Aylardır Çinli siber suçlular, Pekin'in emriyle büyük ölçekli casusluk operasyonları gerçekleştirmek için Dell yazılımındaki kritik bir kusurdan yararlanıyor. Mandiant ve Google Tehdit İstihbarat Grubu tarafından tespit edilen siber saldırı, 18 ay boyunca fark edilmedi…
20 Şubat 2026'da güncellendi
Mandiant ve Google'ın keşfedilmesinden kısa bir süre sonra, ABD'nin ulusal siber güvenlikten sorumlu federal kurumu olan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), sivil federal kurumlardan Dell ihlalini üç gün içinde düzeltmelerini istedi. Çinli bilgisayar korsanlarının sistemlerine sızmasını önlemek için 21 Şubat 2026'dan önce tüm kurumların ihlali kapatmış olması gerekiyor. Acenteler davet ediliyor “tedarikçinin talimatlarına uygun olarak azaltıcı önlemleri uygulayın.”
Ajans açıkça uyarıyor: “Bu tür güvenlik açıkları siber suçlular için yaygın saldırı vektörleridir ve federal hükümet için önemli riskler teşkil etmektedir.” Bu, CISA'nın bu kadar kısa bir süre sınırlaması getirdiği ilk sefer değil. Önceki hafta, kritik olduğu düşünülen bir kusuru düzeltmeleri için ajanslara zaten 3 gün vermişti.
2024'ün ortasından bu yana Çinli bilgisayar korsanları, Dell yazılımında tanımlanan bir güvenlik açığı Siber saldırıları düzenlemek için. Kampanya yakın zamanda Mandiant ve Google Tehdit İstihbarat Grubu'ndan (GTIG) güvenlik araştırmacıları tarafından ortaya çıkarıldı. Uzmanlara göre hackerlar Çin tarafından görevlendiriliyor.
Ayrıca okuyun: Çin siber saldırıları ve Gemini – Google “sert bir darbe” bekliyor
Dell yazılımında kritik bir kusur
UNC6201 kod adı altında bilinen siber suçlular, Pekin'den gelen emir üzerine, Sanal Makineler için Dell RecoverPoint'teki bir kusurdan yararlanıyor. yedekleme ve kurtarma yazılımı VMware sanal makineleri için özel olay müdahalesi. Operasyon esas olarak bir şirketteki VMware sanal makinelerinin yedeklerini yöneten özel sunucuları hedef alıyor.
Dell'in web sitesinde belirttiği gibi, kritik olduğu düşünülen kusur bir “sabit kodlanmış kimlik bilgisi güvenlik açığı”. Somut olarak, uzak bir bilgisayar korsanı, kimlik doğrulamayı atlamak için yazılıma önceden yüklenmiş bir parolayı kullanabilir. Bu aslında RecoverPoint yazılımı tarafından kullanılan Apache Tomcat bileşeni içinde önceden yapılandırılmış bir yönetici şifresidir.
Saldırgan bu şifreyi kullanarak tam kontrolü ele al Dell makinesinin ve işletim sistemi üzerinde mümkün olan en yüksek haklara sahip olarak kalıcı olarak orada kalması. Şaşırtıcı olmayan bir şekilde, “Dell, müşterilerin sistemlerini yükseltmelerini veya mümkün olan en kısa sürede düzeltici çözümlerden birini uygulamalarını öneriyor”.
Ayrıca okuyun: ABD'yi uyardı: Çin'deki siber saldırılar “onlarca ülkeyi” etkiliyor
Bir arka kapı
Sisteme sızmak için bu güvenlik açığından yararlanan Çinli bilgisayar korsanları, Brickstorm arka kapısı gibi çeşitli kötü amaçlı yazılımlar dağıtıyor. 2024 baharı ile 2025 baharı arasında grup yavaş yavaş Brickstorm'dan daha yeni ve sofistike bir arka kapı dahaGrimbolt. Bu virüs, güvenlik çözümlerinin radarının altında uçacak şekilde programlanmıştır. Bilgisayar korsanları daha sonra VMware ortamları aracılığıyla altyapıya geçecek. Bilgisayar korsanlarının amacı açıkça saldırıya uğrayan şirketler hakkında hassas bilgiler toplamaktır.
Dell yamayı yalnızca Şubat 2026'da kullanıma sundu. Bu nedenle güvenlik açığı en az 18 ay süreyle ameliyat edildi Araştırmacılar bunu ortaya çıkarmadan önce. GTIG ve Mandiant ekipleri, grubun 400 günden fazla bir süre belirli iş ağlarında gizli kalabildiğini belirtiyor. Dell'in araştırmalarına göre kusur kullanılarak bir düzineden az kuruluşun güvenliği ihlal edildi. Çetenin muhtemelen hala savunmasız olan makinelerde aktif olmaya devam edeceğini unutmayın. Bu nedenle Dell tarafından etkilenen cihazlara dağıtılan güncellemelerin yüklenmesi önemlidir.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın