Yazılım tedarik zincirleri, modern iş süreçleri için büyük önem taşımaktadır. Dijital bağlantılar kısaldıkça ve geliştirme döngüleri hızlandıkça, güvenli kod oluşturmak ve iletmek için tedarik zincirindeki her bağlantıya güvenilmelidir. Temel bir süreç olarak, kod imzalama, kimsenin kodu kurcalamamasını sağlar.
Program kodunu imzalamak için geliştiriciler, özel ve genel anahtardan oluşan bir anahtar çifti oluşturur. Şirket kimlik bilgilerini ve özel anahtarla imzalanmış ortak anahtarın bir kopyasını içeren sertifika imzalama talebi (CSR) bir sertifika yetkilisine (CA) gider. Bu, geliştiricinin kimliğini doğrular ve genel anahtarı içeren geçerli bir kod imzalama sertifikası döndürür.
Geliştiriciler, kodu imzalamak için özel anahtarlarını kullanırlar ve kullanıcılar, kaynağın kimliğini ve nihai olarak kodun güvenilirliğini doğrulamak için ortak anahtar sertifikasını kullanırlar. Bu süreç, yazılım tedarik zincirinde karşılıklı güvenin temelidir.
Bu nedenle, saldırganlar değerli yazılım kaynaklarına yetkisiz erişim sağladığında, kod imzalama saldırılarının geniş kapsamlı ve derin etkileri olur. Başarılı bir izinsiz girişten sonra bilgisayar korsanları, yalnızca doğrudan etkilenen kullanıcılara değil, aynı zamanda tehlikeye atılan kurbana güvenen alt kuruluşlara ve bireylere de zarar vermek için güçlü araçlara sahiptir. Kod imzalama saldırılarının ölçeğine iyi bir örnek, Stuxnet solucanıdır. Başlangıç noktası, birkaç Tayvanlı şirketin dijital sertifikalarının başarılı bir şekilde çalınmasıydı. Bu, saldırganların SCADA kötü amaçlı yazılımlarını İran’daki kritik altyapıya enjekte etmek için kamufle etmesine izin verdi. Sonuç olarak, endüstriyel tesislerin kontrol sistemlerini sabote etmek ve İran’ın nükleer programında olağanüstü aksamalara neden olmak mümkün oldu.
Saldırganın bakış açısından, anahtarların ve sertifikaların imzalanmasına bir göz atmaya değer. Bu, bilgisayar korsanlarının kötü amaçlı kodu güvenilir olarak sunmasına ve onu güvenilir bir ortaktan iddia edilen bir yükseltme olarak mevcut tedarik zinciri süreçlerine eklemesine olanak tanır. Nvidia’ya yönelik yakın tarihli bir saldırı, grafik kartı devi Şubat 2022’de Lapsus$ Group’un hedefi haline geldiğinden tüm tedarik zincirini kasıp kavurdu. Bilgisayar korsanı grubu, çalışan parolaları ve Nvidia teknolojileriyle ilgili dahili bilgiler de dahil olmak üzere birçok bilgiyi çaldı. Suçluların en değerli ganimetleri, süresi dolmuş iki kod imzalama sertifikası ve bunlarla ilişkili özel anahtarlardı.
Bir ay sonra, güvenlik araştırmacıları, güvenilir Nvidia programları gibi görünen, çalınan sertifikalarla imzalanmış kötü amaçlı kodların ikili dosyalarını keşfetti. Gerçekte, dosyalar Cobalt Strike Beacon ve Remote Access Trojan (RAT) ile Mimikatz Yanal Hareket araçlarını içeriyordu.
Meşru bir güvenlik aracı olan Cobalt Strike, tehdit aktörlerine hedeflenen kuruluşlara erişim sağlar. Mimikatz ile erişim verileri doğrudan ana bellekten okunabilir. Örneğin, Lapsus$ bir VPN bağlantısı aracılığıyla Mobil Cihaz Yönetimine (MDM) erişebildi ve oturum açma bilgilerini ve özel bilgileri çalıp yayınlayabildi.
Her iki sertifikanın da süresi dolmuş olsa da, Microsoft’un güvenlik sistemlerini kandırarak Windows’a erişim elde etmeyi başardılar. Saldırı Nvidia’yı hedefliyor gibi görünüyor, ancak grafik kartı üreticisi yalnızca dolaylı olarak geniş kapsamlı etkiler için hedef alınmış olabilir. Vaka, kod imzalama saldırılarının ne kadar ciddi olabileceğini ve bir BT ortamına veya tedarik zincirine diğer aktörleri ve kuruluşları dahil ederek ne kadar uzağa yayılabileceğini göstermektedir.
