Uç Nokta Güvenliği
Hedeflenenler Arasında Cyberhaven’ın Veri Kaybını Önleyen Chrome Uzantısının Kullanıcıları
Mathew J. Schwartz (euroinfosec) •
30 Aralık 2024
Chrome tarayıcı uzantıları, siber güvenliğin hiçbir zaman bir son durum değil, bir süreç olduğunu hatırlatarak, kendilerini kullanıcıların aleyhine çeviren bilgisayar korsanları için bir mıknatıs görevi görüyor.
Ayrıca bakınız: Gartner Raporu | SD-WAN için Magic Quadrant
Bu uzantılardan biri, kurumsal verileri kazara açığa çıkma da dahil olmak üzere içeriden gelen tehditlere karşı korumak için tasarlanmış, adını taşıyan bir Chrome tarayıcı uzantısı sunan siber güvenlik girişimi Cyberhaven tarafından oluşturuldu.
Eski Nutanix ve Palo Alto Networks yöneticisi Howard Ting liderliğindeki San Jose, Kaliforniya merkezli girişim, perşembe günü müşterilerini, saldırganların Chrome tarayıcı uzantısının kullanıcılarından veri sızdırmış olabileceği konusunda doğrudan uyardı (bkz: Cyberhaven, Veri Güvenliği Platformunu Güçlendirmek İçin 88 Milyon Dolar Sağladı).
Cyberhaven müşterilere “saldırganın bu saldırıda elde ettiği erişimi, 25 Aralık sabahı erken saatlerde Chrome Web Mağazası’nda kötü amaçlı bir Chrome uzantısı (sürüm 24.10.4) yayınlamak için kullandığını” söyledi.
Saldırı “yalnızca Google Chrome Web Mağazası aracılığıyla güncellenen Chrome tabanlı tarayıcıları çalıştıran makineleri etkiledi” ve güvenlik açığı bulunan uzantıyı kullanan herhangi bir sistemden bilgiler çalınmış olabilir, ancak yalnızca makinelerin “01:32 UTC arasında çevrimiçi olması durumunda” 25 Aralık’ta ve 26 Aralık’ta saat 02:50 UTC’de” dedi.
Cyberhaven CEO’su Howard Ting, Cuma günü yaptığı açıklamada, şirketinin saldırıyı ilk olarak Çarşamba günü 23:54 UTC’de tespit ettiğini ve “kötü amaçlı paketi tespit edildikten sonraki 60 dakika içinde kaldırdığını” ve ardından güvenli olan 24.10.5 sürümünü yayınladığını söyledi. Uzantının kullanıcılarına yönelik saldırının, en azından kısmen Facebook Ads hesaplarını hedeflemek ve Facebook erişim jetonlarını çalmak için tasarlanmış gibi göründüğünü söyledi.
Şirket, olayı araştırması için üçüncü taraf olay müdahale firması Mandiant’ı işe aldı ve aynı zamanda bilgileri federal kolluk kuvvetleriyle de paylaşacağını söyledi.
Daha Geniş Kampanya
Nudge Security’nin kurucu ortağı ve CTO’su deneyimli siber güvenlik araştırmacısı Jaime Blasco, saldırıların daha büyük, muhtemelen uzun süredir devam eden ve fırsatçı bir kampanyanın parçası gibi göründüğünü söyledi.
Blasco, bir LinkedIn gönderisinde aynı saldırganların Internxt VPN, VPNCity, Uvoice ve ParrotTalks dahil olmak üzere bir dizi başka Chrome uzantısını da tehlikeye attığını doğruladığını söyledi.
“Onları çevrenizde aramanızı tavsiye ederim” dedi. Saldırganın komuta ve kontrol sunucusunun URL’si olan “149.28.124.84’e giden trafiği de arayın”.
Blasco, güvenliği ihlal edilen uzantıların, aynı IP adresine çözümlenen çeşitli alan adlarıyla bağlantı kurduğunu ve bunların hepsinin aynı anda olduğunu söyledi. Bu alan adlarından bazıları şunlardır: bookmarkfc.info, cyberhavenext.pro, parrottalks.info, uvoice.live Ve vpncity.livehedeflenen uzantıları taklit ediyor.
