Kaspersky Lab, tedarik zinciri saldırısı olarak bilinen bir yöntemle çok sayıda kullanıcıyı etkileyen yeni bir gelişmiş kalıcı tehdit (APT) keşfetti. Yapılan araştırmada, ShadowHammer Operasyonu’nun ardındaki tehdit grubunun Haziran ile Kasım 2018 arasında bir arka kapı aracılığıyla ASUS Live Update kullanıcılarını hedef aldığı tespit edildi. Kaspersky Lab uzmanları saldırının tüm dünyada bir milyondan fazla kişiyi etkilemiş olabileceğini tahmin ediyor.
En tehlikeli ve etkili saldırı vektörlerinden biri olan tedarik zinciri saldırıları, son yıllarda ShadowPad ve CCleaner gibi örneklerde de görüldüğü gibi gelişmiş operasyonlarda sıkça kullanılmaya başlandı. Bu saldırılarda, ürünlerin ilk geliştirilme aşamasından son kullanıcıya ulaşmasına kadar geçen sürece dahil olan insanlar, kurumlar, malzemeler ve fikri kaynaklar arasında bağlantı kuran sistemlerdeki belirli zayıflıklar hedef alınıyor. Markaların altyapıları güvenli olsa da hizmet sağlayıcılarında tedarik zincirini sabote etmek için kullanılabilecek açıklar bulunabiliyor. Bu da beklenmeyen yıkıcı veri sızıntılarına yol açabiliyor.
ShadowHammer’ın arkasındaki tehdit grupları ilk bulaşma noktası olarak ASUS Live Update aracını hedef aldı. Çoğu yeni ASUS bilgisayara ön yüklü olarak gelen bu araç otomatik BIOS, UEFI, sürücü ve uygulama güncellemeleri için kullanılıyor. Yasal ikilileri imzalamak için ASUS’un kullandığı dijital sertifikaları çalan saldırganlar, ASUS yazılımının eski sürümleri üzerinde değişiklik yaparak kendi zararlı kodlarını bulaştırdı. Aracın Truva atına dönüştürülen sürümleri yasal sertifikalarla onaylandıktan sonra ASUS’un resmi güncelleme sunucularından dağıtıldı. Bu nedenle koruma çözümlerinin çoğu bunu tespit edemedi.
Böylece yazılımı kullanan herkes potansiyel kurban haline gelse de ShadowHammer’ın arkasındaki gruplar daha önceden haklarında bilgi sahibi oldukları birkaç yüz kullanıcıya odaklandı. Kaspersky Lab araştırmacıları her arka kapı kodunda, MAC adreslerinden oluşan tablolar bulunduğunu keşfetti. Bir bilgisayarı ağa bağlamak için kullanılan ağ adaptörleri bu MAC adresleriyle ayırt ediliyor. Arka kapı çalışmaya başlayınca MAC adresini bu tabloyla doğruluyor. MAC adresi listedekilerden biriyle eşleştiğinde zararlı kodun diğer aşaması indiriliyor. Eşleşme olmadığında ise sisteme sızan yazılım ağda hiçbir etkinlik göstermiyor, bu sayede uzun süre tespit edilmeden kalabiliyor. Güvenlik uzmanları toplamda 600’den fazla MAC adresi belirlemeyi başardı. Bunlara birbirinden farklı kabuk kodlarına sahip 230 benzersiz arka kapı örneğiyle saldırı düzenlendi.
Zararlı yazılımı çalıştırırken kod veya veri sızıntısını önlemek için kullanılan modüler yaklaşım ve alınan ekstra önlemler, bu gelişmiş saldırının arkasındaki isimlerin belirli hedefleri hassas bir şekilde vururken tespit edilmemeye büyük önem verdiğini gösteriyor. Derinlemesine teknik analizlerde grubun üst düzey saldırganlardan oluştuğu ve çok gelişmiş araçlara sahip olduğu görüldü.
Benzer zararlı yazılımlara yönelik yapılan aramalarda, Asya’dan üç başka markanın da çok yakın yöntemler ve teknikler kullanılarak hedef alındığı ortaya çıktı. Kaspersky Lab bu sorunu Asus ve diğer markalara bildirdi.
Kaspersky Lab APAC Global Araştırma ve Analiz Ekibi Direktörü Vitaly Kamluk, “Seçilen markalar APT grupları için çok çekici hedefler. Saldırganlar bu markaların geniş müşteri kitlesinden yararlanmak istemişler. Yapılan saldırının asıl amacı ise henüz tam olarak belli değil. Saldırganların kim olduğu ise halen araştırılıyor. Ancak yetkisiz kod çalıştırma için kullanılan teknikler ve keşfedilen diğer ipuçları, ShadowHammer’ın muhtemelen BARIUM APT ile ilişkili olduğunu gösteriyor. Bu grup daha önce ShadowPad ve CCleaner vakalarıyla gündeme gelmişti. Yeni olay, günümüzde akıllıca düzenlenen bir tedarik zinciri saldırısının ne kadar gelişmiş ve tehlikeli olabileceğinin bir örneği.” dedi.
Kaspersky Lab ürünleri ShadowHammer Operasyonu’nda kullanılan zararlı yazılımları tespit edip engelleyebiliyor.
Kaspersky Lab araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:
- Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden kurumsal sınıf bir güvenlik çözümü kullanın.
- Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için bir EDR çözümü kullanılmasını veya profesyonel bir vaka müdahale ekibiyle iletişime geçilmesini tavsiye ediyoruz.
- SIEM ve diğer güvenlik kontrollerine Tehdit İstihbaratı akışlarını ekleyerek, ileride karşılaşabileceğiniz saldırılara hazırlanmak için sizinle ilgili güncel tehdit verilerine ulaşın.
Kaynak : 