HAFNİYUM

HAFNIUM, Microsoft tarafından Çin'de bulunduğuna inanılan ve Çin hükümeti tarafından desteklenen yeni bir hacker grubuna verilen isimdir. HAFNIUM bilgisayar korsanları, kötü niyetli operasyonlarında yüksek düzeyde yeterlilik ve gelişmişlik gösterirler. Bu tehdit aktörünün birincil amacı, ABD'deki kuruluşlardan hassas verilerin sızdırılması olmuştur. Hedeflenen kurbanlar birden fazla endüstri sektörüne yayılmıştır ve hukuk firmaları, eğitim kurumları ve hastalık araştırmacılarından savunma müteahhitleri ve STK'lara (Sivil Toplum Kuruluşları) kadar çeşitlilik göstermektedir. Çin merkezli olmasına rağmen, HAFNIUM, kötü niyetli operasyonlarının bir parçası olarak ABD'de kiralık VPS'yi (Sanal Özel Sunucular) bünyesine kattı.

Microsoft'taki siber güvenlik analistleri, tehdit aktörü tarafından yürütülen en son saldırı kampanyasının ardından bulgularını halka açmaya karar vermeden önce bir süredir HAFNIUM'un faaliyetlerini izliyorlardı. HAFNIUM, şirket içi Exchange Server yazılımını etkileyen dört sıfır gün güvenlik açığından yararlandı. Keşfedilen güvenlik açıkları CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065 olarak izlendi ve o kadar ciddi bir güvenlik açığını temsil etti ki, Microsoft bu sorunu ele alan birkaç acil güncelleme yayınladı.

Bu HAFNIUM operasyonunun saldırı zinciri üç adımdan oluşmaktadır. İlk olarak, bilgisayar korsanları ya dört sıfır gün istismarı yoluyla ya da çalınan kimlik bilgilerine erişim sağlayarak hedefi ihlal eder. İçeri girdiklerinde, güvenliği ihlal edilmiş sunucu üzerinde uzaktan kontrole izin veren bir web kabuğu oluştururlar. Son adımda, tehdit aktörü e-posta hesaplarına erişecek ve kurban kuruluş ve kullanıcıları hakkında çeşitli bilgileri içeren Exchange çevrimdışı adres defterini indirecektir. Seçilen veriler .7z ve .ZIP gibi arşiv dosyalarında toplanacak ve daha sonra dışarı aktarılacaktır. Geçmiş kampanyalarda HAFNIUM, kurbanlarından toplanan bilgileri sıklıkla MEGA gibi üçüncü taraf veri paylaşım web sitelerine yükledi.
Web kabuğu ayrıca, muhtemelen kurbanın sistemine uzun süreli erişim sağlamak için, ihlal edilen sunucuya ek kötü amaçlı yazılım yüklerinin depolanmasına izin verir.

Şirket içi Exchange Server kullanan müşterilerin, Microsoft tarafından yayınlanan güvenlik güncellemelerini yüklemeleri ve çok sayıda IoC'nin (Tehlike Göstergeleri) ayrıntılı olarak açıklandığı şirketin güvenlik blogunu incelemeleri şiddetle tavsiye edilir.

HAFNIUM saldırısıyla ilgili bilgilerin halka açık hale gelmesiyle, diğer hacker gruplarının kendi operasyonlarında aynı dört sıfır gün güvenlik açığını kötüye kullanmaya başlaması uzun sürmedi. Açıkların ortaya çıkmasından sadece dokuz gün sonra Microsoft, bir tehdit aktörünün DearCry adlı yeni bir fidye yazılımı türünü yaymaya başladığını ve siber suçluların altyapılarını yeni keşfedilen güvenlik zayıflıklarını içerecek şekilde ayarlamada ne kadar hızlı hale geldiğini gösterdi.