Resmi Onay Kurumu İhlale Uğradı!
ESET, sıra dışı bir siber saldırı örneği tespit etti: Resmi onay kurumu ihlale uğradı.
Güneydoğu Asya ülkesi Vietnam'da yaşanan gelişmeler, bir tedarik
zinciri saldırısı (supply chain attack) olarak tanımlanıyor. Siber
güvenlik kuruluşu ESET'in tespit ve analiz ettiği ihlalde, Vietnam
Hükümeti Sertifika Kurumu'nun (Vietnam Government Certification
Authority - VGCA) internet sitesi (ca.gov.vn) hedef alındı.
Siber saldırganlar, bu internet sitesinde yer alan indirilebilir
iki yazılım yükleyiciyi değiştirdi ve yasal uygulamanın
kullanıcılarının güvenliğini ihlal etmek amacıyla bir arka kapı
ekledi.
Kurum ne yapıyor?
Vietnam'da dijital imzaya sahip belgeler, ıslak imzalı
belgelerle aynı derecede geçerli olduğundan dijital imzalar oldukça
yaygın. Belgeleri imzalamak için kullanılan kriptografik
sertifikalar, Hükümet Şifre Komitesi'nin (Government Cipher
Committee) bir parçası olan VGCA'nın da aralarında bulunduğu
yetkili sertifika sağlayıcılarından biri tarafından onaylanmış
olmalı. Bu komite, ülkenin Bilgi ve İletişim Bakanlığı'na
bağlı.
VGCA, sertifikaları yayımlamanın yanı sıra dijital imza kiti geliştiriyor ve dağıtıyor. Bu imza kiti, Vietnam Hükümeti ve genellikle özel şirketler tarafından dijital belgeleri imzalamak için kullanılıyor. Ziyaretçilerin, bir devlet kurumunda dijital imza yetkisine sahip yüksek mevkide kişilerin olması olasılığı yüksek olduğundan, bir onay kurumunun internet sitesinin ihlal edilmesi APT (Gelişmiş kalıcı tehdit) grupları için iyi bir fırsat olarak değerlendirilebilir.
Arkasında 'hayalet' var
ESET verilerine göre ihlalden PhantomNet yani 'Hayalet' zararlı
yazılımının değiştirilmiş bir versiyonu sorumlu. Bulgular,
'Hayalet' arka kapısının kötü amaca hizmet eden özelliklerinin,
genellikle eklentiler yoluyla çalıştığını gösteriyor. Hayalet,
kurbanın proxy yapılandırmasına erişim sağlayarak, bu
yapılandırmayı komuta ve kontrol (C&C) sunucusuna ulaşmak için
kullanıyor. Bu durum, hedeflerin büyük ihtimalle kurumsal bir ağda
çalıştığını gösteriyor.
Hayalet ne yapabiliyor?
Hayalet, siber suçlulara kurbanın sistemine ilişkin çeşitli bilgiler iletebiliyor. Bu bilgilerin arasında bilgisayar adı, ana makine adı, kullanıcı adı, işletim sistemi sürümü, kullanıcı ayrıcalıkları (yönetici veya değil) gibi bilgiler olabiliyor. Hayalet ayrıca; kur, kaldır, güncelle gibi işlevlerle eklenti yönetimi de sağlıyor.
Vietnam'daki saldırıda ihlal sonrası etkinlikle ilgili veri kurtarılamadığı için saldırganların amacının ne olduğuyla ilgili net bir bilgi oluşmadı. Ancak bu tür tedarik zinciri saldırılarının siber casusluk grupları için yaygın bir ihlal vektörü olduğu biliniyor. Kötü amaçlı kod, genellikle birçok yasal kodun arasına gizlendiğinden tedarik zinciri saldırılarını bulmak kolay değil. Bu durum bu saldırıların keşfedilmesini önemli ölçüde zorlaştırıyor.