Küba, güvenlik tarama araçlarını devre dışı bırakma ve ayarları değiştirme çabalarının bir parçası olarak bir hedefin sistemlerini ele geçirdikten sonra bu kriptografik olarak imzalanmış “sürücüleri” kullandı. Faaliyetin radarın altından uçması gerekiyordu, ancak güvenlik firması Sophos’un izleme araçları tarafından işaretlendi. Palo Alto Networks Unit 42’den araştırmacılar, daha önce Küba’nın, bu yılın başlarında Lapsus$ hack grubu tarafından sızdırılan, NVIDIA sertifikasına sahip “çekirdek sürücüsü” olarak bilinen ayrıcalıklı bir yazılım parçasını imzaladığını gözlemlemişti. Ayrıca Sophos, grubun bu stratejiyi güvenlik firması Mandiant’ın Zhuhai Liancheng Technology Co.
Şirket bugün bir güvenlik danışma belgesinde, “Microsoft’a kısa bir süre önce Microsoft’un Windows Donanım Geliştirici Programı tarafından onaylanan sürücülerin istismar sonrası faaliyetlerde kötü amaçlarla kullanıldığı bilgisi verildi.” “Microsoft İş Ortağı Merkezi için birkaç geliştirici hesabı, bir Microsoft imzası elde etmek için kötü amaçlı sürücüler göndermekle meşguldü… İmzalı kötü amaçlı sürücüler, muhtemelen fidye yazılımı dağıtımı gibi istismar sonrası izinsiz giriş faaliyetlerini kolaylaştırmak için kullanıldı.”
Sophos, Microsoft’a 19 Ekim’de Mandiant ve güvenlik firması SentinelOne ile birlikte etkinlik hakkında bilgi verdi. Microsoft, kötüye kullanılan İş Ortağı Merkezi hesaplarını askıya aldığını, sahte sertifikaları iptal ettiğini ve durumla ilgili Windows için güvenlik güncellemeleri yayınladığını söylüyor. Şirket, sistemlerinde ortak hesabın kötüye kullanılması dışında herhangi bir tehlike tespit etmediğini ekliyor.
Microsoft, WIRED’in danışma belgesinin ötesinde yorum yapma talebini reddetti.
Sophos tehdit araştırma müdürü Christopher Budd, “Büyük olasılıkla Küba fidye yazılımı grubunun üyeleri olan bu saldırganlar ne yaptıklarını biliyorlar ve ısrarlılar” diyor. “Toplam 10 kötü amaçlı sürücü bulduk. ilk keşfin tüm varyantları. Bu sürücüler, en azından geçtiğimiz Temmuz ayında başlayarak, güven zincirini yukarı taşımak için uyumlu bir çaba gösteriyor. Sıfırdan kötü amaçlı bir sürücü oluşturmak ve yasal bir otorite tarafından imzalanmasını sağlamak zordur. Ancak, inanılmaz derecede etkilidir, çünkü sürücü aslında herhangi bir işlemi sorgusuz sualsiz gerçekleştirebilir.”
Kriptografik yazılım imzalama, yazılımın güvenilir bir taraf veya “sertifika yetkilisi” tarafından incelenip onaylandığından emin olmayı amaçlayan önemli bir doğrulama mekanizmasıdır. Saldırganlar her zaman bu altyapıda, sertifikaları tehlikeye atabilecekleri veya kötü amaçlı yazılımlarını meşrulaştırmak için imzalama sürecini baltalayabilecekleri ve kötüye kullanabilecekleri zayıflıklar ararlar.
Şirket bugün yayınlanan bir raporda, “Mandiant daha önce, grupların kod imzalamak için ortak bir suç hizmetinden yararlandığından şüphelenilen senaryoları gözlemlemişti.” “Çalıntı veya hileli bir şekilde elde edilen kod imzalama sertifikalarının tehdit aktörleri tarafından kullanılması yaygın bir taktik olmuştur ve bu sertifikaların veya imzalama hizmetlerinin sağlanması, kayıt dışı ekonomide kazançlı bir niş olduğunu kanıtlamıştır.”
Bu ayın başlarında Google, Samsung ve LG de dahil olmak üzere Android cihaz üreticileri tarafından yönetilen bir dizi güvenliği ihlal edilmiş “platform sertifikasının” üçüncü taraf kanallar aracılığıyla dağıtılan kötü amaçlı Android uygulamalarını imzalamak için kullanıldığına dair bulgular yayınladı. Güvenliği ihlal edilmiş sertifikaların en azından bir kısmının Manuscrypt uzaktan erişim aracının bileşenlerini imzalamak için kullanıldığı görülüyor. FBI ve CISA daha önce, Manuscrypt kötü amaçlı yazılım ailesiyle ilişkili etkinliği, kripto para platformlarını ve borsalarını hedef alan Kuzey Kore devlet destekli bilgisayar korsanlarına bağlamıştı.
Sophos’tan Budd, “2022’de, fidye yazılımı saldırganlarının, çoğu olmasa da birçok büyük satıcının uç nokta algılama ve yanıt ürünlerini atlamaya giderek daha fazla teşebbüs ettiğini gördük” diyor. “Güvenlik topluluğunun, ek güvenlik önlemleri uygulayabilmesi için bu tehdidin farkında olması gerekiyor. Dahası, diğer saldırganların bu tür bir saldırıyı taklit etmeye çalıştığını görebiliriz.”
Ortalıkta dolaşan bu kadar çok güvenliği ihlal edilmiş sertifikayla, birçok saldırganın bu stratejiye geçişle ilgili notu çoktan almış olduğu görülüyor.