Makaleler
Haberler
Etkinlikler
Röportajlar
Editörden

ShadowHammer Operasyonu: Yeni Tedarik Zinciri Saldırısı Tüm Dünyada Yüz Binlerce Kullanıcıyı Tehdit Ediyor

Share
26/03/2019 tarihinde yayınlandı

ShadowHammer Operasyonu:

Yeni Tedarik Zinciri Saldırısı Tüm Dünyada Yüz Binlerce Kullanıcıyı Tehdit Ediyor

Kaspersky Lab, tedarik zinciri saldırısı olarak bilinen bir yöntemle çok sayıda kullanıcıyı etkileyen yeni bir gelişmiş kalıcı tehdit (APT) keşfetti. Yapılan araştırmada, ShadowHammer Operasyonu’nun ardındaki tehdit grubunun Haziran ile Kasım 2018 arasında bir arka kapı aracılığıyla ASUS Live Update kullanıcılarını hedef aldığı tespit edildi. Kaspersky Lab uzmanları saldırının tüm dünyada bir milyondan fazla kişiyi etkilemiş olabileceğini tahmin ediyor.

En tehlikeli ve etkili saldırı vektörlerinden biri olan tedarik zinciri saldırıları, son yıllarda ShadowPad ve CCleaner gibi örneklerde de görüldüğü gibi gelişmiş operasyonlarda sıkça kullanılmaya başlandı. Bu saldırılarda, ürünlerin ilk geliştirilme aşamasından son kullanıcıya ulaşmasına kadar geçen sürece dahil olan insanlar, kurumlar, malzemeler ve fikri kaynaklar arasında bağlantı kuran sistemlerdeki belirli zayıflıklar hedef alınıyor. Markaların altyapıları güvenli olsa da hizmet sağlayıcılarında tedarik zincirini sabote etmek için kullanılabilecek açıklar bulunabiliyor. Bu da beklenmeyen yıkıcı veri sızıntılarına yol açabiliyor.

ShadowHammer’ın arkasındaki tehdit grupları ilk bulaşma noktası olarak ASUS Live Update aracını hedef aldı. Çoğu yeni ASUS bilgisayara ön yüklü olarak gelen bu araç otomatik BIOS, UEFI, sürücü ve uygulama güncellemeleri için kullanılıyor. Yasal ikilileri imzalamak için ASUS’un kullandığı dijital sertifikaları çalan saldırganlar, ASUS yazılımının eski sürümleri üzerinde değişiklik yaparak kendi zararlı kodlarını bulaştırdı. Aracın Truva atına dönüştürülen sürümleri yasal sertifikalarla onaylandıktan sonra ASUS’un resmi güncelleme sunucularından dağıtıldı. Bu nedenle koruma çözümlerinin çoğu bunu tespit edemedi.

Böylece yazılımı kullanan herkes potansiyel kurban haline gelse de ShadowHammer’ın arkasındaki gruplar daha önceden haklarında bilgi sahibi oldukları birkaç yüz kullanıcıya odaklandı. Kaspersky Lab araştırmacıları her arka kapı kodunda, MAC adreslerinden oluşan tablolar bulunduğunu keşfetti. Bir bilgisayarı ağa bağlamak için kullanılan ağ adaptörleri bu MAC adresleriyle ayırt ediliyor. Arka kapı çalışmaya başlayınca MAC adresini bu tabloyla doğruluyor. MAC adresi listedekilerden biriyle eşleştiğinde zararlı kodun diğer aşaması indiriliyor. Eşleşme olmadığında ise sisteme sızan yazılım ağda hiçbir etkinlik göstermiyor, bu sayede uzun süre tespit edilmeden kalabiliyor. Güvenlik uzmanları toplamda 600’den fazla MAC adresi belirlemeyi başardı. Bunlara birbirinden farklı kabuk kodlarına sahip 230 benzersiz arka kapı örneğiyle saldırı düzenlendi.

Zararlı yazılımı çalıştırırken kod veya veri sızıntısını önlemek için kullanılan modüler yaklaşım ve alınan ekstra önlemler, bu gelişmiş saldırının arkasındaki isimlerin belirli hedefleri hassas bir şekilde vururken tespit edilmemeye büyük önem verdiğini gösteriyor. Derinlemesine teknik analizlerde grubun üst düzey saldırganlardan oluştuğu ve çok gelişmiş araçlara sahip olduğu görüldü.

Benzer zararlı yazılımlara yönelik yapılan aramalarda, Asya’dan üç başka markanın da çok yakın yöntemler ve teknikler kullanılarak hedef alındığı ortaya çıktı. Kaspersky Lab bu sorunu Asus ve diğer markalara bildirdi.

