Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), yaygın kullanılan sanal sürücü emülasyon yazılımlarından bir tanesinin resmi internet sitesini hedef alan aktif tedarik zinciri saldırısı keşfetti.
Şirketten yapılan açıklamaya göre, ele geçirilen yükleyici, yasal uygulama ile birlikte arka kapı (backdoor) zararlı yazılımı dağıtarak saldırganların enfekte olan cihazlarda saldırganların istedikleri herhangi bir komutu çalıştırmasına ve cihazları uzaktan kontrol etmesine olanak tanıyor.
Yapılan son telemetri çalışmaları, siber saldırganların 8 Nisan'dan bu yana modifiye edilmiş yazılımları doğrudan üreticinin ana alan adı (domain) üzerinden dağıttığını ortaya koydu.
Saldırganların, zararlı yazılımı geçerli bir geliştirici dijital sertifikasıyla imzalayarak başarıyla gizlediği tespit edilirken, söz konusu kötü niyetli müdahale, Daemon Tools'un 12.5.0.2421 sürümünden mevcut güncel sürüme kadar olan tüm versiyonlarını etkiliyor.
Disk emülasyon yazılımları, doğası gereği düşük seviyeli sistem erişimine ihtiyaç duyduğundan, kullanıcılar kurulum sırasında uygulamaya genellikle yüksek düzeyde yönetici ayrıcalıkları tanıyor. Bu güven mekanizması, yazılıma gömülen zararlı yazılımın ana işletim sisteminde derin bir yer edinmesine (foothold) ve cihaz bütünlüğünün ciddi şekilde bozulmasına zemin hazırlıyor.
Analizler, saldırganların yasal uygulama ikili dosyalarını (binaries) manipüle ederek işlem başlangıcında kötü niyetli kod çalıştırdığını ve kalıcılık sağlamak için yasal bir işletim sistemi hizmetini istismar ettiğini gösteriyor. Kaspersky telemetri verileri, enfekte olmuş güncellemelerin 100'den fazla ülke ve bölgede küresel çapta yayıldığına işaret ediyor.
- Etkilenen sistemlerin yüzde 10'unun ticari işletmelere ve kurumlara ait
Kaspersky telemetri verileri, siber kurbanların büyük çoğunluğunun Türkiye, Rusya, Brezilya, İspanya, Almanya, Fransa, İtalya ve Çin'de yer aldığını gösteriyor. Etkilenen sistemlerin yüzde 10'unun ticari işletmelere ve kurumlara ait olduğu, saldırganların perakende, bilim, kamu ve imalat sektörlerindeki bazı kurumsal makinelerde manuel olarak ek zararlı yükler (shellcode injector ve daha önce tanımlanmamış Uzaktan Erişim Truva Atları-RAT'lar) yerleştirdiği gözlemlendi.
Kurbanların spesifik endüstri profili ile komutlarda görülen yazım hataları ve tutarsızlıklar, bu takip faaliyetlerinin doğrudan belirli hedeflere yönelik "elle" (hands-on) yürütüldüğünü kanıtlıyor.
"İmplante" edilen zararlılarda Çince diline ait kalıntılar bulunsa da kampanya henüz bilinen herhangi bir tehdit grubuyla ilişkilendirilmiş değil.
Kaspersky martta yayımladığı verilere göre, tedarik zinciri saldırıları son 12 ayda işletmelerin karşılaştığı en yaygın siber tehdit olurken, kuruluşların yalnızca yüzde 9'u bu durumu öncelikli bir endişe kaynağı olarak görüyor.
Şirket, tedarik zinciri saldırılarından kaynaklanan riskleri azaltmak için kurumlara yazılım tedarik zincirlerini denetleme, Sıkı tedarik ve kullanım protokolleri uygulama, lay müdahale senaryolarını güncelleme, yönetici yetkilerini sınırlandırma, "sıfır güven" mimarisi ve Genişletilmiş Tespit ve Müdahale (XDR) çözümlerini kullanma uyarısında bulundu.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Georgy Kucherin, kullanıcıların, doğrudan resmi bir üreticiden indirilen ve dijital olarak imzalanmış yazılımlara kayıtsız şartsız güvendiği için bu tür bir ihlalin geleneksel sınır savunma mekanizmalarını tamamen devre dışı bıraktığını belirtti.
Kucherin, bu durumun, Daemon Tools saldırısının yaklaşık bir ay boyunca fark edilmeden devam etmesine neden olduğunun bilgisini paylaşarak, şunları kaydetti:
"Bu süre zarfı, saldırının arkasındaki aktörün gelişmiş saldırı yeteneklerine sahip, sofistike bir yapı olduğunu gösteriyor. İhlalin karmaşıklığı göz önüne alındığında, kurumların bünyesinde Daemon Tools yüklü makineleri izole etmeleri ve kurumsal ağ içinde zararlı faaliyetlerin yayılmasını önlemek için kapsamlı güvenlik taramaları yapmaları kritik öneme sahiptir."
