3. taraf risk yönetimi, siber suç, siber savaş / ulus-devlet saldırıları
Fidye Yazılımı Yüzükleri, Ulus Devlet Grupları tarafından Ateş Altında Yazılım Tedarik Zinciri Sağlayıcıları
Mathew J. Schwartz (Euroinfosec) •
10 Haziran 2025
Bilgisayar korsanları yazılım tedarik zinciri saldırılarında ikiye katlanıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Tehdit istihbarat şirketi Cyble, bu tür saldırıların Şubat’tan Eylül 2024’e kadar geçen yıl ortalama ayda yaklaşık 13 kez meydana geldiğini söyledi. Ekim ayından itibaren, Nisan ve Mayıs aylarında ayda yaklaşık 25 saldırıya ulaşmadan önce ayda yaklaşık 16’ya yükseldiklerini, bu yıla sabit kaldıklarını söyledi.
Firmanın araştırması kendi araştırmalarına ve açık kaynak zekasına dayanmaktadır, yani tam değildir; Birçok saldırı asla kamuya açık olarak bildirilmez. Yine de, seyahat yönü pozitif değildir.
Bu yılın ilk beş ayında Cyble, belgelediği 79 yazılım tedarik zinciri saldırısının yaklaşık üçte ikisinin doğrudan BT’yi, teknolojiyi veya telekomünikasyon firmalarını hedeflediğini söyledi. Bunlar “aşağı akış kullanıcılarından yararlanmayı ümit eden tehdit aktörleri için zengin potansiyel hedeflerdir.”
Ülke düzeyinde, 31 olay ABD’yi hedef aldı ve bunu Avrupa takip etti ve 27 olayla – 10’u Fransa’ya kadar izledi. Asya -Pasifik bölgesinde, 26 olay öncelikle Hindistan’ı vurdu – dokuz olayı oluşturuyor – bunu dört olayla Tayvan izledi. Her biri İsrail ve Birleşik Arap Emirlikleri’ni vurduğu Orta Doğu ve Afrika’yı hedef aldı.
Cyble tarafından izlenen 24 sektörden 22 tanesi – madencilik ve gayrimenkul hariç – en az bir yazılım tedarik zinciri saldırısı yaşadı.
Finansal olarak motive edilen tedarik zinciri hackleri için poster çocuk tehdit oyuncusu Rusça konuşan klop – aka CL0P. Cyble, “Bu alanlarda başarılı bir istismardan kaynaklanan hasar, yüzlerce CL0P fidye yazılımı kurbanında tek bir güvenlik açığından olduğu gibi yaygın olabilir.” Dedi.
Grup, yönetilen dosya transfer yazılımında daha önce bilinmeyen kusurları bulmaya ve kullanmaya devam etti, verileri çaldı ve fidye olarak tuttu. Grubun saldırıları, 2021’de Acccellion FTA kullanıcılarını, 2023’te Progress Software’in hareketini ve 2024’te Cleo Communications’ın Harmony, Vltrader ve Lexicom MFT yazılımını hedef aldı.
Diğer fidye yazılımı grupları, aşağı akış etkileri olabilecek yazılım ve hizmet sağlayıcılarına karşı saldırılar başlatmaya devam ediyor.
Sophos’taki yönetilen algılama ve müdahale ekibinden yakın tarihli bir uyarı, yönetilen bir servis sağlayıcısının uzak izleme ve yönetim aracı SimplyHelp’e erişim kazanan bir saldırgana kadar izlenen bir fidye yazılımı salgını detaylandırdı. Saldırgan daha sonra Dragonforce fidye yazılımı ile MSP’nin müşterileri arasındaki uç noktaları enfekte etmek için kullandı ve ayrıca verileri söndürdü ve klasik bir çift genişlemeli saldırıda fidye olarak tuttu.
