Kripto Para Dolandırıcılığı, Siber Suçlar, Uç Nokta Güvenliği
Alert, Tedarik Zinciri Saldırıları: Bilgisayar Korsanlarının Yaygın Olarak Kullanılan Yazılımlarda Sıfır Günleri Hedef Aldığını Uyardı
Akşaya Asokan (asokan_akshaya) •
23 Kasım 2023
İngiliz ve Güney Koreli siber ajanslar Perşembe günü yaptıkları bir uyarıda, Kuzey Kore devletine bağlı bilgisayar korsanlarının casusluk ve finansal hırsızlık amacıyla küresel tedarik zinciri saldırı kampanyalarının bir parçası olarak popüler yazılım uygulamalarında sıfır günleri istismar etmeye devam ettiği konusunda uyardı.
Ayrıca bakınız: Daha Derine İnmek: 2023 Fraud Insights İkinci Baskı
İngiltere’nin Ulusal Siber Güvenlik Merkezi ve Güney Kore’nin Ulusal İstihbarat Servisi ortak bir uyarıda, Pyongyang’a bağlı bilgisayar korsanlarının üçüncü taraf yazılım uygulamalarındaki ve tedarik zincirlerindeki güvenlik açıklarından yararlanarak kurbanları hedef aldığı konusunda uyardı.
Yetkililer, bu kampanyaların Kuzey Kore rejiminin “gelir yaratma, casusluk ve ileri teknolojilerin çalınması” önceliklerini daha da ileriye taşıdığını söyledi.
NCSC’nin operasyon direktörü Paul Chichester, “Giderek dijitalleşen ve birbirine bağlanan bir dünyada, yazılım tedarik zinciri saldırıları, etkilenen kuruluşlar için derin ve geniş kapsamlı sonuçlar doğurabilir” dedi.
Raporda, bu kampanyalara bağlı herhangi bir gelişmiş kalıcı grubun adı belirtilmese de, bu büyük ölçekli tedarik zinciri saldırılarına örnek olarak finansal ticaret yazılımı geliştiricisi 3CX’e yönelik son saldırıdan bahsediliyor. Müşterileri arasında Toyota, Coca-Cola ve Air France’ın da bulunduğu Kıbrıs merkezli yazılım satıcısı, Mart ayı sonlarında bilgisayar korsanlarının Windows ve macOS kaynak koduna sızdığını bildirdi.
Kampanyayı analiz eden bir sonraki raporda, güvenlik firması SentinelOne, saldırganların SmoothOperator adı verilen bilgi çalan kötü amaçlı yazılımı dağıtmadan önce 3CX ağında bir yıl boyunca keşif yaptığını söyledi (bkz: 3CX Masaüstü İstemcisi Tedarik Zinciri Saldırısı Altında).
Google Cloud’un bir parçası olan olay müdahale grubu Mandiant, 3CX kampanyasını UNC4736 olarak izlediği Kuzey Koreli bir gruba bağlarken tehdit istihbarat firması CrowdStrike, grubu “Labyrinth Chollima” kod adını kullanarak izliyor ve daha genel olarak Lazarus Grubu olarak bilindiğini söylüyor.
Lazarus, Kuzey Kore’nin devlet destekli en üretken bilgisayar korsanlığı ekiplerinden biri ve düzenli olarak ülkenin nükleer silahlarını ve füze programlarını finanse etmek için tasarlanan saldırılarla ilişkilendiriliyor. Uzmanlar, yalnızca 2022’de Pyongyang bağlantılı bilgisayar korsanlarının çeşitli bilgisayar korsanlığı kampanyaları yoluyla en az 1,7 milyar dolar değerinde dijital varlık çaldığını söyledi (bkz: Kuzey Kore Kripto Para Hackinginin Banner Yılı).
Hedef: MagicLine4NX Kusuru
Ortak raporda belirtilen Kuzey Kore tedarik zinciri saldırısının bir başka örneği, kimliği belirsiz bir Güney Kore medya kuruluşunu içeriyordu. Uyarıya göre, Mart ayında bilgisayar korsanları medya kuruluşunun web sitesine başarıyla sızdı ve haber makalesi görünümünde kötü amaçlı bir komut dosyası yerleştirdi. Kullanıcılar makaleyi görüntülediğinde, komut dosyası, eğer sisteme yüklenmişse, MagicLine4NX güvenlik kimlik doğrulama programındaki bir güvenlik açığından yararlanarak bilgisayarın güvenliğini ihlal etti ve onu bir botnet komut ve kontrol ağı kullanarak uzaktan kontrol etti.
Saldırganlar, ek kötü amaçlı yazılım yüklemek ve verilere sızmak için erişimlerini kullandı. Yetkililer, uyarıya göre, kurban organizasyonun harici komuta ve kontrol sunucusuyla iletişim kuran dahili uç noktaları keşfetmesi nedeniyle saldırının keşfedildiğini ve kısmen köreltildiğini söyledi. Rapor, bu saldırıyı herhangi bir Kuzey Koreli bilgisayar korsanlığı ekibiyle ilişkilendirmiyor.
Uzmanlar, ülkedeki APT gruplarının düzenli olarak taktik ve tekniklerini geliştirdiklerini, bunun da tedarik zinciri saldırılarıyla birleştiğinde onları özellikle zorlu hale getirdiğini söylüyor. Ortak uyarıda, “Aktörler meşru yazılım ve donanım kullandığından bu saldırıları tespit etmek zor olabilir” uyarısı yapılıyor. “Tehdit düzeyinin artması muhtemel olduğundan, kuruluşlar, ürünlerin güvenliğini güvenli bir şekilde yönetmek ve saldırılara karşı dayanıklılık oluşturmak için ilgili güvenlik önlemlerini oluşturmalı ve uygulamaya koymalıdır.”
Kurumların önerdiği savunmalar arasında şunlar yer alıyor: Tedarik zinciri siber güvenlik farkındalığı ve eğitiminin yürütülmesi, en büyük risklere yönelik azaltım önlemlerinin belirlenmesi ve tasarlanması, en son güvenlik güncellemelerinin hızlı bir şekilde yüklenmesi, ağ trafiğinin şüpheli faaliyetler açısından izlenmesi ve yetkisiz kullanıcıların oturum açmasını engellemek için iki faktörlü kimlik doğrulamanın kullanılması geçerli erişim kimlik bilgilerine sahip olsalar bile.