olarak Rus siber tehdidi ısındıkça, ABD ve Avrupa’nın ulusal çıkarlarının korunmasının BT ve yazılım şirketlerindeki sivillerin elinde olduğu giderek daha açık hale geliyor. Görünüşte hükümetle hiçbir ilgisi olmayan Amerikan ve Avrupa bilişim şirketleri, farkında olmadan düşman devlet siber saldırıları ve casusluk kampanyaları için birer basamak görevi görüyor. Bu saldırılar başarılı olursa, yalnızca hükümet ve askeri sırlar üzerinde yıkıcı etkilere sahip olmakla kalmaz, aynı zamanda modern ekonominin merkezinde yer alan yazılım tedarik zincirine olan güveni de tehlikeye atabilir.
Son aylarda şirketim, diğer büyük şirketlerle birlikte, Microsoft, Rus bilgisayar korsanlığı grubu APT29’u gördüm – büyük suçlardan sorumlu tutuldu Güneş Rüzgarları siber saldırı ve 2015 Demokratik Ulusal Komite’ye sızma — sessizce büyük BT şirketlerine, özellikle de işletmelere ve devlet kuruluşlarına bulut tabanlı yazılım hizmetleri sunanlara erişmeye çalışmak. Hasar tehdidi, özellikle çevik ve derin cepli grup durma belirtisi göstermediği için büyük görünüyor. APT29, ağırlıklı olarak kimlik avı kampanyaları yoluyla yazılım tedarik zinciri şirketlerindeki bireysel çalışanları hedeflemeye ve bu hizmet sağlayıcıları askeri veya devlet kurumları gibi hassas hedeflere karşı casusluk saldırıları gerçekleştirmek için proxy’lere dönüştürmek için tespit edilmesi zor, benzersiz araçlar kullanmaya devam edecek.
APT29, Microsoft veya diğer BT şirketlerinin kendileriyle ve hatta özelleştirilmiş bulut yazılım ürünleri sunan doğrudan müşterileriyle ilgilenmez. Bunun yerine, savunma şirketleri, devlet kurumları veya değerli veya gizli bilgilere sahip müteahhitler de dahil olmak üzere, zincirin daha aşağısındaki abonelere ve kullanıcılara saldırmak için vekiller olarak kullanmayı amaçlıyorlar. Hükümetler, müteahhitler ve şirketler giderek daha fazla güveniyor bulut hizmetleri, kısmen birden fazla yazılım satıcısının hizmetlerine izin verdikleri esneklik için.
Yakın zamanda bulut tabanlı bir yazılım şirketinde hafiflettiğimiz bir vakada, APT29 büyük yazılım şirketinin kendisinden herhangi bir veriyi almaya veya başka şekilde tehlikeye atma girişiminde bulunmadı. Bunun yerine, bilgisayar korsanları, yazılım şirketindeki hangi kişilerin nihai hedef olan müşteriler hakkında bilgi sahibi olduğunu veya müşterilerle bağlantılı olduğunu bulmaya çalıştı. Başlangıçta bu çalışanlara kimlik avı kampanyaları yoluyla ulaştılar ve daha sonra, nihai hedeflere potansiyel olarak ulaşmak için meşru ağ bağlantılarını devralmak ve kullanmak için benzersiz bir araç kullanabildiler, ancak tespit edilmediler. Keşfettiğimiz araç, bilgileri sızdırmıyor, bunun yerine bilgisayar korsanlarının diğer hedeflere ulaşmak için hesapları ve bağlantıları proxy olarak kullanmalarına izin veriyor.
Nihai hedeflerle potansiyel bağlantılarına dayalı olarak belirli çalışanların bu şekilde hedeflenmesi, APT29 için benzersiz ve yeni bir yaklaşımdır. Bilgisayar korsanlarının zaman içinde, belki de yaklaşık bir yıl boyunca yazılım tedarikçisi içinde fark edilmeden gerçekleştirdiği sıkıcı bir süreç. Bu, ABD hükümetinin SolarWinds saldırısı için suçladığı grupla aynı grup olmasına rağmen, bu saldırı gördüğümüzden oldukça farklıydı. Bu durumda, bilgisayar korsanları, SolarWinds saldırısında olduğu gibi kötü amaçlı bir yazılım güncellemesi yoluyla herkesi hedeflemek yerine, yalnızca yazılım şirketinin belirli müşterileri ile olası bağlantıları aradılar. Saldırıların ince ayarlı doğası, operatörlerin, işleyicilerinden önceden rehberlik ve diğer istihbarat aldığına işaret ediyor.
Siber saldırganlar yazılım hizmeti sağlayıcılarının içine girdikten sonra, yazılım tedarikçilerine bağlı değerli hedeflere yönelik karmaşık kimlik avı saldırılarını gerçekleştirmek için gereken erişimin yanı sıra bilgi de kazanırlar. Hedeflerde çalışanların kendilerinin e-postaları nasıl açacağını ve hatta yazılım servis sağlayıcılarından geliyormuş gibi görünen ekleri nasıl indireceğini görmek kolaydır. Nihayetinde bu, devlet kurumlarının ve savunma şirketlerinin ağlarında, saldırganların değerli veya gizli bilgilere sürekli erişime izin veren kötü amaçlı yazılımlara yol açabilir. Bu, nihai hedefler ne kadar iyi korunduklarını düşünürse düşünsün, yazılım sağlayıcıları veya dijital bağlantıları olan herkes aracılığıyla giderek artan bir şekilde bir arka kapı olduğunu gösteriyor.
Bu aktörler, yazılım tedarikçilerine ve zincirin aşağısındaki gerçek hedeflere girmek için esas olarak kimlik avına güvendiğinden, bir güvenlik açıkları listesini yamalamak gibi kolay bir teknolojik çözüm yoktur. Tüm bunlar, çok faktörlü kimlik doğrulama kullanmak ve çalışanlara kimlik avı girişimlerini tanımayı öğretmek gibi, genellikle göz ardı edilmesine rağmen, olağan yöntemlerle bu tür saldırıları önlemenin büyük ölçüde özel sektör şirketlerindeki insanlara bağlı olduğu anlamına gelir.
İstihbaratımız, APT29 ve diğer devlet aktörlerinin, özellikle ABD ve Avrupa’da askeriye, savunma veya kilit teknoloji sektörlerine hizmet eden yazılım tedarik zinciri şirketlerini hedef almaya devam edeceğini gösteriyor. Büyüyen bulut bilişim sektörünün değer kazanması bekleniyor 2028 yılına kadar 1,25 trilyon dolarve altyapıdan tedarik zincirlerine ve çevrimiçi bankacılığa kadar her şeyi yönetmek için hayati önem taşır. İyi güvence altına alınmazsa, yazılım tedarik zinciri ulusal güvenlik ve ekonomi için büyük bir risk oluşturmaya devam edecektir.