Resmi Sertifika Kurumuna ‘Hayalet‘ Saldırısı
Güneydoğu Asya ülkesi Vietnam’da yaşanan gelişmeler, bir tedarik zinciri saldırısı (supply chain attack) olarak tanımlanıyor. Siber güvenlik kuruluşu ESET’in tespit ve tahlil ettiği ihlalde, Vietnam Hükümeti Sertifika Kurumu’nun (Vietnam Government Certification Authority – VGCA) internet sitesi (ca.gov.vn) gaye alındı. Siber saldırganlar, bu internet sitesinde yer alan indirilebilir iki yazılım yükleyiciyi değiştirdi ve yasal uygulamanın kullanıcılarının güvenliğini ihlal etmek emeliyle bir art kapı ekledi.
Kurum ne yapıyor?
Vietnam’da dijital imzaya sahip dokümanlar, ıslak imzalı dokümanlarla birebir derecede geçerli olduğundan dijital imzalar hayli yaygın. Dokümanları imzalamak için kullanılan kriptografik sertifikalar, Hükümet Şifre Komitesi’nin (Government Cipher Committee) bir modülü olan VGCA’nın da ortalarında bulunduğu yetkili sertifika sağlayıcılarından biri tarafından onaylanmış olmalı. Bu komite, ülkenin Bilgi ve Bağlantı Bakanlığı’na bağlı.
VGCA, sertifikaları yayımlamanın yanı sıra dijital imza kiti geliştiriyor ve dağıtıyor. Bu imza kiti, Vietnam Hükümeti ve ekseriyetle özel şirketler tarafından dijital evrakları imzalamak için kullanılıyor. Ziyaretçilerin, bir devlet kurumunda dijital imza yetkisine sahip yüksek mevkide şahısların olması mümkünlüğü yüksek olduğundan, bir onay kurumunun internet sitesinin ihlal edilmesi APT (Gelişmiş kalıcı tehdit) grupları için yeterli bir fırsat olarak kıymetlendirilebilir.
Ardında ‘hayalet‘ var
ESET datalarına nazaran ihlalden PhantomNet yani ‘Hayalet‘ ziyanlı yazılımının değiştirilmiş bir versiyonu sorumlu. Bulgular, ‘Hayalet‘ art kapısının berbat gayeye hizmet eden özelliklerinin, ekseriyetle eklentiler yoluyla çalıştığını gösteriyor. Hayalet, kurbanın proxy yapılandırmasına erişim sağlayarak, bu yapılandırmayı komuta ve denetim (C&C) sunucusuna ulaşmak için kullanıyor. Bu durum, maksatların büyük ihtimalle kurumsal bir ağda çalıştığını gösteriyor.
Hayalet ne yapabiliyor?
Hayalet, siber hatalılara kurbanın sistemine ait çeşitli bilgiler iletebiliyor. Bu bilgilerin ortasında bilgisayar ismi, ana makine ismi, kullanıcı ismi, işletim sistemi sürümü, kullanıcı ayrıcalıkları (yönetici yahut değil) üzere bilgiler olabiliyor. Hayalet ayrıyeten; kur, kaldır, güncelle üzere fonksiyonlarla eklenti idaresi de sağlıyor.
Vietnam’daki hücumda ihlal sonrası aktiflikle ilgili bilgi kurtarılamadığı için saldırganların maksadının ne olduğuyla ilgili net bir bilgi oluşmadı. Lakin bu çeşit tedarik zinciri taarruzlarının siber casusluk kümeleri için yaygın bir ihlal vektörü olduğu biliniyor. Berbat emelli kod, çoklukla birçok yasal kodun ortasına gizlendiğinden tedarik zinciri hücumlarını bulmak kolay değil. Bu durum bu taarruzların keşfedilmesini değerli ölçüde zorlaştırıyor.
ESET, bahisle ilgili Vietnam Hükümeti Sertifika Kurumu’nu bilgilendirirken, kurum hücumun farkında olduklarını ve truva atı yerleştirilmiş yazılımı indiren kullanıcıları bilgilendirdiklerini paylaştı.
Kaynak: Technopat