Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Yeni Sosyal Mühendislik Saldırıları, XZ Utils Bakım Aracına Karşı Kullanılan Taktiklere Benzer
Mathew J. Schwartz (euroinfosec) •
16 Nisan 2024
Büyük açık kaynaklı yazılım projeleri, bir bilgisayar korsanının düşük anahtarlı ancak yaygın olarak kullanılan bir yardımcı programla başarıya ulaşmanın eşiğine gelmesinden sonra açık kaynak ekosistemi boyunca arka kapı yerleştirme girişimlerinin yaygınlaşabileceği konusunda uyarıda bulunuyor.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
OpenJS Vakfı, yakın zamanda geçen ay keşfedilen XZ Utils’in kötü niyetli yıkımını hatırlatan bir sosyal mühendislik saldırısının hedefi olduğunu bildirdi. Vakıf, dünyadaki birçok web sitesi ve milyarlarca kullanıcısı tarafından kullanılan Appium, Dojo, jQuery, Node.js ve webpack dahil 35 kritik JavaScript projesini destekliyor ve barındırıyor.
Açık Kaynak Güvenliği Vakfı ve OpenJS Vakfı tarafından yayınlanan ortak bir bildiride, OpenJS Vakfı Çapraz Proje Konseyi üyelerinin yakın zamanda “benzer mesajlar içeren, farklı isimler taşıyan ve GitHub ile ilişkili e-postalarla örtüşen şüpheli bir dizi e-posta aldıkları” belirtildi.
OpenJS Vakfı’nın genel müdürü Robin Bender Ginn ve OpenJS Genel Müdürü Omkhar Arasaratnam, “Bu e-postalar, OpenJS’den popüler JavaScript projelerinden birini ‘kritik güvenlik açıklarını gidermek’ amacıyla güncellemesi için harekete geçmesi için ricada bulundu, ancak hiçbir ayrıntıdan bahsedilmedi.” Kaynak Güvenliği Vakfı, açıklamada şunları söyledi. Saldırıların amacı, “önceden çok az müdahalede bulunmalarına” rağmen, gönderenlerin bakım haklarını güvence altına almak gibi görünüyor.
OpenJS onlara böyle bir erişim sağlamasa da, saldırı girişiminin izole olmadığını ve OpenJS üyelerinin de vakfın barındırmadığı ve adını vermeyi reddettiği “diğer iki popüler JavaScript projesinde de benzer şüpheli bir model” tespit ettiğini söylediler. . OpenJS, girişimleri gördükten sonra “olası güvenlik endişelerini ilgili OpenJS liderlerine derhal işaretledi” ve bunları ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na bildirdi.
CISA, yaptığı açıklamada Bilgi Güvenliği Medya Grubu’na şunları söyledi: “Bu soruşturma için tekrar OSSF’ye başvuracağız.”
Açık kaynaklı projelerin bakım haklarını elde etmeye yönelik kötü niyetli girişimler, neredeyse her büyük Linux dağıtımında bulunan XZ sıkıştırma formatı için bir dizi açık kaynak araç ve kitaplık olan XZ Utils’in yakın zamanda keşfedilen arka kapı uygulamasını yansıtıyor.
Bir saldırgan kötü niyetli olarak sisteme dahil edildi liblzma XZ paketinin bir parçası olan kütüphane, artık CVE-2024-3094 olarak adlandırılan karmaşık bir güvenlik açığıdır. Kötü amaçlı kod, OpenSSH sunucu işlemi olan SSHD aracılığıyla bir sisteme tam uzaktan erişimi kolaylaştırmak için tasarlandı; bunun ardından bir saldırgan muhtemelen sistemde rastgele kod çalıştırabilir ve sistemi tamamen tehlikeye atabilir.
Güvenlik açığı, Linux işletim sisteminin beta sürümünde SSH performans sorunu bulan ve arka kapıya kadar izini süren Microsoft mühendisi Andres Freund sayesinde 29 Mart’ta ortaya çıktı. Kötü amaçlı kodun, Debian ve Red Hat Linux da dahil olmak üzere büyük Linux dağıtımlarının genel sürümlerine yayılmasına yalnızca birkaç hafta kalmıştı.
Microsoft’ta kıdemli güvenlik araştırmacısı olan ve çok aşamalı saldırının görsel bir özetini yayınlayan Thomas Roccia, “XZ saldırısının karmaşıklık düzeyi çok etkileyici” dedi.