Kaspersky Lab APAC Global Araştırma ve Analiz Ekibi Direktörü Vitaly Kamluk, “Seçilen markalar APT grupları için çok çekici hedefler. Saldırganlar bu markaların geniş müşteri kitlesinden yararlanmak istemişler. Yapılan saldırının asıl amacı ise henüz tam olarak belli değil. Saldırganların kim olduğu ise halen araştırılıyor. Ancak yetkisiz kod çalıştırma için kullanılan teknikler ve keşfedilen diğer ipuçları, ShadowHammer’ın muhtemelen BARIUM APT ile ilişkili olduğunu gösteriyor. Bu grup daha önce ShadowPad ve CCleaner vakalarıyla gündeme gelmişti. Yeni olay, günümüzde akıllıca düzenlenen bir tedarik zinciri saldırısının ne kadar gelişmiş ve tehlikeli olabileceğinin bir örneği.” dedi.

Kaspersky Lab ürünleri ShadowHammer Operasyonu’nda kullanılan zararlı yazılımları tespit edip engelleyebiliyor.

Kaspersky Lab araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

  • Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın.
  • Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir EDR çözümü kullanılmasını veya profesyonel bir vaka müdahale ekibiyle iletişime geçilmesini tavsiye ediyoruz.
  • SIEM ve diğer güvenlik kontrollerine Tehdit İstihbaratı akışlarını ekleyerek, ileride karşılaşabileceğiniz saldırılara hazırlanmak için sizinle ilgili güncel tehdit verilerine ulaşın.

Kaspersky Lab, ShadowHammer Operasyonu hakkında topladığı tüm bulguları 9-11 Nisan tarihleri arasında Singapur’da düzenlenecek Güvenlik Analistleri Zirvesi 2019’da sunacak.

ShadowHammer saldırısı hakkında hazırlanan rapor Kaspersky İstihbarat Raporları Servisi müşterilerine sunuldu.

Share
İlginizi Çekebilecek Yazılar
Fidye yazılım saldırısında Avrupa birincisiyiz! KPMG’nin hazırladığı Bireysel Siber Farkındalık Araştırması’na göre, fidye yazılım saldırıları geçen yıl bireysel kullanıcılar ve şirketlere 5 milyar dolara mal ...
Evernote Saldırısı 50 Milyon Şifreyi Etkiledi Tanıştığınız insanlardan yediğiniz yemeklere kadar tüm faaliyetlerinizi not edebildiğiniz dijital not defteri Evernote, geçtiğimiz haftalarda siber saldırıların son kurbanı oldu.Şirket, yaptığı ...
DDoS saldırısı bir şirkette 400 bin dolardan fazla zarara yol açabilir! Kaspersky Lab ve B2B International tarafından yapılan araştırmaya göre 4 şirketten 1'I, sadece ve sadece anti-DDoS korumasına sahip olmadıklarından, iş açısından önem arz ...

BBC Saldırısı Zannedildiği Kadar Büyük Değil Yılbaşı öncesinde, BBC'nin web sitesi başta teknik bir sorun zannedilen fakat daha sonra büyük bir hizmet kesme saldırısı olduğu ortaya çıkan siber ...
74 Ülkeyi Hedef Alan WannaCry Fidye Yazılım Saldırısı Hakkında Uzman Görüşü Uzun zamandır adım adım yaklaşan böyle bir saldırı bekleniyordu. Saldırının tüm farklı adımlarını daha önce başka saldırıların parçası olarak görmüştük ama ...
500 milyon dolarlık Coincheck saldırısı, Forcepoint öngörülerini doğruladı Japonya’nın en büyük kripto para alım satım merkezlerinden Coincheck’e düzenlenen saldırı sonucunda 500 milyon dolar değerinde kripto para kayıplara karıştı. 2018 ...

Yerli ve Milli Video Konferans Yazılımları Yükselişte Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Dr. Ali Taha Koç, Dijital Gündem’in 6 Mayıs’ta gerçekleştirdiği “Salgınla Mücadele ve Dijital Dönüşüm” konulu üçüncü ...
Suç Grubunun Hedefi Üniversiteler ESET araştırmacıları, SparklingGoblin APT grubu tarafından kullanılan SideWalk arka kapısının bir Linux çeşidini keşfetti. SparklingGoblin, hedeflerini çoğunlukla Doğu ve Güneydoğu Asya'dan ...
2018’de Her İki Endüstriyel Bilgisayardan Biri Siber Saldırıya Uğradı 2018’de Kaspersky Lab, ürünleri tarafından korunan ve kurumların endüstriyel altyapısının bir parçası olarak kabul edilen Endüstriyel Kontrol Sistemi (ICS) bilgisayarlarının neredeyse ...

