Cyble tehdit istihbaratı araştırmacılarına göre, yazılım tedarik zinciri saldırıları giderek yaygınlaşıyor ve bu durum, söz konusu saldırıların ciddiyeti ve erişimi nedeniyle kötü bir haber.
Cyble, Şubat ile Ağustos ortası arasındaki altı aylık bir dönemde siber suçlular tarafından karanlık ağda yapılan 90 tedarik zinciri ihlali iddiasını tespit etti; bu da neredeyse her iki günde bir iddiaya denk geliyor. Tedarik zinciri saldırıları diğer ihlallerden kat kat daha pahalı olabileceğinden, bu tür birkaç saldırının bile yarattığı maliyet ve hasar yüksektir.
Cyble blogunda, bir BT tedarikçisinin kod tabanına sızma sonucu oluşan saldırıların (2020’de SolarWinds’e ve 2021’de Kaseya’ya olduğu gibi) nispeten nadir olduğu belirtilirken, yazılım tedarik zincirini oluşturan kodun, bağımlılıkların ve uygulamaların “tüm kuruluşları riske atan neredeyse sürekli güvenlik açıkları ve siber saldırıların kaynağı” olduğu belirtildi.
Araştırmacılar, tedarik zinciri ihlalleri kod tabanlarına ulaşmasa bile, hassas verilerin sızdırılmasına yol açabileceğini ve “bunun saldırganlara kimlik avı, sahtecilik ve kimlik bilgisi saldırıları gibi diğer ortamlara girmede kritik bir avantaj sağlayabileceğini” yazdı. “Ve fiziksel tedarik zincirinin birbirine bağlılığı ve artan dijital yapısı nedeniyle, alt dağıtım yapan herhangi bir üretici veya tedarikçi siber risk olarak kabul edilebilir.”
Cyble araştırmacıları, 2024 yılında tedarik zincirine yönelik saldırıların sıklığını ve niteliğini, ayrıca riski en aza indirebilecek savunmaları inceledi.
Tedarik Zinciri Saldırıları Yaygınlaşıyor
Cyble’ın karanlık ağ izlemesi, Şubat 2024’ten Ağustos 2024 ortasına kadar tedarik zincirine yönelik başarılı saldırılara ilişkin 90 siber suçlu iddiası buldu.
BT sağlayıcıları, bu ihlallerin üçte birini oluşturarak açık ara en büyük hedefti, ardından 90 ihlalin 14’ünü deneyimleyen teknoloji ürünü şirketleri geldi. Havacılık ve savunma (9 ihlal), üretim (9 ihlal) ve sağlık (8 ihlal) en sık görülen kurbanlardı.
Cyble tarafından takip edilen 25 sektörden 22’si, birkaç sektördeki yoğun yoğunlaşmaya rağmen 2024 yılında tedarik zinciri saldırısı yaşadı (aşağıdaki grafik).
Karanlık web’de tedarik zinciri ihlalleri konusunda en fazla iddia ABD’de yaşandı; toplamda 31 ihlal yaşandı. ABD’yi İngiltere (10), Almanya ve Avustralya (her biri beş) ve Japonya ve Hindistan (her biri dört) takip etti.
2024’te Tedarik Zinciri Saldırılarına Bir Bakış
Cyble blogu, 100.000’den fazla siteyi etkileyen kod tabanı ele geçirmelerinden temel hizmetleri kapatan saldırılara kadar şiddeti değişen sekiz saldırıya odaklandı. İşte bu saldırılardan birkaçı:
jQuery: JavaScript npm paket yöneticisine yönelik Temmuz tedarik zinciri saldırısı, popüler JavaScript kütüphanesi olan jQuery’nin truva atı haline getirilmiş sürümlerini içeriyordu. Saldırganlar, birden fazla platformu ve paket adını vuran bir saldırıda web sitelerinden hassas form verilerini sızdırmak için meşru jQuery kodunu değiştirdiler. Saldırı, “geliştiricilerin ve web sitesi sahiplerinin tedarik zinciri saldırılarını azaltmak için paket gerçekliğini doğrulamaları ve şüpheli değişiklikler için kodu incelemeleri için acil ihtiyacın altını çizdi.”
