Kaspersky Lab, "tedarik zinciri saldırısı" olarak bilinen bir yöntemle çok sayıda kullanıcıyı etkileyen yeni bir gelişmiş kalıcı tehdit (APT) keşfetti.

Kaspersky Lab'den yapılan açıklamaya göre, yapılan araştırmada, ShadowHammer Operasyonu’nun ardındaki tehdit grubunun 2018 Haziran-Kasım'da bir arka kapı aracılığıyla ASUS Live Update kullanıcılarını hedef aldığı tespit edildi.

En tehlikeli ve etkili saldırı vektörlerinden biri olan tedarik zinciri saldırıları, son yıllarda ShadowPad ve CCleaner gibi örneklerde de görüldüğü gibi gelişmiş operasyonlarda sıkça kullanılmaya başlandı.

Bu saldırılarda, ürünlerin ilk geliştirilme aşamasından son kullanıcıya ulaşmasına kadar geçen sürece dahil olan insanlar, kurumlar, malzemeler ve fikri kaynaklar arasında bağlantı kuran sistemlerdeki belirli zayıflıklar hedef alınıyor. Markaların altyapıları güvenli olsa da hizmet sağlayıcılarında tedarik zincirini sabote etmek için kullanılabilecek açıklar bulunabiliyor. Bu da beklenmeyen yıkıcı veri sızıntılarına yol açabiliyor.

ShadowHammer’ın arkasındaki tehdit grupları ilk bulaşma noktası olarak ASUS Live Update aracını hedef aldı. Çoğu yeni ASUS bilgisayara ön yüklü olarak gelen bu araç otomatik BIOS, UEFI, sürücü ve uygulama güncellemeleri için kullanılıyor.

Tespit edilmemeye büyük önem veriyorlar

Yasal ikilileri imzalamak için ASUS’un kullandığı dijital sertifikaları çalan saldırganlar, ASUS yazılımının eski sürümleri üzerinde değişiklik yaparak kendi zararlı kodlarını bulaştırdı. Aracın Truva atına dönüştürülen sürümleri yasal sertifikalarla onaylandıktan sonra ASUS’un resmi güncelleme sunucularından dağıtıldı. Bu nedenle koruma çözümlerinin çoğu bunu tespit edemedi.

Böylece yazılımı kullanan herkes potansiyel kurban haline gelse de ShadowHammer’ın arkasındaki gruplar daha önceden haklarında bilgi sahibi oldukları birkaç yüz kullanıcıya odaklandı.

Kaspersky Lab araştırmacıları her arka kapı kodunda, MAC adreslerinden oluşan tablolar bulunduğunu keşfetti. Bir bilgisayarı ağa bağlamak için kullanılan ağ adaptörleri bu MAC adresleriyle ayırt ediliyor.

Arka kapı çalışmaya başlayınca MAC adresini bu tabloyla doğruluyor. MAC adresi listedekilerden biriyle eşleştiğinde zararlı kodun diğer aşaması indiriliyor. Eşleşme olmadığında ise sisteme sızan yazılım ağda hiçbir etkinlik göstermiyor, bu sayede uzun süre tespit edilmeden kalabiliyor. Güvenlik uzmanları toplamda 600’den fazla MAC adresi belirlemeyi başardı. Bunlara birbirinden farklı kabuk kodlarına sahip 230 benzersiz arka kapı örneğiyle saldırı düzenlendi.

Zararlı yazılımı çalıştırırken kod veya veri sızıntısını önlemek için kullanılan modüler yaklaşım ve alınan ekstra önlemler, bu gelişmiş saldırının arkasındaki isimlerin belirli hedefleri hassas bir şekilde vururken tespit edilmemeye büyük önem verdiğini gösteriyor. Derinlemesine teknik analizlerde grubun üst düzey saldırganlardan oluştuğu ve çok gelişmiş araçlara sahip olduğu görüldü.

Benzer zararlı yazılımlara yönelik yapılan aramalarda, Asya’dan üç başka markanın da çok yakın yöntemler ve teknikler kullanılarak hedef alındığı ortaya çıktı. Kaspersky Lab bu sorunu Asus ve diğer markalara bildirdi.

Kaspersky Lab ürünleri ShadowHammer Operasyonu'nda kullanılan zararlı yazılımları engelleyebiliyor

Verilen bilgiye göre, Kaspersky Lab uzmanları saldırının tüm dünyada bir milyondan fazla kişiyi etkilemiş olabileceğini tahmin ediyor. Kaspersky Lab ürünleri ShadowHammer Operasyonu’nda kullanılan zararlı yazılımları tespit edip engelleyebiliyor.

Kaspersky Lab araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

"Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın. Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir EDR çözümü kullanılmasını veya profesyonel bir vaka müdahale ekibiyle iletişime geçilmesini tavsiye ediyoruz. SIEM ve diğer güvenlik kontrollerine Tehdit İstihbaratı akışlarını ekleyerek, ileride karşılaşabileceğiniz saldırılara hazırlanmak için sizinle ilgili güncel tehdit verilerine ulaşın."

Kaspersky Lab, ShadowHammer Operasyonu hakkında topladığı tüm bulguları 9-11 Nisan'da Singapur’da düzenlenecek "Güvenlik Analistleri Zirvesi 2019"da sunacak.

ShadowHammer saldırısı hakkında hazırlanan rapor Kaspersky İstihbarat Raporları Servisi müşterilerine sunuldu. Saldırıyı özetleyen blog yazısının yanı sıra kullanıcıların cihazlarının hedef olup olmadığını öğrenmesini sağlayan aracı Securelist adresinde bulunabiliyor. Cihaz kontrol işlemi ayrıca bu web sitesinden de yapılabiliyor.

"Saldırganlar bu markaların geniş müşteri kitlesinden yararlanmak istemiş"

Açıklamada görüşlerine yer verilen Kaspersky Lab APAC Global Araştırma ve Analiz Ekibi Direktörü Vitaly Kamluk, seçilen markaların APT grupları için çok çekici hedefler olduğunu belirterek, "Saldırganlar bu markaların geniş müşteri kitlesinden yararlanmak istemişler. Yapılan saldırının asıl amacı ise henüz tam olarak belli değil. Saldırganların kim olduğu ise halen araştırılıyor. Ancak yetkisiz kod çalıştırma için kullanılan teknikler ve keşfedilen diğer ipuçları, ShadowHammer’ın muhtemelen BARIUM APT ile ilişkili olduğunu gösteriyor. Bu grup daha önce ShadowPad ve CCleaner vakalarıyla gündeme gelmişti. Yeni olay, günümüzde akıllıca düzenlenen bir tedarik zinciri saldırısının ne kadar gelişmiş ve tehlikeli olabileceğinin bir örneği." ifadelerini kullandı.