3CX tedarik zinciri saldırısı, kamuya açık olarak belgelenen ilk olay olarak tarihe geçti. Bu olaydan çıkaracağınız derslerle savunma stratejinizi güçlendirin.
Tedarik zinciri saldırısının domino etkisi
3CX iletişim yazılımı güvenliğinin ihlal edilmesinin, bir tedarik zinciri saldırısının diğerine yol açtığı ilk kez kamuya açık olarak belgelenen olay olarak tarihe geçti. Enerji sektöründeki iki önemli altyapı kuruluşu ve finans sektöründeki iki kuruluşun mağdurlar arasında olduğu onaylandı.
Bir tedarik zinciri saldırısı, güvenilir bir harici sağlayıcının yazılım güncelleme operasyonu aracılığıyla kurbanın sistemine sızarak siber güvenlik savunmalarından kaçmaya çalışır.
3CX’i hedef alan saldırı, desteklenmeyen X_TRADER finans yazılımının truva atına dönüştürülmüş bir sürümüyle başladı. Bu durum şirketin, yazılımının ve müşterilerinin tehlikeyle yüz yüze gelmesine neden oldu. ESET telemetrisinden elde edilen veriler, istemciler tarafından kullanılan yüzlerce kötü amaçlı 3CX uygulamasının bulunduğunu gösteriyor.
Truva atına dönüştürülmüş Dinamik Bağlantı Kitaplığına (DLL) sahip X_TRADER yazılımı yüklendikten sonra bilgi toplar, çeşitli tarayıcılardan kimlik bilgileri de dahil olmak üzere verileri çalar ve saldırganların ihlal edilen bir bilgisayarda komutlar vermesine olanak tanır. Bu benzeri görülmemiş erişim aynı zamanda 3CX’in yazılımında güvenlik ihlali yaşanması ve şirketin kurumsal müşterilerine bilgi çalan kötü amaçlı yazılım dağıtmak için kullanıldı.
ESET araştırmacıları, Linux kullanıcılarını hedef alan DreamJob Operasyonu adlı saldırıyı araştırırken, Kuzey Kore bağlantılı bir tehdit aktörü olan Lazarus grubuyla bağlantısını buldu.
Sorulması gereken soru şudur; tüm güvenlik katmanlarının mevcut olduğu ancak tehlikenin bir sağlayıcıdan veya güvenilir bir ortaktan geldiği durumlarda bir şirket kendisini nasıl savunabilir?
Kötü amaçlı yazılım nasıl yayıldı?
X_TRADER, Trading Technologies tarafından geliştirilen profesyonel bir finansal ticaret aracıdır. Şirket bu yazılımı Nisan 2020’de kullanımdan kaldırdı ancak yazılım 2022’de bile indirilebiliyordu. Bu arada, satıcının İnternet sitesinde güvenlik açığı meydana geldi ve kullanıcılar kötü amaçlı yazılımı indirmiş oldular. Lazarus 2022 yılında muhtemelen Trading Technologies’i ele geçirdi. Trading Technologies, müşterilerine sonlandırma döneminde 18 ay boyunca X_Trader’ı Nisan 2020’den sonra artık desteklemeyeceğini veya hizmet vermeyeceğini bildiren çok sayıda mail gönderdiğini belirtti. Ancak görünen o ki, insanlar artık güvenliği ihlal edilmiş olan yazılımı indirmeye devam ettikçe bu durumu görmezden geldiler.
Şirketin yaptığı açıklamada, “TT, 2020 yılının başlarından itibaren X-Trader yazılımını barındırmayı, desteklemeyi ve bu yazılıma hizmet vermeyi bıraktığı düşünüldüğünde, kimsenin yazılımı indirmek için bir nedeni yoktu,” denildi. Şirket ayrıca, 1 Kasım 2021 ile 26 Temmuz 2022 arasında güvenlik ihlali yaşayan X_Trader paketini 100’den az kişinin indirdiğini açıkladı; bu sayının küçük olduğunu düşünebilirsiniz ancak katlanarak artan bir etkiye sahiptir.
X_Trader indiren kişilerden birisi de bir 3CX çalışanıydı ve güvenlik ihlali yaşayan yazılımı kişisel bilgisayarına kurdu. Yazılımda ESET’in Win32/NukeSped.MO (bir diğer adıyla VEILEDSIGNAL) olarak algılanan kötü amaçlı yazılım yer alıyor.
3CX Ağ Başkanı Agathocles Prodromou şirketin blogunda şunları yazdı, “Çalışanın kişisel bilgisayarına VEILEDSIGNAL adlı kötü amaçlı yazılım ile yapılan ilk saldırının ardından Mandiant, tehdit unsurunun çalışanın 3CX kurumsal kimlik bilgilerini sisteminden çaldığını belirtti. VEILEDSIGNAL, tehdit unsuruna, tehlikeye atılan sisteme yönetici düzeyinde erişim sağlayan ve kalıcı olan tam kapsamlı kötü amaçlı yazılımdır.”