DNS yönlendirme yoluyla bu IP adresine çözümlenen diğer alan adları şunları içerir: castorus.info, censortracker.pro, ext.linewizeconnect.com, iobit.pro, moonsift.store, readermodeext.info, wayinai.live, yescaptcha.pro Ve yujaverity.info. Blasco, bu yılın başlarında başlayan bir saldırı kampanyasında bu isimlere sahip uzantıların hedef alınabileceğini söyledi.
Blasco, TechCrunch’a “Görünüşe göre Cyberhaven’ı hedef almıyor, fırsatçı bir şekilde uzantı geliştiricilerini hedef alıyor.” dedi. “Geliştiricilerin sahip oldukları kimlik bilgilerine dayanarak yapabilecekleri uzantıların peşine düştüklerini düşünüyorum.”
Blasco’nun bulgularına yanıt veren diğer araştırmacılar, Bookmark Favicon Changer da dahil olmak üzere saldırganlar tarafından kullanılan IP adresiyle iletişim kurmalarına dayanarak başka Chrome uzantılarının da bozulduğunu tespit ettiklerini bildirdi.
Cyberhaven dışında diğer altüst olmuş uzantılardan hangilerinin düzeltildiği belli değil.
Kimlik Avı Saldırısı Hedefli Geliştirici
Cyberhaven, güvenlik ihlali göstergelerini içeren daha ayrıntılı bir ön olay raporunda, saldırının, bir kimlik avı e-postası alan Chrome Uzantısı geliştiricilerinden birinin (kamuya açık bir destek iletişim noktası olarak listelenen) izini sürdüğünü söyledi.
Şirket, “Çalışan e-postayı tıkladığında, ‘Gizlilik Politikası Uzantısı’ adı verilen kötü amaçlı bir OAUTH Google uygulamasını eklemek için standart Google yetkilendirme akışına yönlendirildi” dedi.
“Bu yetkilendirme sayfası Google.com’da barındırılıyor ve üçüncü taraf Google uygulamalarına erişim izni vermek için standart yetkilendirme akışının bir parçası” dedi. “Çalışan standart akışı izledi ve istemeden bu kötü amaçlı üçüncü taraf uygulamaya izin verdi. Çalışanın Google Gelişmiş Koruması etkindi ve hesabı MFA’yı kapsıyordu. Çalışan bir MFA istemi almadı. Çalışanın Google kimlik bilgileri tehlikeye girmedi.”
Geliştirici, kötü amaçlı Gizlilik Politikası Uzantısına yanlışlıkla izin vererek, saldırganın şirket uzantısının değiştirilmiş bir sürümünü yüklemesine ve bunu Chrome web mağazasındaki meşru uzantının yerine kullanmasına olanak sağladı.
Cyberhaven, “Bu kötü amaçlı uzantı (24.10.4) aslında resmi Cyberhaven Chrome uzantısının temiz bir önceki sürümüne dayanıyordu” dedi. “Saldırgan temiz uzantının bir kopyasını oluşturdu ve yeni bir kötü amaçlı uzantı oluşturmak için bazı kötü amaçlı kodlar ekledi.” Eklenen bu kötü amaçlı bileşenler, uzantının bir komuta ve kontrol sunucusuyla iletişim kurmasının yanı sıra verileri toplayıp sızdırmasına da olanak sağladı.
Şirket, saldırganın diğer Cyberhaven hesaplarından herhangi birini tehlikeye atmadığını, herhangi bir kod imzalama anahtarını çalmadığını veya sürekli entegrasyon ve sürekli dağıtım ortamına erişim sağlamadığını söyledi.
Cyberhaven, müşterilerin, eğer varsa, belirli veri saldırganlarının sızdırmış olabileceğini belirlemelerine yardımcı olacak araçlar hazırladığını söyledi.