ShadowHammer: Yeni detaylar

Mayıs 3, 2019

ShadowHammer operasyonu ile ilgili önceki gönderimizde, daha fazla detay sunacağımızı vaat etmiştik. İnceleme hâlâ devam etse de araştırmacılarımız bu sofistike tedarik zinciri saldırısı hakkındaki yeni detayları paylaşmaya hazır.

Operasyonun ölçeği

Yukarıda da bahsettiğimiz gibi, ASUS saldırganlar tarafından kullanılan tek şirket değildi. Uzmanlarımız bu olayı çalışırken benzer algoritmalar kullanan başka örnekler buldular. ASUS olayında olduğu gibi, örnekler diğer üç Asya tedarikçisinden dijital imzalı ikilileri kullanıyordu:

  • Infestation: Survivor Stories adlı zombi hayatta kalma oyunun yazarları Electronics Extreme,
  • internet ve BT altyapı hizmetleri sağlayan ama aynı zamanda eskiden oyun geliştirme alanında çalışan şirket Innovative Extremist,
  • Point Blank adlı video oyununu geliştirmiş Güney Koreli şirket Zepetto.

Araştırmacılarımıza göre, saldırganların ya kurbanların projelerinin kaynak koduna erişimi vardı ya da proje derlemesi sırasında kötü amaçlı yazılımlar eklediler, bu da demek oluyor ki bu şirketlerin ağlarındaydılar. Bu da bize bir yıl önce rapor edilmiş bir saldırıyı hatırlatıyor: CCleaner olayı.

Ayrıca, uzmanlarımız üç kurbanı daha tespit ettiler: hepsi Güney Kore’de olmak üzere başka bir video oyunu şirketi, konglomerat bir şirket ve bir eczacılık şirketi. Şimdilik bu kurbanlar hakkında ek detaylar paylaşamıyoruz çünkü onları saldırılar hakkında bilgilendirme sürecindeyiz.

Nihai hedefler

Electronics Extreme, Innovative Extremist ve Zepetto olaylarında ihlal edilmiş yazılım, kurbanların sistemlerine oldukça basit bir yük getirdi. Kullanıcı adları, bilgisayar özellikleri ve işletim sistemi versiyonlarıyla ilgili bilgi toplayabiliyordu. C&C sunucularından kötü amaçlı yükler indirebiliyordu, dolayısıyla ASUS olayının aksine, potansiyel kurbanlar listesi MAC adresleriyle sınırlı değildi.

Ayrıca 600’ü aşkın MAC adresinin olduğu liste hedefleri 600’le (ve üstüyle) sınırlamıyordu; içlerinden en az bir tanesi sanal Ethernet bağdaştırıcısına ait. O cihazın tüm kullanıcıları aynı MAC adresini kullanıyor.

Daha fazla teknik bilgi için Securelist yazımıza göz atın.

Bir tedarik zinciri saldırısında bir bağlantı hâline gelmekten korunma yolları

Yukarıda belirtilen tüm olayların ortak tehdidi, saldırganların geçerli sertifikalara sahip olmaları ve kurbanlarının gelişim ortamlarını tehlikeye atmalarıdır. Dolayısıyla uzmanlarımız, yazılım tedarikçilerinin, kod dijital olarak imzaladıktan sonra bile yazılımlarını potansiyel kötü amaçlı yazılım enjeksiyonlarına karşı kontrol eden yazılım üretim süreçlerine başka bir prosedür getirmelerini önerir.

Bu gibi saldırıları önlemek için, deneyimli ve uzman tehdit avcılarına ihtiyacınız var -ve bizde mevcut. Hedefli Saldırı Keşfi sayesinde uzmanlarımız, altında yatan nedenleri ve olayların muhtemel kaynaklarını anlamanız için ağınızdaki mevcut bilişim suçlusu ve casus faaliyetlerini tanımlamanıza yardımcı olur. Ek olarak, 24 saat süren gözetim ve devamlı siber tehdit verileri analizi sunan Kaspersky Gözetimli Koruma’yı da sağlayabiliyoruz. Güvenlik analistlerimizin gelişmiş tehdit keşifleriyle ilgili daha fazlasını öğrenmek için Kaspersky Threat Hunting sayfasını ziyaret edin.