Buradan çıkarılacak çok ders var. Tekrar edelim:
1. Meşru bir kaynaktan doğrulanmış ve güncellenmiş yazılım kullanın
Güvenlik ihlali, bir çalışanın Nisan 2020’den bu yana desteklenmeyen bir yazılım uygulamasını indirmesiyle başladı. Bu, desteklenmeyen yazılımlardan kolayca yararlanılabileceği için doğrulanmış ve güncellenmiş yazılımı kullanmanın neden önemli olduğunu hatırlatmalıdır.
Yazılımı indirirken, satıcı tarafından sağlanan karma ile karşılaştırın. Satıcılar genellikle indirme bağlantılarının yanında karmalar yayımlar. Ayrıca onlarla doğrudan iletişime geçip bu karmaları isteyebilirsiniz. Bu karmalar eşleşmez ise, değiştirilmiş yazılımı indiriyorsunuz demektir.
Benzer şekilde, yazılımı yasal bir İnternet sitesinden indirdiğinizden emin olun çünkü dolandırıcılar orijinal İnternet sitesini taklit eden sahte bir site oluşturabilir.
Bir dosya karmasının veya İnternet sitesinin yasal olduğundan emin değilseniz bunları VirusTotal üzerinden kontrol edebilirsiniz. Bu, üzerinde çalışılan içerikten sinyal çıkarmak için sayısız araç ve ayrıca 70’in üzerinde antivirüs tarayıcısı ve URL/etki alanı engelleme listesi hizmetiyle öğeleri denetleyen, ücretsiz arama motoru benzeri bir araçtır. Belirli bir antivirüs çözümünün gönderilen bir dosyayı kötü amaçlı olarak algılayıp algılamadığını belirlemek için dosyaları, etki alanlarını, IP adreslerini ve URL’leri analiz edebilir. Ayrıca örnekleri çeşitli sanal alanlarda çalıştırır.
2. Çalışanlarınızın savunma açıklarını azaltın
Kötü amaçlı yazılım 3CX çalışanının kişisel bilgisayarına yüklendikten sonra saldırı başladı. Sonuç olarak tehdit aktörleri, çalışanın kimlik bilgilerini çalmayı ve 3CX’in tüm kurumsal sistemine sızmayı başardı.
Bu tür durumlardan kaçınmanın en iyi yolu, kurumsal sistemlere yasal olmayan erişimi engellemek için veri şifreleme ve çok faktörlü kimlik doğrulama kullanmak, dolandırıcıların erişim kazanmasını daha da zorlaştırmak için birden fazla savunma katmanı oluşturmaktır.
Benzer şekilde erişim hakları da daha sıkı yönetilmelidir. Tüm çalışanların şirketin bütün ortamlarına erişim için aynı haklara sahip olmasına gerek yoktur. Elbette yöneticilerin ve yazılım mühendislerinin daha geniş erişime ihtiyacı vardır ancak erişim izinleri de farklılık gösterebilir.
Hassas veriler çalışanların cihazlarında saklanmamalı ve yalnızca ek bulut ve sunucu güvenliğiyle en iyi şekilde korunan güvenli bir bulut sistemi aracılığıyla paylaşılmalıdır.
3. Güçlü parola politikası izleyin
Güçlü bir parola politikasına sahip olmak, saldırıları önlemede çok işe yarayabilir ancak sürekli parola değişikliği yaparak ve karmaşık parolalar oluşturma zorunluluğu ile çalışanlar üzerinde gerginlik yaratmak gereksizdir. Mevcut trend, standart parolaları, daha güvenli ve tahmin edilmesi daha zor bir alternatif olan parola ifadeleri ile değiştirmektir.
Geçmişte, güçlü olduğu düşünülen bir parolada büyük ve küçük harfler dahil en az sekiz karakter, en az bir sayı ve bir özel karakter vardı. Bu yaklaşım sorunlara neden oldu. Zira kullanılan tüm İnternet siteleri ve cihazlarda düzinelerce farklı karmaşık parolayı hatırlamak çok zordu, insanlar aynı parolayı farklı yerlerde yeniden kullanma eğilimindeydi ve bu durum onları kaba kuvvet saldırılarına ve kimlik bilgisi doldurmaya karşı daha savunmasız bırakmıştı.
