XZ siber olayı, karmaşık sosyal mühendislik taktiklerinin ne kadar önemli güvenlik ihlallerine yol açabileceğinin ders kitaplarında yer alan bir örneğidir.
İki yıl boyunca popüler XZ Utils açık kaynak projesine karşı dikkatle planlanmış bir saldırı gerçekleştirildi.
Saldırganlar, planlarının kusursuz bir şekilde uygulanmasını sağlamak için büyük çaba harcadılar ve sonuçta 2024’ün başlarında bir arka kapının başarılı bir şekilde yerleştirilmesiyle sonuçlandı. Bu ihlalin, sayısız proje kullanıcısını etkileyen geniş kapsamlı sonuçları oldu.
Sahte kimlikler kullandıklarına inanılan saldırganlar, XZ Utils projesi için uzun vadeli bir sızma stratejisi üzerinde çalıştı.
Bu operasyonun ana figürlerinden biri, saldırının gerçekleştirilmesinde önemli bir rol oynayan, muhtemelen takma adlı bir varlık olan Jia Cheong Tan’dı (JiaT75).
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Kaspersky yakın zamanda sosyal mühendislik teknikleriyle gerçekleştirilen bir olayın derinlemesine bir analizini yayınladı.
Rapor, olayla ilgili kapsamlı ayrıntılar ve bilgiler sunarak bir saldırı vektörü olarak sosyal mühendisliğin inceliklerine ve nüanslarına ışık tutuyor.
Bu olayın sosyal mühendislik yönü yalnızca ayrıntılı olmakla kalmadı, aynı zamanda açık kaynak projelerinin güvene dayalı modelindeki önemli bir güvenlik açığını da vurguladı.
Saldırının ilk aşaması, projeye iyi niyetli katkılar içeriyordu ve bu iki amaca hizmet ediyordu: Saldırganların kötü niyetlerini maskelemek ve topluluk içinde güvenilir geliştiriciler olarak itibar oluşturmak.
Saldırı Zaman Çizelgesi
Huntress’ten güvenlik araştırmacısı Alden, Jai Tan’ın bir süredir taahhüt geçmişini analiz ediyor.
Olay örgüsü, suç işleme kümesinin olağandışı zamanlarda gerçekleştiğini gösteriyor.
- 23-26 Şubat ve 8-9 Mart 2024 tarihleri arasında JiaT75, önceki çalışma süreleriyle ilgisi olmayan kötü amaçlı kod yükledi.
- İkinci bir tarafın kötü amaçlı kodu eklemek için JiaT75 hesabını kullandığından şüpheleniliyor ancak katkıda bulunan kişinin bunun farkında olup olmadığı belli değil.
- JiaT75 hesabının arkasındaki bireysel katkıda bulunan kişi, kötü amaçlı arka kapı kodunu hızlı bir şekilde işlemek için baskı altında olabilir.
- JiaT75 hesabını bir ekip yönetiyordu ve bir bölümün normal saatlerin ötesinde kesintisiz çalışması gerekiyordu.
Bu katkılar devam ettikçe, saldırganlar topluluğun kilit üyeleriyle stratejik sosyal etkileşimlere girerek yavaş yavaş kendilerini topluluğa kabul ettirdiler.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Saldırganlar, açık kaynak topluluğunun karşılıklı güvene ve işbirlikçi gelişime olan güveninden yararlanarak kendilerini XZ Utils projesinin tamamlayıcı katılımcıları olarak konumlandırdılar.
Zamanla, projeyi geliştirme bahanesiyle ek bakımcı rollerini savunarak proje içindeki rollerini genişlettiler.
Bu stratejik yerleşim, planlarının bir sonraki aşamasına zemin hazırlayarak projenin kod tabanına sınırsız erişime olanak tanıdı.
Saldırganlar, 2024’ün başlarında XZ Utils oluşturma sürecine kötü amaçlı kod yerleştirerek stratejilerinin son aşamasını gerçekleştirdi.
Bu kod, birçok Linux dağıtımının kritik bir bileşeni olan sshd’de özel kullanımlı bir arka kapı uygulamak için tasarlanmıştır.
Arka kapı kodu, dünya çapında milyonlarca sistemi tehlikeye atmayı amaçlayan büyük ölçekli bir tedarik zinciri saldırısının parçası olarak büyük Linux dağıtımlarına gönderildi.
Kötü amaçlı kodun, derleme sürecinden açıkça yararlanarak yerleştirme konusundaki inceliği, saldırganların teknik zekasının ve açık kaynak geliştirme ekosistemine ilişkin derin anlayışlarının bir kanıtıydı.
Uygulanan sosyal mühendislik taktikleri sadece bireyleri kandırmaktan ibaret değildi; açık kaynak projelerinin temelini oluşturan topluluk güveni ve işbirliği dinamiklerinden yararlanmaya yönelikti.
Microsoft’ta çalışan bir geliştirici olan Andres Freund’un dikkati sayesinde bu arka kapı keşfedildi ve yakın tarihteki en önemli güvenlik ihlallerinden biri olabilecek bir durum önlendi.
Freund’un soruşturması, SSH arka plan programında olağandışı bir aktivite fark etmesiyle başladı ve bu, XZ Utils’in içine yerleştirilmiş arka kapıyı ortaya çıkarmasına yol açtı.
Siber güvenlik topluluğu XZ olayını analiz etmeye ve bundan ders almaya devam ettikçe, siber tehditlere karşı mücadelenin sadece teknolojik savunmalarla ilgili olmadığı, aynı zamanda güvenliğin en zayıf halkası olabilecek insani ve sosyal faktörleri anlamak ve azaltmakla da ilgili olduğu açıktır.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo