İnternet dünyası, yeni ve şimdiye kadar görülmemiş bir tehditle çalkalanıyor. Kendi kendine yayılan ve durmak bilmeyen bir zararlı yazılım, açık kaynak yazılımlara sızarak geliştirme süreçlerini hedef alıyor. İşin daha da dikkat çekici boyutu ise, bu siber saldırının özellikle Türkiye'deki makineleri hedef alan bir veri silme (wiper) özelliğine sahip olması.
Siber güvenlik araştırmacıları tarafından TeamPCP olarak izlenen bu yeni hacker grubu, Aralık ayından bu yana internette etkili bir kampanya yürütüyor. Grubun ilk olarak, yeterince güvenli olmayan bulut tabanlı platformları hedef alan, kendi kendine yayılan bir solucan (worm) kullandığı tespit edildi. Bu solucanın temel amacı, dağıtılmış bir proxy ve tarama altyapısı oluşturarak sunucuları ele geçirmek, verileri çalmak, fidye yazılımı dağıtmak, şantaj yapmak ve kripto para madenciliği gerçekleştirmekti. Grubun, büyük ölçekli otomasyon ve bilinen saldırı tekniklerinin entegrasyonundaki ustalığı dikkat çekiyor.
Dur durak bilmeyen ve Sürekli Gelişen Bir Tehdit
Daha yakın bir zamanda TeamPCP, giderek daha fazla sistemi kontrol altına almak için sürekli gelişen zararlı yazılımlar kullanarak amansız bir kampanya başlattı. Geçtiğimiz hafta sonunda, oldukça yaygın kullanılan Trivy zafiyet tarayıcısının neredeyse tüm sürümleri, bu tarayıcının geliştiricisi olan Aqua Security'nin GitHub hesabına yetkili erişim sağlayarak bir tedarik zinciri saldırısı yoluyla ele geçirildi.
Hafta sonu boyunca araştırmacılar, TeamPCP'nin aynı zamanda solucan benzeri özelliklere sahip güçlü bir zararlı yazılım yaydığını gözlemledi. Bu, kullanıcı etkileşimi gerektirmeden yeni makinelere otomatik olarak yayılabileceği anlamına geliyor. Bir makineyi enfekte ettikten sonra zararlı yazılım, npm deposu için erişim belirteçlerini tarıyor ve ele geçirilen herhangi bir yayınlanabilir pakete zararlı kodla dolu yeni bir sürüm oluşturarak bulaşıyor. Yapılan gözlemlere göre, solucan 60 saniyeden kısa bir sürede 28 paketi hedef aldı.
Başlangıçta, bir saldırganın ele geçirilen bir npm belirtecinin erişebildiği her pakete solucanı manuel olarak yayması gerekiyordu. Ancak hafta sonu yayınlanan daha sonraki sürümler bu gerekliliği ortadan kaldırarak solucanın erişim alanını genişletti.
Solucan, kurcalanmaya karşı dayanıklı olacak şekilde tasarlanmış sıra dışı bir mekanizma ile kontrol ediliyordu. Bu mekanizma, üçüncü taraflarca kaldırılamayacak veya değiştirilemeyecek şekilde tasarlanmış kendi kendini uygulayan akıllı sözleşme biçimi olan İnternet Bilgisayar Protokolü (Internet Computer Protocol) tabanlı bir canister kullanıyordu. Bu canister, zararlı ikili dosyalar barındıran sunucular için sürekli değişen URL'lere işaret edebiliyordu. Bu sayede saldırganlar, solucanın kontrol sunucularını bulmasını sağlayarak URL'leri diledikleri zaman değiştirebiliyordu. Enfekte olan makineler her 50 dakikada bir canister'a rapor veriyordu.
Aikido araştırmacısı Charlie Eriksen, e-posta yoluyla yaptığı açıklamada, canister'ın Pazar gecesi devre dışı bırakıldığını ve artık erişilebilir olmadığını belirtti.
Eriksen, "Bekledikleri kadar güvenilir ve dokunulmaz değildi. Ancak bir süre boyunca enfekte olan sistemleri silebilirdi." dedi.
TeamPCP'nin önceki zararlı yazılımları gibi, Aikido'nun CanisterWorm olarak adlandırdığı bu zararlı yazılım da, hızlı yazılım geliştirme ve dağıtımı için kullanılan CI/CD (Sürekli Entegrasyon / Sürekli Dağıtım) hatlarını hedef alıyor.
Eriksen, "Bu paketi yükleyen ve erişilebilir bir npm belirtecine sahip olan her geliştirici veya CI hattı, farkında olmadan bir yayılma vektörü haline geliyor. Paketleri enfekte oluyor, alt kullanıcıları bunları yüklüyor ve eğer bunlardan herhangi birinin belirteçleri varsa, döngü tekrar ediyor." ifadelerini kullandı.
