2 puan yazan GN⁺ 2023-09-08 | 1 yorum | WhatsApp'ta paylaş
  • Google TAG’in takip ettiği, Kuzey Kore devleti destekli olduğu düşünülen saldırganlar güvenlik açığı araştırma ve geliştirme güvenliği araştırmacılarını hedef almaya devam ediyor; son kampanyada aktif olarak istismar edilen bir 0-day de tespit edildi
  • Saldırganlar X üzerinde ilişki kurduktan sonra konuşmayı Signal, WhatsApp ve Wire’a taşıyor; güven kazandıkları araştırmacılara popüler yazılım paketlerinde bulunan 0-day’i içeren kötü amaçlı dosyalar gönderiyor
  • Exploit başarılı olduktan sonra shellcode sanal makine tespiti yapıyor ve topladığı bilgileri ve ekran görüntülerini saldırganın kontrolündeki C2 alan adına gönderiyor
  • Ayrı bir bulaşma yolu olduğundan şüphelenilen Windows aracı GetSymbol, hata ayıklama sembolleri indirme yardımcı programı gibi görünüyor; ancak saldırganın kontrolündeki alan adından rastgele kod indirip çalıştırabiliyor
  • TAG, ilgili alan adlarını Safe Browsing’e ekledi; hedef alınan Gmail ve Workspace kullanıcılarına devlet destekli saldırgan uyarısı gönderiyor ve Chrome Enhanced Safe Browsing ile cihazların güncel tutulmasını öneriyor

Güvenlik araştırmacılarının tekrar tekrar hedef alınması

  • Google Threat Analysis Group (TAG), Ocak 2021’de Kuzey Kore devleti destekli bir aktörün 0-day exploit’lerle güvenlik açığı araştırması yapan güvenlik araştırmacılarını hedef aldığı bir kampanyayı açıklamıştı
  • O zamandan sonraki iki buçuk yıl boyunca TAG, aynı aileden kampanyaları izlemeye ve engellemeye devam ederek 0-day’leri buldu ve çevrimiçi kullanıcıları korudu
  • Yakın zamanda tespit edilen yeni kampanya, önceki faaliyetlerle benzerlikleri nedeniyle muhtemelen aynı aktöre ait
  • Son haftalarda güvenlik araştırmacılarını hedef alan saldırılarda aktif olarak istismar edilen en az 1 adet 0-day kullanıldı ve ilgili güvenlik açığı etkilenen tedarikçiye bildirildi
  • Tedarikçi 12 Eylül 2023’te bir yama yayımladı; TAG ise Google’ın açıklama politikası uyarınca root cause analysis yayımladı

Sosyal ilişki kurduktan sonra kötü amaçlı dosya gönderme

  • Saldırganlar, önceki kampanyalarda olduğu gibi hedef araştırmacılarla önce X gibi sosyal medya platformlarında temas kuruyor
    • Bir örnekte, ortak ilgi alanları üzerinden bir güvenlik araştırmacısıyla aylar boyunca konuşmayı sürdürüp iş birliği denemesinde bulundular
    • X’te başlayan konuşmalar Signal, WhatsApp ve Wire gibi şifreli mesajlaşma uygulamalarına taşındı
  • Güven oluştuğunda saldırgan, popüler yazılım paketlerinden birinde en az 1 0-day içeren kötü amaçlı dosyayı gönderiyor
  • Exploit başarılı olursa shellcode birden fazla sanal makine karşıtı kontrol gerçekleştiriyor
    • Ardından topladığı bilgileri ve ekran görüntülerini saldırganın kontrolündeki komut-kontrol alan adına gönderiyor
    • Shellcode’un yapılandırılma biçimi, daha önce Kuzey Kore exploit’lerinde gözlemlenen shellcode ile benzerlik taşıyor

