Tehdit ortamı önemli ölçüde değişiyor ve siber güvenlik araştırmacıları, bu tür gelişen ve karmaşık tehditleri azaltmak için sürekli olarak yeni güvenlik mekanizmaları geliştiriyorlar.
Siber güvenlik araştırmacıları Lloyd Fournier, Nick Farrow ve Robin Linus, yakın zamanda bilgisayar korsanlarının imzalama cihazlarından gizli anahtarları çalmasını sağlayan yeni bir Dark Skippy saldırısı keşfettiler.
8 Mart 2024’te keşfedilen bu açığı araştırmacılar özel olarak 15 farklı satıcıya bildirdi.
Dark Skippy, Bitcoin donanım cüzdanlarındaki ve imzalama aygıtlarındaki bozuk aygıt yazılımlarını kullanarak gizli anahtarları sızdıran karmaşık bir saldırı yöntemidir.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Karanlık Skippy Saldırısı
Bu teknik, öncelikle kripto para güvenliği bağlamında tanımlanmış olsa da, diğer kriptografik sistemlerde daha geniş uygulamalara sahip olabilir. Teorik olarak güçlü olmasına rağmen, Dark Skippy henüz gerçek dünyadaki saldırılarda gözlemlenmemiştir.
İşte DARK SKIPPY demosu
Bunun dışında Dark Skippy herhangi bir özel donanım cüzdanını veya imzalama cihazını hedeflemiyor.
Bunun yerine, herhangi bir kötü niyetli imzalama aygıtının yürütebileceği genel bir işlemdir. Şu anda hala teoriktir ve gerçek dünyadaki saldırılarda hiç görülmemiştir.
Dark Skippy’ye karşı en önemli koruma, yazılımları değiştirilmemiş orijinal cihazlar kullanmaya dayanır.
Bir saldırgan, Dark Skippy saldırısı yürütmeyi destekleyen kötü amaçlı yazılım içeren bir cihazı tehlikeye attığında, kullanıcının parası anında kaybolur.
Bu durum, kripto para sektöründe güvenli donanım cüzdanlarının ve sürekli teyakkuzun önemini ön plana çıkarıyor.
Dark Skippy, kripto para imzalama cihazlarındaki Schnorr imza teknolojisinin zafiyetini hedef alıyor. Bu, tehlikeye attığı aygıt yazılımında imzalar oluştururken rastgele sayıları manipüle ederek başlatılıyor.
Bunun yanında gizli olması, ek iletişim kanallarına sahip olmaması, durumsuz cihazlara karşı çalışabilmesi, ana sırrı sızdırabilmesi ve kötü amaçlı cihazın her kullanıcısını etkileyebilmesi gibi önemli avantajları da bulunmaktadır.
Bunun yerine, bir saldırgan rastgele 32 baytlık nonce’lar yerine gizli bir tohumdan türetilen düşük entropili zayıf nonce’ları kullanmayı tercih eder. Bu amaçla, saldırgan bu 16 baytlık parçayı iki imzaya böler.
Saldırgan bu değiştirilmiş imzaları tarar ve Pollard’ın Kanguru algoritmasını kullanarak gizli rastgele kodları çıkarır ve tam tohumu yeniden oluşturur.
Gelişmiş sürümler, daha fazla gizlilik özelliğiyle birlikte nonce körleme ve işlem filigranı içerebilir. Bu yaklaşım, bir saldırganın cüzdanın özel anahtarlarını ele geçirmesini çok daha basit hale getirir.
Kullanıcılar için neredeyse görünmezdir ve adli tıp yoluyla incelenmesi zordur. Bu durum, kripto para güvenliğinde donanım bütünlüğünün ve aygıt yazılımı doğrulamasının ne kadar kritik olduğunu vurgular.
Öneriler
Siber güvenlik analistlerinin sağladığı tüm önerilere aşağıda yer verdik:
- Açık kaynaklı aygıt yazılımını, satıcının genel anahtarlarıyla karşılaştırın.
- Yazılım imzalarını otomatik olarak kontrol eden cihazları kullanın.
- Cihazı kullanımlar arasında fiziksel müdahalelerden koruyun.
- Beklenmeyen yazılım güncellemelerine karşı dikkatli olun.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access