Hafta sonu ilerledikçe, CanisterWorm ek bir yük eklenerek güncellendi: özel olarak İran'daki makineleri hedef alan bir veri silici. Güncellenmiş solucan makineleri enfekte ettiğinde, makinenin İran saat diliminde olup olmadığını veya o ülkedeki kullanım için yapılandırılıp yapılandırılmadığını kontrol ediyor. Bu koşullardan herhangi biri karşılandığında, zararlı yazılım kimlik bilgisi hırsızını aktif hale getirmek yerine, TeamPCP geliştiricilerinin Kamikaze adını verdiği yeni bir siliciyi tetikliyordu. Eriksen, solucanın İran makinelerinde gerçek hasara neden olduğuna dair henüz bir işaret olmadığını, ancak "aktif yayılma sağlaması durumunda büyük ölçekli etki potansiyeli" olduğunu belirtti.
Eriksen, Kamikaze'nin "karar ağacının basit ve acımasız olduğunu" söyledi.
- Kubernetes + İran: Kümedeki her düğümü (node) silen bir DaemonSet dağıtılır.
- Kubernetes + diğer yerler: CanisterWorm arka kapısını her düğüme yükleyen bir DaemonSet dağıtılır.
- Kubernetes Yok + İran:
rm -rf / --no-preserve-rootkomutu çalıştırılarak sistem tamamen silinir. - Kubernetes Yok + diğer yerler: Hiçbir işlem yapılmaz, zararlı yazılım çıkar.
TeamPCP'nin, ABD'nin şu anda savaşta olduğu bir ülkeyi hedeflemesi dikkat çekici bir tercih. Grubun şimdiye kadarki motivasyonu finansal kazançtı. Parasal bir fayda ile net bir bağlantısı olmayan silme özelliği, TeamPCP için sıra dışı görünüyor. Eriksen, Aikido'nun hala motivasyonu bilmediğini belirtti.
Sürekli Yeni Tehditler Üreten Saldırı
Geçen haftaki Trivy'nin tedarik zinciri ele geçirilmesi, Şubat ayının sonlarında Aqua Security'nin daha önceki bir ele geçirilmesi sayesinde mümkün oldu. Şirketin müdahale süreci, ele geçirilen tüm kimlik bilgilerini değiştirmeyi amaçlasa da, bu işlem tamamlanamadı ve TeamPCP'nin zafiyet tarayıcısını dağıtmak için kullanılan GitHub hesabının kontrolünü ele geçirmesine olanak tanıdı. Aqua Security, buna karşılık daha kapsamlı bir kimlik bilgisi temizliği gerçekleştirdiğini belirtti.
Hafta sonu boyunca hacker grubu, Aqua Security'nin Docker Hub hesabını ele geçirmeyi ve tarayıcı için iki zararlı güncelleme yayınlamayı başardı. TeamPCP ayrıca Aqua Security'ye ait ikinci bir GitHub hesabını ele geçirerek Tracee'nin kaynak kodu, Trivy'nin dahili çatalları, CI/CD hatları, Kubernetes operatörleri ve ekip bilgi tabanları dahil olmak üzere 44 dahili depoyu tahrif etti, yeniden adlandırdı ve yayınladı. Görünüşe göre şirketin geçen haftaki kimlik bilgilerini tamamen döndürme girişimleri de başarısız oldu.
Güvenlik firması Socket'in araştırmacıları e-posta yoluyla yaptıkları açıklamada, "CanisterWorm kampanyası, ayrı bir operasyondan ziyade başlangıçtaki Trivy ele geçirilmesinin doğrudan bir uzantısı gibi görünüyor. Bu aynı zamanda ilk ihlalden sonra saldırganın devam eden erişimiyle, zararlı Trivy görüntülerini (v0.69.5 ve v0.69.6) Docker Hub'a yayınlama ve dahili Aqua depolarını açığa çıkarma yeteneği dahil olmak üzere, yetersiz kontrol altına alma ve yayın altyapısı üzerindeki devam eden kontrolüyle de tutarlıdır." ifadelerini kullandı.
Hassas geliştirici hatları ve makineleri arasında solucan gibi ilerleme yeteneğiyle CanisterWorm, TeamPCP'nin mümkün olduğunca çok kimlik bilgisi çalma kampanyasında ciddi bir tırmanışı temsil ediyor. Geliştirme kuruluşları, farkında olmadan etkilendiklerinin bilincinde olmalıdır. Hem Aikido hem de Socket, bu kuruluşların hedef alınıp alınmadıklarını veya etkilendiklerini belirlemek için kullanabilecekleri göstergeler yayınladı.