Ragnar Locker Sistemleriniz Arasında Bir Hayalet Gibi Dolaşıyor Sophos, Ragnar Locker adlı fidye yazılımının güvenlik sistemlerinin denetiminden kurtulmak için bulaştığı cihazlarda kendi sanal makinesini kurduğunu tespit etti. Sophos güvenlik ...
“Fast Food Fidye Yazılımı” Dharma’nın Her Lokması KOBİ’lere 8 Bin 620 Dolara Mal Oluyor Sophos, COVID-19 döneminde özellikle KOBİ ölçeğindeki şirketleri kıskacına alan Dharma adlı fidye yazılımına dair detaylı analizinin sonuçlarını paylaştı. Fast food mantığıyla ...
Netaş ve Havelsan’dan Yurtdışındaki Akıllı Stat Projeleri İçin Güç Birliği Bugüne kadar 50’den fazla stadyumu ‘akıl’landıran Netaş, Havelsan ile yeni bir işbirliği anlaşmasına imza attı. Anlaşmaya göre; Netaş ve Havelsan, uluslararası ...


Arama
Son Yazılar
Bi̇r Telefon Aramasinin Dolandiricilik Olduğunu Nasil Anlarsiniz? Fortinet 2023 Sürdürülebilirlik Raporunu Yayınladı İkinci El İş Makineleri Almanin Avantajlari Yenilenen SAS Viya, Müşterilerin Verimliliğini Artırmak Için Üretken Yapay Zekayı Kullanıyor Uzun Lafın Kısası: Kaspersky Kısaltılmış Url'lerin Ardındaki Tehditleri Ortaya Çıkarıyor Bybit Kurumsal Rapor 2024: Kurumlar Yükselişe Geçip Zincirlere Göz Dikerken VC Finansmanı, Alt Yapı, Oyun Ve Yepay Zeka Için Yeniden Canlanıyor Çocuğunuzu Zararlı Uygulamalarla Baş Başa Bırakmayın İşletmeler Için Yeni Amiral Gemisi Ürün Grubu Kaspersky Next Ile Tanışın! Bitdefender 2024 Tüketi̇ci̇ Si̇ber Güvenli̇k Değerlendi̇rme Raporunu Yayinladi Bitcoin dolandırıcılığına dikkat
E-Bülten'e Kayıt Olun
Arşivler
Ağustos 2015Eylül 2015Ekim 2015Kasım 2015Aralık 2015Ocak 2016Şubat 2016Mart 2016Nisan 2016Mayıs 2016Haziran 2016Temmuz 2016Ağustos 2016Eylül 2016Ekim 2016Kasım 2016Aralık 2016Ocak 2017Şubat 2017Mart 2017Nisan 2017Mayıs 2017Haziran 2017Temmuz 2017Ağustos 2017Eylül 2017Ekim 2017Kasım 2017Aralık 2017Ocak 2018Şubat 2018Mart 2018Nisan 2018Mayıs 2018Haziran 2018Temmuz 2018Ağustos 2018Eylül 2018Ekim 2018Kasım 2018Aralık 2018Ocak 2019Şubat 2019Mart 2019Nisan 2019Mayıs 2019Haziran 2019Temmuz 2019Ağustos 2019Eylül 2019Ekim 2019Kasım 2019Aralık 2019 Ocak 2020Şubat 2020Mart 2020Nisan 2020Mayıs 2020Haziran 2020Temmuz 2020Ağustos 2020Eylül 2020Ekim 2020Kasım 2020Aralık 2020Ocak 2021Şubat 2021Mart 2021Nisan 2021Mayıs 2021Haziran 2021Temmuz 2021Ağustos 2021Eylül 2021Ekim 2021Kasım 2021Aralık 2021Ocak 2022Şubat 2022Mart 2022Nisan 2022Mayıs 2022Haziran 2022Temmuz 2022Ağustos 2022Eylül 2022Ekim 2022Kasım 2022Aralık 2022Ocak 2023Şubat 2023Mart 2023Nisan 2023Mayıs 2023Haziran 2023Temmuz 2023Ağustos 2023Eylül 2023Ekim 2023Kasım 2023Aralık 2023Ocak 2024Şubat 2024Mart 2024Nisan 2024
İletişim | Gizlilik | Kullanım Koşulları