GetSymbol üzerinden olası ikincil bulaşma yolu

  • Saldırganlar, 0-day hedeflemesinden ayrı olarak bağımsız çalışan bir Windows aracı da geliştirdi
  • Bu araç, reverse engineer’lar için Microsoft, Google, Mozilla ve Citrix sembol sunucularından hata ayıklama sembolleri indirme amacı taşıdığını öne sürüyor
  • Kaynak kodu ilk olarak 30 Eylül 2022’de GitHub’da yayımlandı ve sonrasında çeşitli güncellemeler dağıtıldı
  • Dışarıdan, farklı kaynaklardan sembol bilgilerini hızlıca indiren bir yardımcı program gibi görünüyor
    • Symbols, binary’ler hakkında ek bilgi sağlayarak yazılım sorunlarını ayıklamaya veya güvenlik açığı araştırmasına yardımcı olabilir
  • Ancak bu araçta saldırganın kontrolündeki alan adından rastgele kod indirme ve çalıştırma işlevi de bulunuyor
  • TAG, bu aracı indirdiyseniz veya çalıştırdıysanız sistemin bilinen temiz bir durumda olduğundan emin olmanızı öneriyor; işletim sisteminin yeniden kurulması gerekebilir

Google’ın koruma önlemleri

  • TAG, ciddi tehdit aktörlerine karşı yürüttüğü araştırmalardan elde edilen bulguları Google ürünlerinin güvenliğini ve emniyetini iyileştirmek için kullanıyor
  • Tespit edilen tüm web siteleri ve alan adları, bulunur bulunmaz Safe Browsing kapsamına eklenerek kullanıcılar ek istismarlardan korunuyor
  • Hedef alınan Gmail ve Workspace kullanıcılarına government-backed attacker alerts gönderiliyor
  • Olası hedeflere Chrome’un Enhanced Safe Browsing özelliğini etkinleştirmeleri ve tüm cihazlarını güncel tutmaları öneriliyor
  • Taktik ve tekniklere dair anlayış arttıkça tehdit avcılığı kapasitesi ve sektör genelinde kullanıcı koruması da güçlenebilir

Saldırgan kontrolündeki siteler ve hesaplar

1 yorum

 
GN⁺ 2023-09-08
Hacker News yorumları
  • GitHub'daki getsymbol aracı 214 yıldız almış, ancak kötü amaçlı bir araç olduğuna dair hiçbir uyarı bandı görünmüyor
    Yakın zamanda açılan bir issue'da Google blog yazısına bağlantı var, ama hepsi bu
    GitHub'dan biri bunu görüyorsa, bu araca ve bilinen arka kapısı olan diğer yazılımlara (ör. fork'lara) arka kapı uyarı bandı ya da modalı eklemelerini şiddetle öneririm

    • GitHub'daki kodun da kötü amaçlı olabileceğini ve yazarın benzer ilgi alanlarına sahip görünmesi nedeniyle körü körüne güvenilmemesi gerektiğini hatırlatan iyi bir reminder da bu
      Ben de bunu birkaç kez yaptım :(
    • Kaynak kodun kendisi nispeten temiz görünüyor ve otomatik güncelleme işlevi de bir onay penceresinin arkasına konmuş gibi
      Arka kapının ikili sürümlere ya da otomatik güncelleme ikilisine konmuş olma ihtimali çok daha yüksek
      Kendiniz derleyip otomatik güncellemeyi kabul ederseniz enfekte olabilirsiniz; ikili dosya 15 MB'ı aştığı için küçük bir arka kapıyı saklamak için fazlasıyla yeterli alan var
    • getsymbol'ı yıldızlayan hesapları, olay kamuya açılmadan önceki hâlleriyle analiz etmeye değer
      Diğer obscure projelerle ortak noktaları varsa, bu hesapların kukla hesaplar olabileceğine dair bir işaret olabilir
    • Az önce kaldırılmış gibi görünüyor
    • Depoyu kötü amaçlı yazılım olarak bildirdim; nasıl ele alınacağını göreceğim
  • Popüler indirme sitelerinin ne kadar güvenilir olduğunu merak ediyorum
    Örneğin ffmpeg Windows ikilileri[1] bir kişinin sitesinde barındırılıyor
    Sağlama toplamları vb. kontrol edilebilir, ama yine de belirli bir Git commit'iyle bağlantılı olduğunun garantisi yok
    Yeniden üretilebilir veya kanıtlanmış derlemeler olmadan GitHub dışı/resmî olmayan barındırılan indirmeleri varsayılan olarak devlet aktörü gibi kabul eder hâle geliyorum
    Paranoyak mıyım? Linux/Mac paket yöneticileri bunu nasıl çözüyor?
    [1] https://ffmpeg.org/download.html

