Ne bilmek istiyorsun
- Geçen hafta bir Alman Microsoft mühendisi, tehdit aktörlerinin milyonlarca masum kullanıcının verilerine erişmesine olanak verebilecek bir siber saldırıyı ortaya çıkardı.
- Yazılım mühendisi, rutin kontroller sırasında bilgisayarlara uzaktan erişmek için SSH kullanırken işlem gücünün yavaşladığını fark ettikten sonra sorunu araştırmaya başladı.
- Siber güvenlik firmaları, saldırıyı “şimdiye kadar herhangi bir yazılım ürününe yerleştirilen en yaygın ve etkili arka kapı” olarak nitelendiriyor.
- Sorun, yazılım mühendisinin durumu bir grup açık kaynak yazılım geliştiricisine bildirmesinden birkaç saat sonra çözüldü.
Geçtiğimiz hafta çoğumuz Paskalya tatili için dışarıdayken, 38 yaşındaki Alman Microsoft mühendisi Andres Freund dünyayı önemli bir siber saldırıdan potansiyel olarak kurtarmış olabilir.
Bağlamda Freund, PostgreSQL olarak bilinen açık kaynaklı veritabanı yazılımı geliştirmede uzmanlaşmış bir yazılım mühendisidir. İş tanımının bir kısmı, düzenli bakım kontrolleri yapmasını gerektiriyor, bu da bizi 29, 2024 Cuma gününe getiriyor.
Mühendis sorunu nasıl belirledi?
Freund, rutin bakım kontrollerini yaparken tuhaf bir şeye rastladı. Yazılım mühendisi, internetteki bilgisayarlara uzaktan erişmek için SSH adı verilen özel bir araçtan yararlanır. Süreç genellikle sorunsuz ve kusursuzdur, ancak bu özel günde acı verici derecede yavaştı.
Bu yavaşlama mühendisi konuyu araştırmaya yöneltti ve bu oldukça endişe vericiydi. XZ Utils adlı bir yazılım paketine gömülü kötü amaçlı kod buldu. Araç, Linux işletim sistemi üzerinde çalışan verileri sıkıştırır ve açar.
Farkında olabileceğiniz gibi, çoğu internet sunucusu Linux işletim sistemi tarafından desteklenmektedir ve Linux işletim sistemi de büyük ölçüde XZ Utils yazılım paketine dayanmaktadır (bankalar, hastaneler vb. gibi dünyanın en büyük şirketleri dahil). Freund’un sorunla ilgili araştırması, kötü amaçlı kodun XZ Utils için yapılan son iki güncelleme yoluyla cihazına ulaştığını ortaya çıkardı.
Yazılım tabanlı araçların çoğu hatalara açık olsa da (özellikle yeni güncellemeler yayınlandığında), Freund bunun bir hata veya hata olmadığını söylüyor. Bunun yerine yazılım mühendisi, arka kapının programa zarar vermek için kasıtlı olarak yerleştirildiğine inanıyor. Sonuç olarak saldırgan, kullanıcının SSH bağlantısına erişebilir ve şüphelenmeyen kullanıcının bilgisi olmadan kodunu çalıştırabilir.
Freund ilk bulgularına inanmadığını itiraf etti ancak daha fazla test ve analiz yaptıktan sonra sonuçlar şüpheleri ortadan kaldırdı. Sonuç olarak o bulgularını bir grup açık kaynak yazılım geliştiricisiyle paylaştı Bulguları incelemek ve muhtemelen makul bir çözüm bulmak.
Neyse ki geliştiriciler birkaç saat içinde sorunlara çözüm bulmayı başardılar. SentinelOne’un güven sorumlusu Alex Stamos, Freund’u keşfinden ve hızlı harekete geçmesinden dolayı övdü. New York Times:
“Bu, herhangi bir yazılım ürününe yerleştirilen en yaygın ve etkili arka kapı olabilirdi.”
Sofistike saldırının arkasında kim vardı?
Ancak bu saldırının arkasındaki bilgisayar korsanıyla ilgili ayrıntılar hala yetersiz konuyu araştıran araştırmacılar 2022’den itibaren XZ Utils’te ince değişiklikler tespit edildi. Ancak bir hacker grubunun sisteme sızmak için Jia Tan takma adını kullandığına inanılıyor.
Saldırganlar, geliştiricilerin güvenini yavaş yavaş kazanmak için karmaşık bir yöntem kullandı; sonuçta program kodu önermekten, önerilen değişiklikleri inceleyip onaylayan bakımcılara kadar sıralamalarda hızlı bir şekilde yükselmelerine olanak sağladı.