Bu nedenle, uzmanlar artık bir dizi rastgele karakter talep etmiyor, bunun yerine hatırlanması kolay passphrase’lerin kullanılmasını tavsiye ediyor. Bu parola ifadeleri makinelerin onları kolaylıkla tahmin etmesinin önüne geçmek için yine rakam ve emojiler dahil özel karakter içerebiliyor. Daha yüksek koruma için şifreleme kullanan Passkey’ler de dikkate değer bir başka alternatiftir.
4. Ayrıcalıklı erişim yönetimini düşünün
Ayrıcalıklı Erişim Yönetimi (PAM), saldırganların yöneticiler, denetçiler ve adminler gibi hassas verilere sahip kişilerin ayrıcalıklı kurumsal hesaplarına ulaşmasını engeller.
Bu tür önemli hesapların ele geçirilmesini önlemek için bazı ekstra koruma katmanları olmalıdır: kritik kaynaklara tam zamanında erişim, ayrıcalıklı oturumların izlenmesi ve daha katı şifre politikaları bunlardan bazılarıdır.
Tedarikçiler ve iş ortakları bir tedarik zinciri saldırısıyla sisteminize giren bir yol açar. Bu nedenle katı güvenlik kuralları oluşturmak her zaman iyi bir fikirdir. Ayrıca, bilgisayar korsanlarının istismar etmesine fırsat vermeden önce herhangi bir veri sızıntısını ve güvenlik açığını bulmak için üçüncü taraf veri sızıntısı tespitleri veya güvenlik değerlendirmesi yapabilirsiniz.
5. En son yamaları uygulayın
3CX tedarik zinciri saldırısının bir parçası olarak tehdit aktörleri, Microsoft’un 2013’te düzelttiği Windows’taki imza doğrulama işlevinde meydana gelen bir güvenlik açığından yararlandı.
Ancak bu istisna bir durumdur çünkü düzeltme isteğe bağlıdır. Bunun nedeni, düzeltme uygulanmasının Windows’un artık uyumlu olmayan dosyaların imzalarını doğrulamadığı anlamına geleceği ihtimalinden dolayı duyulan endişedir. Bu da hackerlara geniş bir hareket alanı sağladı. 3CX uygulamasını truva atına dönüştürmek için saldırganlar, uygulamada kullanılan iki DLL’in içine kötü amaçlı kod yerleştirdi. Bu şekilde güvenlik açığı olan Windows sistemlerinin imzaları doğrulamaya devam etmesi sağlandı.
Güvenlik açıklarının satıcılar tarafından düzeltilmesi, tehditlerin önlenmesinde çok önemlidir. Bu nedenle, mümkün olduğunda, en son güvenlik yamalarını, uygulama ve işletim sistemi güncellemelerini çıktıkları anda alın.
6. Güvenlik standartlarınızı yüksek tutun
Uygun bir kötü amaçlı yazılımdan koruma yazılımıyla işe başlayın. Önde gelen siber güvenlik çözümleri, bilinen tehditleri indirilmeden ya da çalıştırılmadan önce tanıyabilen çok katmanlı koruma özelliği sunar.
Kötü amaçlı yazılımın bir cihaza sızması halinde, koruma programınız dosyaları silme ya da şifreleme girişiminde bulunabilecek siliciler veya fidye yazılımları gibi kötü amaçlı yazılımı tespit etmeli ve buna karşı önlem alabilmelidir.
Uç nokta koruma programınızın en son sürümüne sahip olup olmadığınızı kontrol etmeyi unutmayın.
Bir sonraki adım ise saldırı yüzeyinizi azaltmaktır. 3CX saldırısından anladığımız gibi, güvenlik açıkları yalnızca bir yazılım sorunu değildir. Basit bir insan hatası da yıkıcı sonuçlara neden olabilir.
Şirketlerin bu tür olaylar için güvenlik müdahale planları olmalıdır. Bu planlar genelde hazırlık, tespit, müdahale, kurtarma ve olay sonrası analizden oluşur. Aynı şekilde herhangi bir aksaklık durumunda iş sürekliliğini sağlamak için dosyalarınızı sürekli olarak yedeklemeyi unutmayın.
Alınan dersler: (Siber) güvenlik, yazılımla ilgili olduğu kadar insanlarla da ilgilidir
Çıkan sonuç nettir: 3CX saldırısı, tedarik zinciri saldırılarının ne kadar sinsi olabileceğini bize gösterdi ancak vurguladığı en önemli konu, tek bir insan hatasının yeterli olduğu ve her şeyin alt üst olabileceğidir.
Umarız bu blog yazısı, yazılım satıcılarından tedarikçilere uzanan tehditlere karşı nasıl hazırlıklı olacağınızı daha iyi anlamanıza yardımcı olmuştur. İnsan hatası açık olsa da sağlam bir siber güvenlik pozisyonu en azından siber korkuların birçoğunu azaltabilir.
TELEKOPYE : Telegram botunu kullanarak mamut avlamak