    • Resmî web sitesindeki ikililerde bile, web sitesi hack'lenip sağlama toplamları da değiştirilirse tuzağa düşebilirsiniz
      Gerçekten de Linux Mint'te böyle bir şey yaşanmıştı
      https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
    • GitHub'a neden güveniyorsunuz? GetSymbol aracı da orada 215 yıldız almıştı
      Issue'lara bakmazsanız tamamen normal görünüyor
      https://github.com/dbgsymbol/getsymbol
    • mpv'de de aynı sorun var: https://mpv.io/installation/
      Windows indirmelerini SourceForge'daki "shinchiro", MacOS indirmelerini ise stolendata.net'teki "stolendata" sağlıyor
    • Linux/Mac paket yöneticileri bunu, ikilileri kaynaktan derleyip kendi sunucularında barındırarak çözmüyor mu?
    • Bu alandaki arama terimi/buzzword Yeniden Üretilebilir Derlemeler (Reproducible Builds)
      Hâlâ daha çok erken aşamada
  • Şok edici ya da yeni değil, ama ilginç
    Neden güvenlik araştırmacılarına karşı 0-day kullansınlar? Tahminimce avantajları olan bir test
    Güvenlik araştırmacısında işe yararsa iyi bir açık olduğunu görüp gerçek operasyonlarda kullanabilirler; uzun vadede de o araştırmacıdan 1+x adet 0-day elde etme ihtimalini hesaplamış olmalılar
    Güvenlik araştırmacısı açısından da ilginç bir durum
    Yeterince dikkatli olup yeterince aptalmış gibi davranabilirseniz taze saldırı vektörlerini veya 0-day'leri “bedavaya” toplayabilirsiniz; ama kendinizi fazla büyütürseniz anında soyulursunuz

    • Güvenlik araştırmacılarının genelde daha fazla 0-day'i olur
    • Ya da sadece hedefin sahip olduğu erişim yetkilerini hedeflemiş olabilirler
    • Bunun kesin nedeni Kuzey Kore'nin 0-day'in piyasa fiyatını ödemek istememesi
  • Bu araçta, saldırganın kontrolündeki bir alan adından keyfî kod indirme ve çalıştırma işlevi de var
    Başka bir deyişle otomatik güncelleme
    Big Tech'in halka böyle bir bağımlılığı kabul ettirmesi ya da seçenekleri zorla ortadan kaldırması sayesinde; şimdi bu bağımlı ve güvenen tutumun güvenlik araştırmacılarına kadar yayılıp geri dönerek onları ısırması ironik
    Bazılarımız bu tutumun nereye varacağını en başından biliyordu; hepimiz de güvenlik araştırmacısı değildik
    Sadece birinin makinelerimize bir şeyler itip çalıştırmasına izin verdiğimizde ortaya çıkan diğer olumsuz etkileri görmüştük ve ikisi arasındaki bağlantıyı kurmuştuk

  • Tamamen spekülasyon, ama yeni macOS güvenlik güncellemesi az önce çıktı ve içinde şu var
    “Etki: Kötü amaçlı hazırlanmış bir görüntünün işlenmesi keyfî kod yürütülmesine yol açabilir. Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir rapordan haberdardır.”
    https://support.apple.com/en-us/HT213906
    Bahis oynayan biri değilim, ama tartışılan açığın bunun olduğunu tahmin ediyorum

  • Merak ettiğim şu:
    Bu Kuzey Korelilerin 0-day bulmak için fiilen gerekli olduğundan sınırsız internet erişimine sahip oldukları kesin; İngilizceyi de en azından anlayabildikleri kesin.
    Peki devlet medyasının sakladığı şeyleri gösteren medyayla nasıl olur da tesadüfen karşılaşmamış olabilirler?

