Güvenlik araştırmacılarını hedef alan aktif Kuzey Kore kampanyası

 (blog.google)
8 puan yazan kuroneko 2023-09-08 | 5 yorum | WhatsApp'ta paylaş
  • Google'ın Tehdit Analiz Grubu (TAG), kısa süre önce güvenlik araştırmacılarını hedef alan saldırılar olduğunu ve bu saldırılarda istismar edilen bir zero-day zafiyeti bulunduğunu doğruladı.
    • Zero-day zafiyeti ilgili satıcıya bildirildi ve yama üzerinde çalışılıyor.
  • Kuzey Koreli saldırganlar, Twitter gibi sosyal medya üzerinden hedeflerle aktif biçimde sohbet ederek ilişki kurdu.
    • Gerçekten de bir güvenlik araştırmacısıyla ortak ilgi alanları hakkında aylar boyunca konuşup güven inşa ettiler.
    • Ardından şifreli mesajlaşma uygulamalarına geçerek, popüler bir yazılım paketine ait en az bir zero-day zafiyeti içeren kötü amaçlı bir dosya gönderdiler.
  • İstismar başarılı olduğunda shellcode sanal makine kontrolleri yaptı ve çeşitli bilgileri saldırganın sunucusuna gönderdi; bu, daha önce tespit edilen Kuzey Kore kaynaklı zafiyet saldırılarına benzer bir yöntemle uygulanmıştı.
  • Ayrıca zero-day zafiyeti üzerinden yapılan hedefli saldırıların yanı sıra, tersine mühendislik için açık kaynak bir araç geliştirip Github'da yayımladılar.
    • Bu program ilk olarak 30 Eylül 2022'de yayımlandı ve sonrasında aktif biçimde geliştirilerek birkaç kez güncellendi.
    • Ancak bu araç, saldırganın sunucusundan rastgele kod indirip çalıştırabilen bir arka kapı içeriyordu.
    • TAG, bu aracı kullandıysanız sistemi incelemenizi ve gerekirse işletim sistemini yeniden kurmanızı öneriyor.
  • Tespit edilen tüm kötü amaçlı web siteleri ve alan adları Google Safe Browsing'e eklendi ve etkilenmiş olabilecek Google hesaplarına devlet destekli saldırı uyarısı gönderildi.
    • Ayrıca dbgsymbol, blgbeach, @Paul091_ dahil tüm kötü amaçlı alan adları, dosyalar ve hesaplar da kamuya açıklandı.

İlgili okumalar

5 yorum

 
kuroneko 2023-09-08

Hedefli saldırılar da korkutucu ama açık kaynak projelerine kötü amaçlı kod eklenmiş olması kısmında daha da dikkatli olmak gerekiyor gibi görünüyor.

Bu aracın kaynak kodu normalmiş, ancak Github Release'e dahil edilen dosyalarda kötü amaçlı kod bulunduğu söyleniyor.
GitHub'da 200'den fazla yıldızı da varmış...

Bir anda peş peşe güvenlik haberleri çıkıyor. Herkesin güvenliğe dikkat etmesi gerekiyor gibi görünüyor.
 
sixmen 2023-09-08

Kaynak kodunun yine de doğrulanabilir olacağını düşünürdüm ama Release ile farklı olabileceği aklıma gelmemişti. Güvenliğin sonu yok gerçekten..
 
kunggom 2023-09-08

Bu da bir tür tedarik zinciri saldırısı gibi görünüyor.
Tam da 1 ay önce yayımlanan Go 1.21.0 için, kendi toolchain derleme çıktılarının ilk kez tamamen yeniden üretilebilir olduğunu anlatan bir yazıyı bloglarında paylaşmışlardı. O yazının ilk iki paragrafı şöyleydi.

Perfectly Reproducible, Verified Go Toolchains
> Açık kaynak yazılımın başlıca avantajlarından biri, herkesin kaynak kodunu okuyup ne yaptığını inceleyebilmesidir. Ancak çoğu yazılım, hatta açık kaynak yazılımlar bile, derlenmiş ikili dosya olarak indirildiği için incelenmesi çok daha zordur. Bir saldırganın açık kaynak bir projeye karşı tedarik zinciri saldırısı gerçekleştirmesinin en az dikkat çeken yolu, kaynak kodu hiç değiştirmeden dağıtılan ikili dosyayı değiştirmektir.
>
> Bu tür saldırılara karşı en iyi savunma, açık kaynak yazılım derlemelerini yeniden üretilebilir hale getirmektir; yani aynı kaynakla başlayan bir derlemenin her çalıştırıldığında aynı çıktıyı üretmesini sağlamaktır. Böylece herkes gerçek kaynak koddan derleme yapabilir ve yeniden derlenen ikili dosyanın yayımlanan ikili dosyayla bit düzeyinde aynı olup olmadığını doğrulayarak, yayımlanan ikili dosyada gizli değişiklikler bulunmadığını kontrol edebilir. Bu yaklaşım, ikili dosyayı parçalamadan ya da içini incelemeden, içinde bir arka kapı veya kaynak kodda bulunmayan başka değişiklikler olmadığını kanıtlar. Herkes ikili dosyayı doğrulayabildiği için, bağımsız gruplar tedarik zinciri saldırılarını kolayca tespit edip raporlayabilir. (DeepL çevirisi)

İnsan neden böyle bir şeyden endişe ediliyor diye düşünüyordu ama görünüşe göre bu tür saldırılar zaten yaklaşık 1 yıldır gizlice yürütülüyormuş. Ah, dünya gerçekten ne kadar tekin olmayan bir yer olmuş…
 
kuroneko 2023-09-08

Ben de GitHub'da kodla birlikte paylaşılmış olana biraz daha fazla güvenme eğilimindeyim ama... dikkatli olmak gerekecek.
Her zaman kod incelemesi yapıp doğrudan kendin derlemekten başka yol yok mu...
 
kuroneko 2023-09-08

HN başlığının yapay zeka özeti

  • 0xDEAFBEAD: GitHub'a, bu araçtaki gibi kötü amaçlı yazılım içeren depolar için uyarı banner'ları eklemesini öneriyor.
  • zb3: Yazar güvenilir görünüyor diye GitHub'daki koda körü körüne güvenmemek gerektiğini hatırlatıyor.
  • nneonneo: Kaynak temiz görünebilir ama ikili dosyalar arka kapılı olabilir; bu yüzden kötü amaçlı yazılımın kaynak kodun kendisinde değil, ikili sürümlerde olabileceğini düşünüyor.
  • bowmessage: Saldırganın kontrol ettiği bir alan adından kötü amaçlı yazılım indirebilen şüpheli bir otomatik güncelleme özelliğine dikkat çekiyor.
  • gregsadetsky: Aracın ayna deposunun hâlâ çalıştığını fark ediyor ve güncelleme sürecinin enfeksiyona nasıl izin verdiğini açıklıyor.
  • codetrotter: Silinmeden önce orijinal deponun arşivini sağladı.
  • dantillberg: Bir URL'den dosya indirip çalıştıran otomatik güncelleme kodunu açıklıyor.
  • bdowling: Başta sorunu yanlış anladı ama meselenin saldırganın kontrol ettiği güncelleme URL'si olduğunu netleştirdi.
  • saagarjha: Sıfır gün açığının, güncelleme özelliği üzerinden saldırganın kodunu çalıştıran yazılım işlevinde olduğunu düşünüyor.
  • rightbyte: Bunun gerçekten Kuzey Kore'nin işi olduğunu kesin biçimde söylemeye yetecek kanıt olup olmadığını sorguluyor.