CrowdStrike, Google ve internet kazalarını tarayıp izleyen kar amacı gütmeyen Shadowserver ile iş birliği yaparak, siber suçluların açık kaynak yazılım geliştiricilerinden kötü amaçlı yazılım yaymak ve şifre çalmak için kullandığı bir botnet’i etkisiz hale getirdi.
Bu etkisiz hâle getirme operasyonu, CrowdStrike’a göre, “Glassworm” adlı botnet’in arkasındaki siber suçluların faaliyetlerini kesmek amacı taşımaktaydı. Bu botnet, iki yıldır açık kaynak yazılım tedarik zincirini hedef alıyordu.
Son aylarda, birçok hack grubu geliştiricilere ve açık kaynak projelere yönelik saldırılar düzenleyerek şirketlere ve organizasyonlara kötü amaçlı yazılım yollamayı amaçladı. Bu saldırılar, şirketlerin GitHub gibi platformlarda barındırılan kodlara ve bu kodların arkasındaki çalışanlara olan güvenini sömürdüğü için etkili olabiliyor.
CrowdStrike, etkisiz hale getirme operasyonu hakkında yaptığı raporda, “Düşmanlar artık sadece ürünleri hedef almıyor, bunları oluşturan geliştiricileri de hedef alıyor.” şeklinde belirtti. “Geliştiriciler, son derece değerli hedeflerdir: tek bir geliştiricinin iş istasyonunu ele geçirmek, binlerce alt organizasyonu ve kullanıcıyı etkileyen bir tedarik zinciri ihlaline yol açabilir.”
Glassworm hackerları kötü amaçlı kodlarını yaymak için çeşitli stratejiler kullandı. Bunlar arasında geliştiricilerin kullandığı bir pazarda kötü amaçlı uzantılar yayımlamak; kurbanların kötü amaçlı yazılım indirmelerine neden olan sponsorlu arama sonuçları için ödeme yapmak (malvertising); ve daha önceki saldırılarda çalınan kimlik bilgilerini kullanarak geliştirici hesaplarını ele geçirmek ve kodlarına kötü amaçlı yazılım yerleştirmek yer aldı.
Sonuç olarak, hackerlar CrowdStrike’ın ifadesine göre, 300’den fazla GitHub kod deposunu zehirlemiş oldu.
İletişim Kurun
Glassworm hacking grubu hakkında daha fazla bilginiz var mı? Ya da diğer tedarik zinciri saldırıları ile ilgili? İş amaçlı olmayan bir cihazdan, Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde iletişim kurmak için Signal üzerinden +1 917 257 1382 numarasını arayabilir veya Telegram, Keybase ve Wire @lorenzofb üzerinden ulaşabilirsiniz.
CrowdStrike, Glassworm hackerlarının kullandığı dört komut ve kontrol kanalını etkisiz hale getirerek, hackerların enfekte olmuş bilgisayarlara erişimini kesti ve daha fazla kötü amaçlı yazılım dağıtmalarını durdurdu.
Komut ve kontrol sunucularının Solana blockchain’i, BitTorrent peer-to-peer ağı, Google Takvim ve sanal özel sunucular üzerine kurulu olduğu belirtildi.
CrowdStrike ve diğerlerinin operasyonu etkisiz hale getirmek için hangi yasal veya teknik otoriteyi kullandığı net değil. CrowdStrike’dan bir sözcü ise hemen yorumda bulunmadı.
Geçen hafta, hackerlar, “Mini Shai-Hulud” adı verilen farklı bir hack kampanyasında kötü amaçlı güncellemeler yayımlayan birkaç açık kaynak projesini ele geçirdi. Bu hacker grubu bir OpenAI geliştiricisini de etkiledi. Mart ayında başka bir tedarik zinciri saldırısında, Kuzey Koreli olduğu düşünülen bir hacker, milyonlarca geliştirici tarafından kullanılan popüler açık kaynak yazılım geliştirme aracı Axios’u ele geçirdi.
Makalerimizdeki bağlantılar üzerinden alışveriş yaptığınızda, küçük bir komisyon kazanabiliriz. Bu, editoryal bağımsızlığımızı etkilemez.
