Her yazılım kaynağı Bilgisayar korsanlarının kötü amaçlı yazılımlarını yüzlerce veya potansiyel olarak binlerce kurbana yaymak için yasal bir uygulamayı bozduğu zincirleme saldırı, rahatsız edici yeni bir siber güvenlik belası salgınını temsil ediyor. Ancak bu tedarik zinciri saldırısı, Microsoft’un güvendiği bir yazılım modelini kötüye kullanarak kötü amaçlı yazılımlarını yasalmış gibi gösteren gizemli bir bilgisayar korsanı grubu tarafından gerçekleştirildiğinde, bu, izlenmeye değer tehlikeli ve potansiyel olarak yeni bir düşman anlamına gelir.
Bugün, Broadcom’un sahip olduğu güvenlik firması Symantec’teki Tehdit Avcısı Ekibindeki araştırmacılar, CarderBee olarak yeni adlandırdıkları bir bilgisayar korsanı grubu tarafından gerçekleştirilen bir tedarik zinciri saldırısı tespit ettiklerini açıkladılar. Symantec’e göre bilgisayar korsanları, Cobra DocGuard olarak bilinen Çin menşeli bir güvenlik yazılımının yazılım güncellemelerini ele geçirdiler ve çoğu Hong Kong’da olmak üzere Asya’da yaklaşık 100 bilgisayarı hedef almak için kendi kötü amaçlı yazılımlarını enjekte ettiler. DocGuard’ın istismarı ve kurban makinelere yükledikleri diğer kötü amaçlı kodlar gibi bazı ipuçları, CarderBee’yi önceki Çin devlet destekli bilgisayar korsanlığı operasyonlarıyla gevşek bir şekilde ilişkilendirse de, Symantec, CarderBee’nin yeni bir ekip olabileceğini öne sürerek, CarderBee’yi daha önce bilinen herhangi bir grup olarak tanımlamayı reddetti.
Symantec’e göre bilgisayar korsanları, her yazılım tedarik zincirinde meşru yazılımlara yönelik olağan rahatsız edici güven ihlalinin yanı sıra, Korplug veya PlugX olarak bilinen ve Çinli bilgisayar korsanları tarafından yaygın olarak kullanılan bir arka kapı olan kötü amaçlı kodlarını Microsoft tarafından dijital olarak imzalamışlar. Microsoft’un genellikle güvenilir kodu belirlemek için kullandığı imza, kötü amaçlı yazılımın algılanmasını çok daha zorlaştırdı.
“Ne zaman bir yazılım tedarik zinciri saldırısı görsek, bu biraz ilginç oluyor. Ancak gelişmişlik açısından bu, diğerlerinin üzerinde bir fark,” diyor Symantec’in araştırma ekibinde baş istihbarat analisti olan Dick O’Brien. “Bu, ne yaptığını bilen bir operatörün ayırt edici özelliklerini taşıyor.”
Symantec’e göre ironik bir şekilde, bir kuruluş içindeki kullanıcı ayrıcalıklarına dayalı olarak dosyaları şifrelemek ve korumak için güvenlik yazılımı olarak pazarlanan Cobra DocGuard’ın yaklaşık 2.000 kullanıcısı var. O’Brien, bilgisayar korsanlarının komutları çalıştırmaktan tuş vuruşlarını kaydetmeye kadar her şeyi yapabilen kötü amaçlı yazılımlarını yüklemek için yalnızca 100 kadar makineyi seçmeleri gerçeğinin, CarderBee’nin bu kullanıcıları özel olarak hedeflemek için binlerce potansiyel kurbanı taramış olabileceğini öne sürüyor. Symantec, hedeflenen kurbanların isimlerini vermeyi veya büyük ölçüde devlet veya özel sektör şirketleri olup olmadıklarını söylemeyi reddetti.
Cobra DocGuard uygulaması, 2000 yılında Çin Anakarasında kurulan ancak şu anda genel merkezini Milpitas, California olarak tanımlayan güvenlik firması Nsfocus’un sahibi olduğu bir şirket olan EsafeNet tarafından dağıtılmaktadır. Symantec, CarderBee’nin şirketin uygulamasını nasıl bozmayı başardığını açıklayamayacağını söylüyor; bu, pek çok yazılım tedarik zinciri saldırısında bilgisayar korsanlarının geliştirme sürecini bozmak için bir yazılım dağıtımcısını ihlal etmesini içeriyor. Nsfocus, WIRED’in yorum talebine yanıt vermedi.
Symantec’in keşfi aslında Cobra DocGuard’ın kötü amaçlı yazılım dağıtmak için ilk kez kullanılması değil. Siber güvenlik firması ESET, geçen yılın Eylül ayında, aynı uygulamaya yapılan kötü amaçlı bir güncellemenin bir Hong Kong kumar şirketini ihlal etmek ve aynı Korplug kodunun bir varyantını yerleştirmek için kullanıldığını tespit etti. ESET, kumar şirketinin de 2021’de aynı yöntemle ihlal edildiğini tespit etti.