Son yazılım tedarik zinciri olayları, Mart ayında Hellcat grubunun, sağlık ve işletmeler için İsviçre iletişim ve işbirliği çözümleri sağlayıcısı Ascom’dan 44 gigabayt çaldığını iddia etti. Hellcat, Nisan ayında yine Çin merkezli tüketici ve ticari LCD ekran teknolojisini üreten Çin’in CVTE’sinden 166 GB çaldığını iddia etti. Mayıs ayında Everest fidye yazılımı grubu, İsviçre’deki Cenevre tabanlı bankacılık yazılımı çözüm entegratörü ITS’lerinden 173 GB veri çaldığını iddia etti.
2020’de ortaya çıkan Solarwinds’in hacklenmesi saygın bir şekilde vurgulandıkça, ulus devlet saldırganları da yazılım tedarik zincirlerini hedefliyor.
Pazartesi günü genişletilmiş algılama ve yanıt yazılımı satıcısı Sentinelone, şüpheli Çinli saldırganların çalışanlarına donanım tedarik etmek için kullandığı bir BT hizmetlerine ve lojistik şirketine sızdığını keşfettiğini bildirdi. Sentinelone, saldırganların ağına nüfuz etmediklerini söylerken, olay, tipik olarak Pekin destekli hack gruplarına bağlı kötü amaçlı yazılım kullanımı da dahil olmak üzere bir ulus devlet saldırısının tüm ayırt edici özelliklerine sahipti (bakınız: Sentinelone, donanım tedarikçisi hacklendikten sonra hiçbir ihlal görmüyor).
Sentinelone, “Bu noktada, faillerin odağının yalnızca hedeflenen BT lojistik organizasyonu üzerinde olup olmadığı veya aşağı yönlü organizasyonlara erişimlerini de artırmayı amaçlayıp amaçlamadıkları belirsizliğini koruyor.” Dedi. Yine de, dava “, potansiyel olarak aşağı yönlü varlıkları tehlikeye atmak için stratejik dayanaklar kurmaya çalışan bir geçmişi olan şüpheli Çin tehdit aktörleri tarafından ortaya çıkan kalıcı tehdidin altını çiziyor.”
Diğer çalışmalar ayrıca yazılım tedarik zincirlerini hedefleyen hack saldırılarında bir artışa işaret etmektedir.
Verizon’un en son veri ihlali araştırmaları raporu, üçüncü tarafların artan bir risk faktörü olduğu konusunda uyardı. Raporda, “Geçen yıl yaklaşık% 15’ten analiz ettiğimiz tüm ihlallerin% 30’unda bir tür üçüncü taraf katılımını bulduk.” Verizon, kenar cihazlarına bağlı ihlallerde dalgalanma raporları).
Üçüncü taraf katılımını içeren ihlaller için, dava saldırganlarının% 81’inde kurban organizasyonuna bir sistem saldırısı gerçekleştirdi.
DBIR araştırmacıları, Clop’un Mayıs 2023’teki ilerleme yazılımlarının Moveit yönetilen dosya aktarım uygulamalarına karşı saldırısı gibi, yaygın olarak kullanılan ürünlerde sıfır gün güvenlik açıklarının tekrar hedeflenmesinin, üçüncü taraf katılım tanımlarını genişletmelerine yol açtığını söyledi.
Rapor, “Üçüncü taraf ihlallerin her bir tanımı, savunmasız yazılımın kullanımını üçüncü taraf bir meselede düşünmeyecek, ancak kusurlu hammadde veya makine nedeniyle tedarik zincirinize temel bir kusur tanıtılmamış olsaydı, kuruluşunuz en azından tedarikçiye sert bir mektup gönderecekti.”
Tedarik zinciri boyunca düşük kalite için hatalı olan, en azından tarih kadar eski bir konudur. DBIR raporu, eski Babil döneminde – MÖ 1750 dolaylarında – bir kil tablette, Nanni’den Ea -Nasir’e, teslim ettiği bakır ingotların kalitesi hakkında şikayet eden tanınmış mektubu belirtiyor. Guinness World Records’un dünyanın en eski müşteri şikayeti olduğunu değerlendirdiği tabletin kısmi bir çevirisini “Bana hor gördün.”