Nvidia’ya yapılan saldırı dünya çapında bir sansasyon yarattı, ancak bu, karşılaştırılabilir birçok örnek arasında yalnızca bir örnek. VirusTotal tarafından yakın zamanda yapılan bir araştırmaya göre, kod imzalama saldırıları genel olarak düşünülenden çok daha yaygındır. “Ölçekte Aldatma: Kötü Amaçlı Yazılım Güveni Nasıl Suistimal Eder” raporu, Google Cloud’un çevrimiçi hizmetinin 2021’den bu yana bir milyondan fazla imzalı kötü amaçlı yazılım örneği bulduğunu ortaya çıkardı. VirusTotal bunları bulduğunda örneklerin yaklaşık %90’ı geçerli sertifikalarla imzalanmıştı. Kötü amaçlı yazılımları imzalamak için kullanılan en yaygın sertifika türleri, Skype, Adobe ve VLC gibi tanınmış şirketlerden geliyordu.
Kod imzalamadaki hatalar zinciri
Kod imzalama uygulamasındaki çeşitli kusurlar, bu tür saldırılara izin verir. Birçoğu, BT güvenlik sorunlarının yalnızca doğru BT araçlarına sahip olmakla ilgili olmadığını, aynı zamanda bunları güvenlikle uyumlu bir şekilde kullanmakla ilgili olduğunu unutuyor. Örnek SolarWinds: Birkaç devlet dairesi ve büyük özel şirket, BT ve ağ yönetimi yazılımı siber saldırısından etkilendi.
Saldırganların herhangi bir sertifika veya kod imzalama anahtarı çalması gerekmedi, bunun yerine şirketin geliştirme sonunda imzaladığı oluşturma işlemi sırasında SolarWinds yazılımına kötü amaçlı kod enjekte etti. Saldırganlar, güvenli olmayan şekilde uygulanan bir yazılım tedarik zincirinden yararlandı. Bunun gibi hatalar genellikle daha sonra daha büyük risklere yol açar. Kod imzalama tek başına yeterli değildir, dijital imzalama süreci, yazılım tedarik zincirinin güvenli süreçlerine entegre edilmelidir.
Haberin Sonu
Program kodunu imzalamak için geliştiriciler, özel ve genel anahtardan oluşan bir anahtar çifti oluşturur. Şirket kimlik bilgilerini ve özel anahtarla imzalanmış ortak anahtarın bir kopyasını içeren sertifika imzalama talebi (CSR) bir sertifika yetkilisine (CA) gider. Bu, geliştiricinin kimliğini doğrular ve genel anahtarı içeren geçerli bir kod imzalama sertifikası döndürür.
Geliştiriciler, kodu imzalamak için özel anahtarlarını kullanırlar ve kullanıcılar, kaynağın kimliğini ve nihai olarak kodun güvenilirliğini doğrulamak için ortak anahtar sertifikasını kullanırlar. Bu süreç, yazılım tedarik zincirinde karşılıklı güvenin temelidir.
Bu nedenle, saldırganlar değerli yazılım kaynaklarına yetkisiz erişim sağladığında, kod imzalama saldırılarının geniş kapsamlı ve derin etkileri olur. Başarılı bir izinsiz girişten sonra bilgisayar korsanları, yalnızca doğrudan etkilenen kullanıcılara değil, aynı zamanda tehlikeye atılan kurbana güvenen alt kuruluşlara ve bireylere de zarar vermek için güçlü araçlara sahiptir. Kod imzalama saldırılarının ölçeğine iyi bir örnek, Stuxnet solucanıdır. Başlangıç noktası, birkaç Tayvanlı şirketin dijital sertifikalarının başarılı bir şekilde çalınmasıydı. Bu, saldırganların SCADA kötü amaçlı yazılımlarını İran’daki kritik altyapıya enjekte etmek için kamufle etmesine izin verdi. Sonuç olarak, endüstriyel tesislerin kontrol sistemlerini sabote etmek ve İran’ın nükleer programında olağanüstü aksamalara neden olmak mümkün oldu.