    • “Bizim gizli ajanlarımızın hepsi sadık vatansever, karşı tarafın ajanlarının hepsi beyni yıkanmış rehineler!”
      Gerçekçi bakarsak, diğer ülkelerin istihbarat teşkilatları gibi elbette vatanseverliğe bakarak seçiyorlardır.
      Bu soru, bir ABD istihbarat görevlisinin Kuzey Kore hakkında propagandanın ötesinde bilgilere eriştiği hâlde, Kuzey Kore’nin daha iyi sağlık güvencesi, okul silahlı saldırılarının olmaması ve daha iyi çöp yönetimi nedeniyle neden Kuzey Kore’ye sığınmadığını sormaya benziyor.
      Muhtemelen Kuzey Kore toplumunda daha iyi görünen yönlere değer vermiyorlar ve belirli koşullarda gerçekten daha iyi olduklarına da inanmıyorlar.
      Kuzey Kore istihbarat teşkilatlarının farklı olması için pek bir neden göremiyorum.
    • Kuzey Kore istihbarat teşkilatlarının Batı medyasındaki içerikleri bilmediğini mi düşünüyorsun?
      Muhtemelen biliyorlardır.
      Onları kontrol etmenin başka yolları var; havuç Kuzey Kore içindeki ayrıcalıklar, sopa ise çizgiyi aştıklarında kendilerinin ve ailelerinin başına gelecekler.
    • Seçenekler pek fazla görünmüyor.
      Daha özgür bir ülkeye gitmek tüm Kuzey Koreliler için zor; havuç ve sopa yüzünden muhtemelen hacklemeyi öylece bırakmaları da mümkün değildir.
      Muhtemelen yakından izleniyorlardır.
      Bazıları propagandaya gerçekten inanıyor da olabilir; bu kişilere de epey iyi davranılıyordur.
    • Batı propaganda makinesinin Kuzey Kore hakkında ortaya attığı çılgın şeyleri görüp aksine rahatlıyor da olabilirler.
      Bu, Kuzey Kore’nin yanlışlarını aklamaz.
    • Harika BBC podcast’i The Lazarus Heist, Kuzey Koreli hackerların hayatını bir ölçüde ele alıyor: https://www.bbc.co.uk/programmes/w13xtvg9/episodes/downloads
      Bu kişiler çalıştıkları yerde yakından izleniyor ve çoğu zaman aileleri üzerinden tehdit ediliyor.
  • Bir güvenlik araştırmacısının sohbette tanımadığı birinden aldığı Windows binary’sini çalıştırma ihtimalinin ne kadar olduğunu merak ediyorum.
    Bu artık güvenliğe giriş seviyesinden önce, neredeyse düpedüz sağduyu meselesi.
    Aksine, araştırmacıların o binary ile güvenli bir ortamda oynama fırsatı yakalamış olabileceğini düşünüyorum.
    Saldırgan kaynak kodunu da yayımladığı için reverse engineering yapmaya da gerek kalmamış olmalı.
    İyi kalpli black hat’ler yani.
    Bu arada bağlantısı verilen depoda exploit’i bulabilecek biri var mı? Ne yaptığını merak ediyorum ama tüm dosyaları tek tek incelemeye üşeniyorum.
    Orijinal makale de o bağlantıyı verebilir ve bu projenin Kuzey Koreli hackerlarla bağlantılı olduğuna hangi gerekçeyle karar verdiklerini söyleyebilirdi.