Güvenlik uzmanı Bruce Schneier, Freund’un tesadüfi keşfi hakkında zamanlama açısından “gerçekten çok şanslıydık” dedi.
Başarılı saldırı, kaç tane açık kaynaklı yazılım projesinin bu kadar şanslı olmadığı sorusunu akla getiriyor. Schneier, “Bunun, ister kapalı kaynak ister açık kaynak olsun, kritik bir internet yazılımına arka kapı açmaya yönelik tek girişim olduğuna inanmıyorum” dedi (bkz: Rus Devlet Hackerları Microsoft Kod Depolarına Erişti).
XZ Utils’in arka kapı açması, boş zamanlarında XZ’yi elinde bulunduran Lasse Collin’i hedef alan ve “kendi projesine yatırılan herkesten daha fazla kaynağı onu alt etmeye yatıran” iki yıllık, karmaşık ve “sabırlı” bir istihbarat operasyonunun sonucu gibi görünüyordu. ,” söz konusu The Grugq olarak bilinen operasyonel güvenlik uzmanı.
Arka kapı kodu, XZ Utils’e “Jia Tan” tarafından eklendi; araştırmacılar, saldırganların Lasse’ye sosyal mühendislik yaparak XZ kod tabanını doğrudan güncelleme hakkı vermesini sağlayan bir karakter olduğundan şüpheleniyorlar. Müfettişler saldırganların kimliklerini henüz açıklamadı.
Açık Kaynak Güvenliği Vakfı ve OpenJS Vakfı, tüm açık kaynak projelerinin benzer sosyal mühendislik türlerine karşı dikkatli olması gerektiği konusunda uyardı.
Ginn ve Arasaratnam, “Linux Vakfı ile birlikte, tüm açık kaynak bakımcıları için süregelen bu tehdit konusunda farkındalık yaratmak istiyoruz” dedi.
Bu çabanın bir parçası olarak, bakımcılardan “şüpheli kalıpların” uzun bir listesine dikkat etmelerini istiyorlar. Bunlar arasında, “koruyucu statüsü” arayan “topluluğun nispeten bilinmeyen üyelerinin” sosyal yardımları, projeyi yürüten veya projeye ev sahipliği yapan kuruluşun “dostça ama saldırgan ve ısrarlı takibi” ve “özellikle yanlış bir aciliyet duygusu” yaratma çabaları yer alıyor. zımni aciliyet, bakımcıyı incelemenin kapsamını azaltmaya veya bir kontrolü atlamaya zorluyorsa.”
OpenSSF ayrıca açık kaynak bakımcılarının ve proje ekiplerinin sosyal mühendislik girişimlerini daha iyi engellemek için izleyebileceği çok sayıda en iyi uygulamayı da ayrıntılı olarak açıkladı. Bunlar arasında diğer adımların yanı sıra mevcut OpenSSF güvenlik kılavuzlarının kullanılması, mümkün olduğunda projeleri korumak için güçlü kimlik doğrulamanın kullanılması ve koordineli güvenlik açığı ifşasının kullanılması yer alıyor.
Ancak Ginn ve Arasaratnam, açık kaynaklı yazılımı yıkmaya çalışan sosyal mühendislere karşı “birincil caydırıcılığın”, yazılımı sürdüren bireyleri ve ekipleri desteklemekten daha iyi olduğunu ve bunun için daha fazla “küresel kamu yatırımı” gerektiğini söyledi.
Geliştirilecek örnek olarak, OpenSSF ile ilişkili olan ve Amazon, Google ve Microsoft tarafından finanse edilen Alpha-Omega gibi projeler aracılığıyla kod bakımcılarını desteklemeye halihazırda yardımcı olan Linux Vakfı’nı ve ilgili vakıflarını övdüler.
Ayrıca, ülkenin Federal Ekonomik İşler ve İklim Eylemi Bakanlığı’nın kritik açık kaynaklı yazılım projelerini finanse ettiği ve bu kaynakların nasıl kullanıldığına ilişkin sorumlulukla desteklenen Almanya Sovereign Tech Fund tarafından belirlenen örneğe de dikkat çektiler.
Ginn ve Arasaratnam, “JavaScript ekosistemindeki pek çok proje, topluluk liderliğindeki bu projelere bağımlı olan ancak çok az katkıda bulunan ticari şirketler tarafından ezilen küçük ekipler veya tek geliştiriciler tarafından sürdürülüyor.” dedi. “Bu ölçekte bir sorunu çözmek için geniş kaynaklara ve uluslararası kamu/özel sektör koordinasyonuna ihtiyacımız var.”