- Google TAG’in takip ettiği, Kuzey Kore devleti destekli olduğu düşünülen saldırganlar güvenlik açığı araştırma ve geliştirme güvenliği araştırmacılarını hedef almaya devam ediyor; son kampanyada aktif olarak istismar edilen bir 0-day de tespit edildi
- Saldırganlar X üzerinde ilişki kurduktan sonra konuşmayı Signal, WhatsApp ve Wire’a taşıyor; güven kazandıkları araştırmacılara popüler yazılım paketlerinde bulunan 0-day’i içeren kötü amaçlı dosyalar gönderiyor
- Exploit başarılı olduktan sonra shellcode sanal makine tespiti yapıyor ve topladığı bilgileri ve ekran görüntülerini saldırganın kontrolündeki C2 alan adına gönderiyor
- Ayrı bir bulaşma yolu olduğundan şüphelenilen Windows aracı GetSymbol, hata ayıklama sembolleri indirme yardımcı programı gibi görünüyor; ancak saldırganın kontrolündeki alan adından rastgele kod indirip çalıştırabiliyor
- TAG, ilgili alan adlarını Safe Browsing’e ekledi; hedef alınan Gmail ve Workspace kullanıcılarına devlet destekli saldırgan uyarısı gönderiyor ve Chrome Enhanced Safe Browsing ile cihazların güncel tutulmasını öneriyor
Güvenlik araştırmacılarının tekrar tekrar hedef alınması
- Google Threat Analysis Group (TAG), Ocak 2021’de Kuzey Kore devleti destekli bir aktörün 0-day exploit’lerle güvenlik açığı araştırması yapan güvenlik araştırmacılarını hedef aldığı bir kampanyayı açıklamıştı
- O zamandan sonraki iki buçuk yıl boyunca TAG, aynı aileden kampanyaları izlemeye ve engellemeye devam ederek 0-day’leri buldu ve çevrimiçi kullanıcıları korudu
- Yakın zamanda tespit edilen yeni kampanya, önceki faaliyetlerle benzerlikleri nedeniyle muhtemelen aynı aktöre ait
- Son haftalarda güvenlik araştırmacılarını hedef alan saldırılarda aktif olarak istismar edilen en az 1 adet 0-day kullanıldı ve ilgili güvenlik açığı etkilenen tedarikçiye bildirildi
- Tedarikçi 12 Eylül 2023’te bir yama yayımladı; TAG ise Google’ın açıklama politikası uyarınca root cause analysis yayımladı
Sosyal ilişki kurduktan sonra kötü amaçlı dosya gönderme
- Saldırganlar, önceki kampanyalarda olduğu gibi hedef araştırmacılarla önce X gibi sosyal medya platformlarında temas kuruyor
- Bir örnekte, ortak ilgi alanları üzerinden bir güvenlik araştırmacısıyla aylar boyunca konuşmayı sürdürüp iş birliği denemesinde bulundular
- X’te başlayan konuşmalar Signal, WhatsApp ve Wire gibi şifreli mesajlaşma uygulamalarına taşındı
- Güven oluştuğunda saldırgan, popüler yazılım paketlerinden birinde en az 1 0-day içeren kötü amaçlı dosyayı gönderiyor
- Exploit başarılı olursa shellcode birden fazla sanal makine karşıtı kontrol gerçekleştiriyor
- Ardından topladığı bilgileri ve ekran görüntülerini saldırganın kontrolündeki komut-kontrol alan adına gönderiyor
- Shellcode’un yapılandırılma biçimi, daha önce Kuzey Kore exploit’lerinde gözlemlenen shellcode ile benzerlik taşıyor
GetSymbol üzerinden olası ikincil bulaşma yolu
- Saldırganlar, 0-day hedeflemesinden ayrı olarak bağımsız çalışan bir Windows aracı da geliştirdi
- Bu araç, reverse engineer’lar için Microsoft, Google, Mozilla ve Citrix sembol sunucularından hata ayıklama sembolleri indirme amacı taşıdığını öne sürüyor