    • Sandığından çok daha sık oluyor.
      Genç bilgi güvenliği uzmanları OSCP, eJPT gibi sertifikalar almaya teşvik ediliyor; bu sertifika piyasasında da çoğu zaman bilinen makineleri ele geçirmen gerekiyor.
      Bu yüzden Discord sunucularında birbirine “yardım etme” kültürü oluşuyor; bu yardımın bir kısmı da binary veya obfuscate edilmiş kaynak kodu biçiminde oluyor.
      Bunu sızma testi işlerinde kullanılan dizüstü bilgisayarda çalıştırıyorlar.
      O dizüstünde rapor yazma sunucusuna giriş için SSH anahtarları var; sonunda ele geçirilirse Kuzey Kore ABD’deki özel şirket verilerine ve zafiyetlere erişmiş oluyor.
      Gerçekte böyle bir şeye tanık olmuş bile olabilirim.
    • Bahsettikleri tehdit bu değil.
      Bir programın okuduğu bir belgenin 0-day istismar ettiği ve o belgenin alındığı söyleniyor.
    • Bu projenin Kuzey Koreli hackerlarla bağlantılı olduğunun kanıtını soruyorsan, yüksek güvenle attribution yapıp yöntemi açıklamadıkları durumlarda, gelecekte de işe yarayabilecek kaynakları veya göstergeleri yakmak istemediklerini varsaymak oldukça makul.
      Çünkü açıklanırsa muhtemelen artık işe yaramaz hâle gelir.
    • “Tehdit aktörleri, popüler bir yazılım paketindeki en az bir 0-day’i içeren kötü amaçlı dosyalar gönderdi” ifadesi, bunun bir çalıştırılabilir dosya olmadığı anlamına geliyor.
    • Güvenliğe girişin özü, bir gün herkesin hata yapacağıdır. Herkesin.
      Bir güvenlik araştırmacısının ortamı iyi tasarlanmamışsa, ister bütçe sorunu ister dikkatsizlik olsun, bu gerçekten yaşanır ve saldırgan çok hızlı biçimde lezzetli iç kısma ulaşabilir.
  • Araştırmacıların bu tür kampanyalara bu kadar rahat attribution yapmasından endişeliyim.
    Attribution metodolojisini asla açıklamıyorlar, ama teknik olmayan kişilerin en çok dikkatini çeken şey her zaman bu attribution oluyor.
    Bu makalede bile ilk iki kelime attribution yapılmış aktör.
    Ama bunu kanıtlamanın hiçbir yolu yok.
    İnternette attribution gerçekten, gerçekten, gerçekten zordur.
    Haklı mı haksız mı olduğumuzu bağımsız olarak değerlendirme yolumuz olmadığı için ne kadar zor olduğunu da bilmiyoruz.
    Attribution’ın siyasi saiklerden bağımsız olduğunu düşünmek saflık olur.

    • Citlab, ticari güvenlik istihbaratı elde etmek için çeşitli özel veri brokerlarıyla çalışıyor ve raporlarda da sık sık referans gösteriliyor.
      Buna dayanarak attribution’ın genel olarak doğru olduğunu varsayıyorum.
      Ancak bir adım geri çekilip nesnel bakınca, o istihbaratın kaynağının mahremiyeti ihlal edici olması bakımından epey ikiyüzlü görünüyor.
  • Kuzey Kore’de genel nüfusun bilişim eğitimi seviyesi bu kadar zayıfken, böyle işler yapacak kadar ileri düzey hacker ve siber güvenlik personelini yeterince bulabilmeleri şaşırtıcı.

    • Kuzey Kore uzmanlarından okuduğuma göre, Kuzey Kore bilinçli olarak çok yoğun bir şekilde hacker yetiştiriyor.
      Kuzey Kore’de bir çocuk matematik yeteneği gösterirse izlemeye alınıyor; yeterince iyiyse özel matematik okuluna gönderiliyor ve fiilen başka pek bir şey öğrenmiyor.
      Ardından tek teknik üniversiteye gönderilip yıllarca yoğun biçimde bilgisayar programlama çalışıyor.
      Kriterleri geçerse Çin’e gönderiliyor; daha iyi internet erişimini kullanarak MMORPG altını çalmaktan phishing saldırılarına ve 0-day aramaya kadar işler yapıyor.
      Günde 12 saat çalışma, sürekli performans baskısı ve dar yurt odalarında yaşam; kulağa kasvetli bir hayat gibi geliyor.
      Yani biraz Silicon Valley’ye benziyor ;)
    • Zengin veya bağlantıları olan Kuzey Koreliler Batı’daki ve Çin’deki çeşitli seçkin okullarda eğitim alıyor.
      Hatta en tepedeki diktatör bile ortaokul ve liseyi İsviçre’de okudu.
    • Çevre ülkelerden birinin yetenek havuzundan yararlanıyor olmaları neredeyse kesin.
  • “Keşfedildiği anda doğrulanan tüm web siteleri ve alan adları, kullanıcıları ek istismarlardan korumak için Safe Browsing’e eklenir.”
    Brave tarayıcıda dbgsymbol.com için Safe Browsing uyarısı çıkmıyor.
    Uyarı: Bilinmeyen vektör.

    • Safe Browsing, hack tespiti için değil; Google’ın kullanıcıları kolayca izlemesi için var.