Saldırganın bakış açısından, anahtarların ve sertifikaların imzalanmasına bir göz atmaya değer. Bu, bilgisayar korsanlarının kötü amaçlı kodu güvenilir olarak sunmasına ve onu güvenilir bir ortaktan iddia edilen bir yükseltme olarak mevcut tedarik zinciri süreçlerine eklemesine olanak tanır. Nvidia’ya yönelik yakın tarihli bir saldırı, grafik kartı devi Şubat 2022’de Lapsus$ Group’un hedefi haline geldiğinden tüm tedarik zincirini kasıp kavurdu. Bilgisayar korsanı grubu, çalışan parolaları ve Nvidia teknolojileriyle ilgili dahili bilgiler de dahil olmak üzere birçok bilgiyi çaldı. Suçluların en değerli ganimetleri, süresi dolmuş iki kod imzalama sertifikası ve bunlarla ilişkili özel anahtarlardı.
Bir ay sonra, güvenlik araştırmacıları, güvenilir Nvidia programları gibi görünen, çalınan sertifikalarla imzalanmış kötü amaçlı kodların ikili dosyalarını keşfetti. Gerçekte, dosyalar Cobalt Strike Beacon ve Remote Access Trojan (RAT) ile Mimikatz Yanal Hareket araçlarını içeriyordu.
Meşru bir güvenlik aracı olan Cobalt Strike, tehdit aktörlerine hedeflenen kuruluşlara erişim sağlar. Mimikatz ile erişim verileri doğrudan ana bellekten okunabilir. Örneğin, Lapsus$ bir VPN bağlantısı aracılığıyla Mobil Cihaz Yönetimine (MDM) erişebildi ve oturum açma bilgilerini ve özel bilgileri çalıp yayınlayabildi.
Her iki sertifikanın da süresi dolmuş olsa da, Microsoft’un güvenlik sistemlerini kandırarak Windows’a erişim elde etmeyi başardılar. Saldırı Nvidia’yı hedefliyor gibi görünüyor, ancak grafik kartı üreticisi yalnızca dolaylı olarak geniş kapsamlı etkiler için hedef alınmış olabilir. Vaka, kod imzalama saldırılarının ne kadar ciddi olabileceğini ve bir BT ortamına veya tedarik zincirine diğer aktörleri ve kuruluşları dahil ederek ne kadar uzağa yayılabileceğini göstermektedir.
Nvidia’ya yapılan saldırı dünya çapında bir sansasyon yarattı, ancak bu, karşılaştırılabilir birçok örnek arasında yalnızca bir örnek. VirusTotal tarafından yakın zamanda yapılan bir araştırmaya göre, kod imzalama saldırıları genel olarak düşünülenden çok daha yaygındır. “Ölçekte Aldatma: Kötü Amaçlı Yazılım Güveni Nasıl Suistimal Eder” raporu, Google Cloud’un çevrimiçi hizmetinin 2021’den bu yana bir milyondan fazla imzalı kötü amaçlı yazılım örneği bulduğunu ortaya çıkardı. VirusTotal bunları bulduğunda örneklerin yaklaşık %90’ı geçerli sertifikalarla imzalanmıştı. Kötü amaçlı yazılımları imzalamak için kullanılan en yaygın sertifika türleri, Skype, Adobe ve VLC gibi tanınmış şirketlerden geliyordu.
Kod imzalamadaki hatalar zinciri
Kod imzalama uygulamasındaki çeşitli kusurlar, bu tür saldırılara izin verir. Birçoğu, BT güvenlik sorunlarının yalnızca doğru BT araçlarına sahip olmakla ilgili olmadığını, aynı zamanda bunları güvenlikle uyumlu bir şekilde kullanmakla ilgili olduğunu unutuyor. Örnek SolarWinds: Birkaç devlet dairesi ve büyük özel şirket, BT ve ağ yönetimi yazılımı siber saldırısından etkilendi.
Saldırganların herhangi bir sertifika veya kod imzalama anahtarı çalması gerekmedi, bunun yerine şirketin geliştirme sonunda imzaladığı oluşturma işlemi sırasında SolarWinds yazılımına kötü amaçlı kod enjekte etti. Saldırganlar, güvenli olmayan şekilde uygulanan bir yazılım tedarik zincirinden yararlandı. Bunun gibi hatalar genellikle daha sonra daha büyük risklere yol açar. Kod imzalama tek başına yeterli değildir, dijital imzalama süreci, yazılım tedarik zincirinin güvenli süreçlerine entegre edilmelidir.
Haberin Sonu