- Kaynak kodu ilk olarak 30 Eylül 2022’de GitHub’da yayımlandı ve sonrasında çeşitli güncellemeler dağıtıldı
- Dışarıdan, farklı kaynaklardan sembol bilgilerini hızlıca indiren bir yardımcı program gibi görünüyor
- Symbols, binary’ler hakkında ek bilgi sağlayarak yazılım sorunlarını ayıklamaya veya güvenlik açığı araştırmasına yardımcı olabilir
- Ancak bu araçta saldırganın kontrolündeki alan adından rastgele kod indirme ve çalıştırma işlevi de bulunuyor
- TAG, bu aracı indirdiyseniz veya çalıştırdıysanız sistemin bilinen temiz bir durumda olduğundan emin olmanızı öneriyor; işletim sisteminin yeniden kurulması gerekebilir
Google’ın koruma önlemleri
- TAG, ciddi tehdit aktörlerine karşı yürüttüğü araştırmalardan elde edilen bulguları Google ürünlerinin güvenliğini ve emniyetini iyileştirmek için kullanıyor
- Tespit edilen tüm web siteleri ve alan adları, bulunur bulunmaz Safe Browsing kapsamına eklenerek kullanıcılar ek istismarlardan korunuyor
- Hedef alınan Gmail ve Workspace kullanıcılarına government-backed attacker alerts gönderiliyor
- Olası hedeflere Chrome’un Enhanced Safe Browsing özelliğini etkinleştirmeleri ve tüm cihazlarını güncel tutmaları öneriliyor
- Taktik ve tekniklere dair anlayış arttıkça tehdit avcılığı kapasitesi ve sektör genelinde kullanıcı koruması da güçlenebilir
Saldırgan kontrolündeki siteler ve hesaplar
-
GetSymbol
https://github[.]com/dbgsymbol/https://dbgsymbol[.]com- 50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
- 0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
- 2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
- 5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bd
-
C2 IP’leri/Alan adları
23.106.215[.]105www.blgbeach[.]com
-
X hesabı
-
Wire hesabı
@paul354
-
Mastodon hesabı
1 yorum
Hacker News yorumları
GitHub'daki getsymbol aracı 214 yıldız almış, ancak kötü amaçlı bir araç olduğuna dair hiçbir uyarı bandı görünmüyor
Yakın zamanda açılan bir issue'da Google blog yazısına bağlantı var, ama hepsi bu
GitHub'dan biri bunu görüyorsa, bu araca ve bilinen arka kapısı olan diğer yazılımlara (ör. fork'lara) arka kapı uyarı bandı ya da modalı eklemelerini şiddetle öneririm
Ben de bunu birkaç kez yaptım :(
Arka kapının ikili sürümlere ya da otomatik güncelleme ikilisine konmuş olma ihtimali çok daha yüksek
Kendiniz derleyip otomatik güncellemeyi kabul ederseniz enfekte olabilirsiniz; ikili dosya 15 MB'ı aştığı için küçük bir arka kapıyı saklamak için fazlasıyla yeterli alan var
Diğer obscure projelerle ortak noktaları varsa, bu hesapların kukla hesaplar olabileceğine dair bir işaret olabilir
Popüler indirme sitelerinin ne kadar güvenilir olduğunu merak ediyorum
Örneğin ffmpeg Windows ikilileri[1] bir kişinin sitesinde barındırılıyor
Sağlama toplamları vb. kontrol edilebilir, ama yine de belirli bir Git commit'iyle bağlantılı olduğunun garantisi yok
Yeniden üretilebilir veya kanıtlanmış derlemeler olmadan GitHub dışı/resmî olmayan barındırılan indirmeleri varsayılan olarak devlet aktörü gibi kabul eder hâle geliyorum
Paranoyak mıyım? Linux/Mac paket yöneticileri bunu nasıl çözüyor?
