Tedarik zinciri saldırıları artarken

Siber güvenlik alanında ABD’nin en üst kurumlarını hedef alan SolarWinds saldırısının yankıları sürerken yeni bir tedarik zinciri saldırısı haberi de Vietnam’dan geldi. Slovak güvenlik şirketi ESET Operasyon SignSight başlıklı bir raporla saldırıyı kamuoyuna duyurdu. ESET’in raporuna göre Vietnam’ın dijital imzalar için sertifikaları sağlamakla yüklü kurumu VGCA temmuz ayında hacklenmiş ve pek çok kamu kurumunda dijital imzalar için kullanılan yazılımların kurulum dosyalarına bir truva atı yerleştirilmişti. Saldırganların modifiye ettiği bu dosyalar bir sisteme kurulduklarında orijinal yazılımın yanısıra saldırganlar için PhantomNet adı verilen bir arka kapı oluşturan bir kodu da sisteme yüklüyordu. ESET raporunda bu saldırının kaynağı için açık bir adres göstermiyor. PhantomNet’in daha önceki kullanımlarının Çin devleti destekli hacker gruplarınca olduğunu not düşmekte fayda var.

Bir yazılımın ya da iş sürecinin tedarik zincirinde yer alan zayıf halkalardan içeri sızıp zincir boyunca ilerlemeye çalışan bu saldırı yöntemi uzun zamandır özellikle de daha yüksek güvenlik tedbirlerine sahip sistemlere sızmak için kullanılan bir yöntem. 2010’da ortaya çıkartılan ve ABD ve İsrail’in İran’ın nükleer çalışmalarına zarar vermek için geliştirildiği düşünülen Stuxnet içeriye sızmak için pek umursanmayan USB diskleri kullanıyordu. Glenn Greenwald, 2014 tarihli “Saklanacak yer yok” başlıklı kitabında ABD Ulusal Güvenlik Ajansı’nın (NSA) belgelerine dayanarak NSA’nın sunuculara ve ağ cihazlarına kargo süreci sırasında araya girip nasıl kendi yazılımlarını yüklediğini anlatıyordu. NotPetya, bir muhasebe yazılımın içine gömülerek dağıtılmıştı. Barium adlı hacker grubu ASUS ve CCleaner gibi firmaların da aralarında olduğu çeşitli yazılım üreticilerinin güncellemeleri ile arka kapılarını yaymıştı. Son olarak SolarWinds saldırısı ağ denetimi için kamu kurumlarında yaygın olarak kullanılan bir yazılım üzerinden ABD Hazine, Ticaret ve İçişleri Bakanlıkları ile Ulusal Güvenlik Departmanı ve Ulusal Nükleer Güvenlik Yönetimi’ne sızmayı başarmıştı.

Tedarik zinciri saldırıları yıllardır kullanılsa da özellikle da daha güvenli sistemleri hedefleyen devlet destekli hacker gruplarının saldırılarında son yıllarda bir artış var. 2020’de en az beş büyük tedarik zinciri saldırısı yaşandı: Wizvera, GoldenSpy, Able Desktop, SolarWinds ve SignSight. Güncel dijital güvenlik tedbirleri geleneksel pek çok saldırı noktası konusunda sistemlerin güvenliği büyük ölçekte sağlayabilirken tedarik zincirleri karmaşıklaşıp birbirlerine bağlandıkça oldukça geniş ve çok sayıda zaafiyete sahip saldırı alanları ortaya çıkartıyor. Ve geleneksel güvenlik tedbirleri bu noktada oldukça zayıf kalabiliyor. Güvendiğiniz bir yazılım üreticisinden gelen dijital imzalı ve görünüşte tümüyle güvenli bir güncellemenin sisteminizi saldırganlara açan bir arka kapı ile birlikte gelmeyeceğinin hiçbir garantisi yok. Devlet destekli hacker gruplarının son yıllarda bu tip saldırılarda elde ettikleri başarılar da gözetildiğinde 2021’de de bu tip saldırıları çokça görebileceğimizi rahatça söyleyebiliriz.