Moğolistan’ın En Büyük Sertifika Yetkilisi Hacklendi! Avast şirketinin uzmanları, saldırganların Moğol kimliğine sahip MonPass merkezinin sunucusuna girdiğini açıkladı. Ayrıca resmi müşteri şirketlerinin arka kapı tabanlı Cobalt Strike’ı içine yerleştirdiğini söyledi. Arka kapı (backdoor), 8 Şubat – 3 Mart 2021 tarihleri arasında resmi uygulamada aktifti.
Saldırı, Avast uzmanlarının müşterilerinden birinin sisteminde arka kapı yükleyicisini ve arka kapının kendisini fark ettiği Mart ayının sonunda keşfedildi. Mart-Haziran ayları arasında şirket olayı araştırmak için CERT Mongolia ve MonPass ile birlikte çalıştı. MonPass, Avast’a araştırmak için güvenliği ihlal edilmiş sunucunun klonlanmış bir görüntüsünü sağladı.
Analistler, “Nisan 2021’de başlayan analizimiz, MonPass tarafından barındırılan herkese açık web sunucusunun sekiz kez saldırıya uğradığını gösteriyor: Üzerinde sekiz farklı web kabuğu ve arka kapı bulduk.” dedi.
Saldırıyı belirli bir hacker grubuna bağlamak mümkün değil. “Saldırganların Moğolistan’daki kullanıcılara kötü amaçlı yazılım dağıtmayı amaçladığı açık olmasına rağmen, bu durumda sertifika yetkilisi olan güvenilir bir kaynaktan ödün veriyor.” Geçen yıl Çinli bir siber casusluk grubunun yerel şirketlere ve devlet kurumlarına dijital sertifikalar sağlayan Vietnamlı bir sertifika yetkilisini tehlikeye atması üzerine benzer bir saldırının gerçekleştiğini belirtmekte de fayda var. Daha sonra bilgisayar korsanları, sertifikaları aynı şekilde yüklemek için uygulamaya kötü amaçlı yazılım enjekte etti.
Avast, MonPass’ın şimdiye kadar sunucusunu güvenli hale getirdiğini ve etkilenen istemcileri virüslü istemci uygulamasını indirip kullananları bilgilendirdiğini bildirdi.
Moğolistan’ın En Büyük Sertifika Yetkilisi Hacklendi!
Arka kapı (backdoor) Nedir?
Backdoor denilen zararlı yazılımlar genel itibariyle hackerlar için arka kapı oluşturmayı hedefleyen zararlı virüs türleridir. Antivirüs veya IS yazılımları tarafından genelde duruma göre kolayca tespit edilebilmektedirler.
Genel itibariyle sistemlerdeki güvenlik açıklarından yararlanırlar. Bulaştığı sistemde arka kapı açar ve korsan ile kurban sistem arasında soket bağlantısı kurar. Bu süreçte sistemden veri çalınabilir ve sistem ayarlarıyla oynanabilir. Bu virüsler trojanlara kıyasla daha çok sinsidirler. Amaçları sistemi yetkisiz erişim için açık hale getirmektir. Ama trojanlar ile de benzer özellik gösterirler.