[1] https://ffmpeg.org/download.html
Gerçekten de Linux Mint'te böyle bir şey yaşanmıştı
https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
Issue'lara bakmazsanız tamamen normal görünüyor
https://github.com/dbgsymbol/getsymbol
Windows indirmelerini SourceForge'daki "shinchiro", MacOS indirmelerini ise stolendata.net'teki "stolendata" sağlıyor
Hâlâ daha çok erken aşamada
Şok edici ya da yeni değil, ama ilginç
Neden güvenlik araştırmacılarına karşı 0-day kullansınlar? Tahminimce avantajları olan bir test
Güvenlik araştırmacısında işe yararsa iyi bir açık olduğunu görüp gerçek operasyonlarda kullanabilirler; uzun vadede de o araştırmacıdan 1+x adet 0-day elde etme ihtimalini hesaplamış olmalılar
Güvenlik araştırmacısı açısından da ilginç bir durum
Yeterince dikkatli olup yeterince aptalmış gibi davranabilirseniz taze saldırı vektörlerini veya 0-day'leri “bedavaya” toplayabilirsiniz; ama kendinizi fazla büyütürseniz anında soyulursunuz
Bu araçta, saldırganın kontrolündeki bir alan adından keyfî kod indirme ve çalıştırma işlevi de var
Başka bir deyişle otomatik güncelleme
Big Tech'in halka böyle bir bağımlılığı kabul ettirmesi ya da seçenekleri zorla ortadan kaldırması sayesinde; şimdi bu bağımlı ve güvenen tutumun güvenlik araştırmacılarına kadar yayılıp geri dönerek onları ısırması ironik
Bazılarımız bu tutumun nereye varacağını en başından biliyordu; hepimiz de güvenlik araştırmacısı değildik
Sadece birinin makinelerimize bir şeyler itip çalıştırmasına izin verdiğimizde ortaya çıkan diğer olumsuz etkileri görmüştük ve ikisi arasındaki bağlantıyı kurmuştuk
Tamamen spekülasyon, ama yeni macOS güvenlik güncellemesi az önce çıktı ve içinde şu var
“Etki: Kötü amaçlı hazırlanmış bir görüntünün işlenmesi keyfî kod yürütülmesine yol açabilir. Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir rapordan haberdardır.”
https://support.apple.com/en-us/HT213906
Bahis oynayan biri değilim, ama tartışılan açığın bunun olduğunu tahmin ediyorum
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
https://support.apple.com/en-us/HT213905
Merak ettiğim şu:
Bu Kuzey Korelilerin 0-day bulmak için fiilen gerekli olduğundan sınırsız internet erişimine sahip oldukları kesin; İngilizceyi de en azından anlayabildikleri kesin.
Peki devlet medyasının sakladığı şeyleri gösteren medyayla nasıl olur da tesadüfen karşılaşmamış olabilirler?
Gerçekçi bakarsak, diğer ülkelerin istihbarat teşkilatları gibi elbette vatanseverliğe bakarak seçiyorlardır.
Bu soru, bir ABD istihbarat görevlisinin Kuzey Kore hakkında propagandanın ötesinde bilgilere eriştiği hâlde, Kuzey Kore’nin daha iyi sağlık güvencesi, okul silahlı saldırılarının olmaması ve daha iyi çöp yönetimi nedeniyle neden Kuzey Kore’ye sığınmadığını sormaya benziyor.
Muhtemelen Kuzey Kore toplumunda daha iyi görünen yönlere değer vermiyorlar ve belirli koşullarda gerçekten daha iyi olduklarına da inanmıyorlar.
Kuzey Kore istihbarat teşkilatlarının farklı olması için pek bir neden göremiyorum.
Muhtemelen biliyorlardır.
Onları kontrol etmenin başka yolları var; havuç Kuzey Kore içindeki ayrıcalıklar, sopa ise çizgiyi aştıklarında kendilerinin ve ailelerinin başına gelecekler.
Daha özgür bir ülkeye gitmek tüm Kuzey Koreliler için zor; havuç ve sopa yüzünden muhtemelen hacklemeyi öylece bırakmaları da mümkün değildir.
Muhtemelen yakından izleniyorlardır.
Bazıları propagandaya gerçekten inanıyor da olabilir; bu kişilere de epey iyi davranılıyordur.
Bu, Kuzey Kore’nin yanlışlarını aklamaz.
Bu kişiler çalıştıkları yerde yakından izleniyor ve çoğu zaman aileleri üzerinden tehdit ediliyor.
Bir güvenlik araştırmacısının sohbette tanımadığı birinden aldığı Windows binary’sini çalıştırma ihtimalinin ne kadar olduğunu merak ediyorum.
Bu artık güvenliğe giriş seviyesinden önce, neredeyse düpedüz sağduyu meselesi.
Aksine, araştırmacıların o binary ile güvenli bir ortamda oynama fırsatı yakalamış olabileceğini düşünüyorum.