Polidoldurma: Haziran ayının sonlarında gerçekleşen saldırı, kullanıcıları spor bahisleri veya pornografik sitelere yönlendiren kötü amaçlı yazılım enjekte etmek için Polyfill.js kitaplığını taklit eden sahte bir alan adı kullanarak 100.000’den fazla web sitesini vurdu. Cyble araştırmacıları, “Saldırı, harici kod kitaplıklarını kullanmanın risklerini ve web sitesi güvenliğinde dikkatli olmanın önemini vurguladı,” dedi. “Olay, üçüncü taraf betiklerinin güvenlik etkilerini ve yaygın olarak kullanılan projelerin kötü niyetli devralma potansiyelini vurguladı.”
Programlama Dili İhlali: Tehdit aktörü (TA) IntelBroker, BreachForums’da yaptığı paylaşımda, “açıklanmayan bir programlama diline ait” bir düğüm paket yöneticisine (npm) ve GitHub hesabına yetkisiz erişime sahip olduğunu ve “komutları gönderme ve kopyalama ayrıcalıklarına sahip özel depolara” erişim sağladığını iddia etti. İşte iddiaların ekran görüntüsü:
CDK Global A.Ş.: 19 Haziran’da, otomotiv bayi yazılımı sağlayıcısı CDK Global Inc., Group1 Automotive Inc., AutoNation Inc., Premier Truck Group ve Sonic Automotive gibi büyük bayi ağları da dahil olmak üzere birçok Kuzey Amerika otomobil bayisinin satış ve envanter operasyonlarını haftalarca aksatan bir fidye yazılımı saldırısına uğradı.
400’den Fazla Şirkete Erişim: IntelBroker, 15 Haziran’da “açıklanmayan bir üçüncü taraf yüklenici” aracılığıyla tehlikeye atılan 400’den fazla şirkete erişim sağlayarak tekrar harekete geçti. Veriler arasında Jira, Bamboo, Bitbucket, GitHub, GitLab, SSH, SFTP, DA, Zabbix, AWS S3, AWS EC2, SVN ve Terraform’a erişim olduğu bildirildi. Şirketlerin geliri ve konumuna dayalı açık kaynaklı araştırma, dahil olan en büyük kuruluşlardan bazılarının Lockheed Martin Corporation, Samsung Electronics Co Ltd, General Dynamics ve Apple Inc. olabileceğini öne sürdü.
Sıfır Güven ve Dayanıklılık Tedarik Zinciri Riskini Kontrol Etmeye Yardımcı Olur
Cyble araştırmacıları, sıfır güven ve siber dayanıklılık ilkeleri ve kod güvenliği etrafında oluşturulmuş tedarik zinciri saldırılarına karşı bir dizi savunma önerdi. Bu uygulamalar şunları içerir:
- Ağ mikrosegmentasyonu
- Güçlü erişim kontrolleri
- Kullanıcı ve cihaz kimliği ve kimlik doğrulamasının güçlü bir kaynağı
- Verilerin hareket halindeyken ve hareketsizken şifrelenmesi
- “Değiştirilemez, hava boşluklu ve mümkün olduğunca izole edilmiş” fidye yazılımlarına dayanıklı yedeklemeler
- Erken ihlal tespiti için bal tuzakları
- API ve bulut hizmeti bağlantılarının güvenli yapılandırılması
- SIEM, Active Directory izleme ve veri kaybı önleme (DLP) araçlarıyla olağandışı etkinlikleri izleme
- Denetimler, güvenlik açığı taramaları ve sızma testleri yoluyla kontrolleri rutin olarak değerlendirmek ve onaylamak
Güvenli Geliştirme ve Üçüncü Taraf Risk Yönetimi
Cyble ayrıca hem geliştiriciler hem de ortak ve tedarikçi denetimleri için kod güvenliği en iyi uygulamalarını ve ortak ve tedarikçi riskini değerlendirmeye yardımcı olabilecek Cyble gibi tehdit istihbarat hizmetlerini önerdi.
Cyble blogunda, “Cyble’ın üçüncü taraf risk istihbarat modülü, siber hijyen, karanlık web maruziyeti, sahtecilik faaliyetleri ve saldırı yüzeyi ve ağ maruziyeti gibi alanlarda ortak güvenliğini değerlendirerek iyileştirmeye yönelik belirli alanları not ediyor. Cyble’ın yapay zeka destekli güvenlik açığı tarama yetenekleri ise kendi web’e yönelik güvenlik açıklarınızı bulmanıza ve önceliklendirmenize yardımcı olabilir” denildi.
Raporda, “Daha fazla kuruluş güvenliği bir satın alma kriteri haline getirdikçe, tedarikçiler daha iyi güvenlik kontrolleri ve belgelerle yanıt vermek zorunda kalacak” sonucuna varıldı.