Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Güney Kore Ulusal İstihbarat Servisi ile ortak bir danışma belgesinde, Kuzey Kore destekli tehdit aktörlerinin küresel bazda kuruluşlara saldırmak için yazılım tedarik zincirlerini giderek daha fazla hedef aldığını ve bu konuda çok daha ustalaştığını belirtti. (NIS).
Bu, NCSC’nin, ortağı Five Eyes siber ajanslarından birinin katılımı olmadan ilk kez ortak bir tavsiye kararı yayınlaması ve Güney Kore’nin bölgesel jeopolitiğe derin katılımını ve teknik olarak birlikte kaldığı münzevi kuzey komşusuna yönelik benzersiz bakış açısını yansıtıyor. 70 yıl sonra savaşta
Bültende, NCSC ve NIS, Kuzey Koreli gelişmiş kalıcı tehdit (APT) aktörlerinin (en tanınmışları Lazarus gibi) artık erişim elde etmek için üçüncü taraf yazılımlarındaki daha fazla sıfır gün güvenlik açıklarından ve istismarlarından nasıl yararlandığını anlatıyor. tedarikçileri aracılığıyla belirli hedeflere veya ayrım gözetmeyen kuruluşlara.
Ajanslar, bu saldırıların genel olarak Kuzey Kore’nin daha geniş öncelikleriyle, yani sürekli nakit sıkıntısı çeken, izole edilmiş rejim için gelir yaratma ve fikri mülkiyet hırsızlığı (IP) ile uyumlu ve önemli ölçüde yardımcı olduğuna inanıyor. ve Pyongyang’ın erişiminin yasal yollarla engellendiği teknoloji.
NCSC operasyon direktörü Paul Chichester, “Giderek dijitalleşen ve birbirine bağlanan bir dünyada, yazılım tedarik zinciri saldırıları, etkilenen kuruluşlar için derin ve geniş kapsamlı sonuçlar doğurabilir” dedi.
“Bugün, Kore Cumhuriyeti’ndeki ortaklarımızla birlikte, Kuzey Kore devletiyle bağlantılı siber aktörlerin giderek daha karmaşık bir şekilde bu tür saldırılar gerçekleştirmesinden kaynaklanan artan tehdit konusunda bir uyarı yayınladık. Kuruluşları, tedarik zinciri saldırılarına karşı dayanıklılıklarını artırmak ve uzlaşma riskini azaltmak için tavsiye niteliğindeki azaltıcı eylemleri takip etmeye şiddetle teşvik ediyoruz.”
Mart 2023 tarihli bir olayda Lazarus korsanı, Güney Kore merkezli DreamSecurity tarafından geliştirilen MagicLine4NX kimlik doğrulama uygulamasındaki güvenlik açıklarını kullandı. Çete ilk olarak bir medya kuruluşunun web sitesini ele geçirdi ve yayınlanmış bir makaleye kötü amaçlı komut dosyaları yerleştirerek sözde bir sulama deliği oluşturdular. Bu komutlar, birisi MagicLine4NX’in savunmasız bir sürümünü çalıştıran bir bilgisayar kullanarak makaleyi çevrimiçi açıp okuduğunda çalışıyordu.
Virüs bulaşan makineler daha sonra Lazarus’un komuta ve kontrol (C2) sistemlerine bağlandı ve bu sistemler bilgisayarı ele geçirdi; bunun ardından çete internet tarafındaki bir sunucuya, ağa bağlı bir sisteme sıfır gün erişim sağladı ve bilgisayarın veri senkronizasyonu işlevinden yararlandı. Bu sistemin iş tarafındaki sunucuya kötü amaçlı kod yayması ve kurbanların verilerini sızdırması amaçlanıyor.
Yine bu yılın Mart ayında, Lazarus’la bağlantılı Kuzey Koreli tehdit aktörleri, bir birleşik iletişim (UC) platformu olan 3CX’in müşterilerini etkileyen dünyanın ilk çifte tedarik zinciri saldırısı olduğu düşünülen saldırının arkasındaydı.
Bu uzlaşmanın, 3CX’teki bir kişinin muhtemelen izinsiz olarak sistemlerine indirdiği, durdurulan bir vadeli işlem ticaret platformu için kötü amaçlı yazılım içeren bir yükleyiciden kaynaklandığı tespit edildi; 3CX’in platformun geliştiricisi Trading Technologies ile hiçbir iş ilişkisi yoktur.
Bu, Lazarus’un 3CX’in oluşturma süreçlerine erişim kazanmasının ardından 3CX’in hem macOS hem de Windows sistemleri için masaüstü uygulamasının tehlikeye girmesiyle sonuçlandı.
Windows saldırı akışında gözlemlenen ileri aşama, temel sistem verilerini, kurban 3CX hesap bilgilerini ve varsa Brave, Chrome, Edge veya Firefox’taki tarama geçmişlerini sızdıran bir tarayıcı hırsızının konuşlandırılmasıydı. Smooth Operator adlı kötü amaçlı yazılımı kullanan macOS saldırı akışı, ele geçirilen makinedeki bir yapılandırma dosyasından 3CX hesap bilgilerinin alındığını gördü.
NCSC ve NIS, Lazarus ve benzerlerini caydırmak için son kullanıcı güvenlik ekiplerine tedarik zinciri yaşam döngüsüyle ilgili bir dizi hafifletici önlem ve yönetim ve teknik güvenlik önlemlerini uygulamaları konusunda tavsiyelerde bulunuyor.
Bu önlemler şunları içerir:
- Tedarik zinciri saldırılarına ilişkin şirket içi farkındalığın arttırılması ve çalışanların bunları anlamasını teşvik etmek;
- Çalışanların potansiyel sorunları tespit etmelerine yardımcı olmak için düzenli eğitim sağlamak;
- Kör noktaları ortadan kaldırmak için kuruluşun tedarik zincirine yönelik tehditleri denetlemek ve belirlemek, öncelikleri belirlemek ve kötü niyetli faaliyetler meydana geldiğinde etkileri değerlendirmek;
- Kritik verilere erişim noktalarını kontrol etmek ve bunlara kimin erişme yetkisine sahip olduğunu (çalışanlar mı yoksa tedarikçiler mi) değerlendirmek; uygun olan yerlerde en az ayrıcalık ilkelerini uygulamak;
- Antivirüs ürünleri de dahil olmak üzere tüm yazılımların güncel ve yamalı tutulması;
- Yönetici ve operasyon oturum açma işlemleri için zorunlu iki faktörlü kimlik doğrulamanın benimsenmesi ve uygulanması;
- Anormal herhangi bir şeyi tespit etmek amacıyla tedarik zinciri yazılım uygulamalarından gelen güvenilir trafiğin nasıl göründüğünü belirlemek için ağ altyapısının izlenmesi.
Ayrıca NCSC’den, ABD hükümet organları da dahil olmak üzere ortak kuruluşlardan ve NIST gibi standart kuruluşlarından temin edilebilecek bir dizi başka kaynak da bulunmaktadır.