Saldırgan kaynak kodunu da yayımladığı için reverse engineering yapmaya da gerek kalmamış olmalı.
İyi kalpli black hat’ler yani.
Bu arada bağlantısı verilen depoda exploit’i bulabilecek biri var mı? Ne yaptığını merak ediyorum ama tüm dosyaları tek tek incelemeye üşeniyorum.
Orijinal makale de o bağlantıyı verebilir ve bu projenin Kuzey Koreli hackerlarla bağlantılı olduğuna hangi gerekçeyle karar verdiklerini söyleyebilirdi.
Genç bilgi güvenliği uzmanları OSCP, eJPT gibi sertifikalar almaya teşvik ediliyor; bu sertifika piyasasında da çoğu zaman bilinen makineleri ele geçirmen gerekiyor.
Bu yüzden Discord sunucularında birbirine “yardım etme” kültürü oluşuyor; bu yardımın bir kısmı da binary veya obfuscate edilmiş kaynak kodu biçiminde oluyor.
Bunu sızma testi işlerinde kullanılan dizüstü bilgisayarda çalıştırıyorlar.
O dizüstünde rapor yazma sunucusuna giriş için SSH anahtarları var; sonunda ele geçirilirse Kuzey Kore ABD’deki özel şirket verilerine ve zafiyetlere erişmiş oluyor.
Gerçekte böyle bir şeye tanık olmuş bile olabilirim.
Bir programın okuduğu bir belgenin 0-day istismar ettiği ve o belgenin alındığı söyleniyor.
Çünkü açıklanırsa muhtemelen artık işe yaramaz hâle gelir.
Bir güvenlik araştırmacısının ortamı iyi tasarlanmamışsa, ister bütçe sorunu ister dikkatsizlik olsun, bu gerçekten yaşanır ve saldırgan çok hızlı biçimde lezzetli iç kısma ulaşabilir.
Araştırmacıların bu tür kampanyalara bu kadar rahat attribution yapmasından endişeliyim.
Attribution metodolojisini asla açıklamıyorlar, ama teknik olmayan kişilerin en çok dikkatini çeken şey her zaman bu attribution oluyor.
Bu makalede bile ilk iki kelime attribution yapılmış aktör.
Ama bunu kanıtlamanın hiçbir yolu yok.
İnternette attribution gerçekten, gerçekten, gerçekten zordur.
Haklı mı haksız mı olduğumuzu bağımsız olarak değerlendirme yolumuz olmadığı için ne kadar zor olduğunu da bilmiyoruz.
Attribution’ın siyasi saiklerden bağımsız olduğunu düşünmek saflık olur.
Buna dayanarak attribution’ın genel olarak doğru olduğunu varsayıyorum.
Ancak bir adım geri çekilip nesnel bakınca, o istihbaratın kaynağının mahremiyeti ihlal edici olması bakımından epey ikiyüzlü görünüyor.
Kuzey Kore’de genel nüfusun bilişim eğitimi seviyesi bu kadar zayıfken, böyle işler yapacak kadar ileri düzey hacker ve siber güvenlik personelini yeterince bulabilmeleri şaşırtıcı.
Kuzey Kore’de bir çocuk matematik yeteneği gösterirse izlemeye alınıyor; yeterince iyiyse özel matematik okuluna gönderiliyor ve fiilen başka pek bir şey öğrenmiyor.
Ardından tek teknik üniversiteye gönderilip yıllarca yoğun biçimde bilgisayar programlama çalışıyor.
Kriterleri geçerse Çin’e gönderiliyor; daha iyi internet erişimini kullanarak MMORPG altını çalmaktan phishing saldırılarına ve 0-day aramaya kadar işler yapıyor.
Günde 12 saat çalışma, sürekli performans baskısı ve dar yurt odalarında yaşam; kulağa kasvetli bir hayat gibi geliyor.
Yani biraz Silicon Valley’ye benziyor ;)
Hatta en tepedeki diktatör bile ortaokul ve liseyi İsviçre’de okudu.
“Keşfedildiği anda doğrulanan tüm web siteleri ve alan adları, kullanıcıları ek istismarlardan korumak için Safe Browsing’e eklenir.”
Brave tarayıcıda dbgsymbol.com için Safe Browsing uyarısı çıkmıyor.
Uyarı: Bilinmeyen vektör.