yerleştiriyor. Cisco başlangıçta, ele geçirilen cihazların belirli bir HTTP POST alırken 18 karakterlik onaltılık sayıyla yanıt vereceğini ve bu sayede şirketlere olası bir güvenlik açığını taramak için kolay bir yol sağladığını buldu .
Ancak şimdi siber güvenlik sağlayıcısı Fox IT şunları bildiriyor : “Tehdit aktörü, ekstra başlık kontrolü yapmak için implantı yükseltti. Bu nedenle, birçok cihaz için implant hala aktif durumda ancak artık yalnızca doğru yetkilendirme HTTP başlığı ayarlandığında yanıt veriyor." Değişiklik, şirketlerin ele geçirilen bir cihazı tespit edebilmelerinin orijinal yolunu ortadan kaldırdı.
Fox IT, "Bu, son günlerde tespit edilen güvenliği ihlal edilmiş sistemlerde çok tartışılan düşüşü açıklıyor" diye ekledi. İyi haber şu ki Fox IT, şirketin GitHub sayfasına yüklediği hacker implantını tespit etmenin ek bir yolunu bulduğunu söylüyor . Şirket, "Fox-IT, farklı bir parmak izi yöntemi kullanarak güvenliği ihlal edilmiş 37890 Cisco cihazını tespit ediyor" diye uyarıyor .
Cisco ayrıca etkilenen müşterilerin tehdidi ortadan kaldırmak için şirketin yamasını indirebileceğini de söyledi. Ancak şimdilik yama yalnızca IOS XE'nin 17.9 sürümündeki kullanıcılar için mevcut . IOS XE 17.6, 17.3 ve 16.12 için yamalar hâlâ çıkacak. Bu arada müşteriler olası saldırıları önlemek için cihazlardaki HTTP Sunucusu özelliğini devre dışı bırakabilirler.
Cisco, "İmplant kalıcı değil, yani cihazın yeniden başlatılması onu kaldıracaktır, ancak yeni oluşturulan (hacker kontrollü) yerel kullanıcı hesapları, sistem yeniden başlatıldıktan sonra bile aktif kalır." diye ekledi .