Son dönemde güvenlik dünyasında peş peşe yaşanan talihsiz olaylar, teknoloji ve bilim çevrelerinde büyük yankı uyandırdı. Son altı hafta, önde gelen güvenlik firmalarından biri için adeta bir kabus haline geldi. Son 40 gün içinde en az bir tedarik zinciri saldırısına maruz kalan firma, iki farklı olayda müşterilerine kötü amaçlı yazılım bulaştırdı. Üstüne bir de fidye yazılımı saldırısıyla karşı karşıya kaldı.
Bu olumsuzluklar zinciri, 19 Mart'ta yaygın olarak kullanılan bir zafiyet tarayıcısı olan Trivy'nin hedef alındığı tedarik zinciri saldırısıyla başladı. Saldırganlar, ilk olarak Trivy'nin GitHub hesabını ele geçirdi ve ardından bu erişimi kullanarak kötü amaçlı yazılımları Trivy kullanıcılarına gönderdi. Bu kullanıcılardan biri de bahsi geçen güvenlik firmasıydı. Bulaşan kötü amaçlı yazılım, etkilenen sistemlerdeki depolama tokenları, SSH anahtarları ve diğer kimlik bilgileri gibi hassas verileri tarıyordu.
Hem Hedef Hem de Yayılma Kanalı Oldular
Dört gün sonra, firmanın kendi GitHub hesabı da saldırıya uğradı ve bu hesap üzerinden kendi kullanıcılarına kötü amaçlı yazılım yaymaya başladı. Firma, bu durumu kontrol altına alıp gerekli düzenlemeleri yaparak kötü amaçlı yazılımların yerine orijinal uygulamaları koyduğunu düşünüyordu. Ancak durum böyle değildi.
22 Nisan'da firmanın GitHub hesabından yeni bir kötü amaçlı yazılım dalgası daha gönderildi. Bu durum, önceki saldırının tam olarak giderilemediğini ya da yeni ve tanımlanamayan bir saldırının gerçekleştiğini gösteriyordu. Firma, saldırganları hesaptan çıkarmak için tekrar çalışma başlattı. Güvenlik firması Socket'in raporuna göre, firmanın resmi GitHub deposundan da benzer zamanlarda zararlı paketler yayınlandığı tespit edildi.
Geçtiğimiz Pazartesi günü firma, bu sıkıntılı sürecin bir başka boyutunu daha açıkladı. Son haftada fidye yazılımı gruplarından Lapsu$ olarak bilinen bir grubun, firmanın özel verilerini karanlık ağda yayınladığı belirtildi. Yayınlanan verilerin tarih damgası 30 Mart'ı gösteriyordu. Bu tarih damgasına göre, saldırganların 23 Mart'ta tespit edilen saldırının ardından GitHub hesabına erişimlerini sürdürdükleri ve firmanın onları hesaptan çıkarma girişimlerinin başarısız olduğu anlaşılıyor.
Firma tarafından yapılan açıklamada, "Mevcut kanıtlar, bu verilerin GitHub depolarımızdan kaynaklandığını ve bu depolara erişimin 23 Mart 2023'teki ilk tedarik zinciri saldırısı ile sağlandığını gösteriyor" denildi. Sızdırılan verilerin türü hakkında ise detaylı bilgi verilmedi.
Bu saldırılardan etkilenen tek güvenlik firması bu değil. Socket, başka bir güvenlik firması olan Bitwarden'ın da aynı tedarik zinciri saldırısından etkilendiğini belirtti. Socket, Bitwarden'daki saldırıyı, kullanılan kötü amaçlı yazılımın Checkmarx'taki kötü amaçlı yazılımla aynı komuta ve kontrol (C2) sunucusu ve çekirdek altyapısını paylaşması nedeniyle Trivy kampanyasıyla ilişkilendirdi.
Trivy saldırısını TeamPCP adını kullanan bir grup gerçekleştirdi. Bu grup, kurbanlardan kimlik bilgilerini çalıp bunları başka hackerlara satan ve bu alanda oldukça başarılı olan erişim komisyonculuğu operasyonları arasında yer alıyor. Bu kadar başarılı olmalarının temel nedeni ise zaten ayrıcalıklı erişime sahip olan araçları hedef almaları.
Checkmarx vakasında, TeamPCP'nin elde ettiği erişim kimlik bilgilerini, büyük şirketlere sızma becerisi kadar başarı sonrası yaptığı alaycı ve övüngen paylaşımlarıyla da tanınan, çoğunluğu gençlerden oluşan Lapsu$ adlı bir fidye yazılımı grubuna sattığı düşünülüyor.
Bu olaylar, tek bir saldırının ne kadar yaygın etkiler yaratabileceğini gözler önüne seriyor. Hem Checkmarx hem de Bitwarden'ın etkilenmesiyle, müşterilerine veya iş ortaklarına yönelik yeni saldırıların başlaması ve bu saldırılardan daha da fazla zincirleme etkilere yol açılması mümkün. Güvenlik firması Socket'in CEO'su, güvenlik kuruluşlarının hassas verilere yakınlığı ve internet genelindeki geniş dağılımları nedeniyle özel hedefler olduğunu belirtti. CEO, "Bu tür saldırılarda aynı eğilimi göreceksiniz. Saldırganlar, güvenlik araçlarını hem hedef hem de yayılma mekanizması olarak kullanıyorlar. Tedarik zincirini koruması gereken ürünlere saldırıyorlar ve ardından bu ürünleri kimlik bilgileri çalmak ve bir sonraki kurbana ilerlemek için kullanıyorlar." şeklinde konuştu.
