Siber güvenlik kuruluşunun bildirdiğine göre, önde gelen Çinli hacker grubu StormBamboo (diğer adıyla StormCloud veya Evasive Panda), bir İSS’yi ve bu ağlardaki birkaç MacOS ve Windows cihazını başarıyla tehlikeye attı VolexityÖzellikle, HTTP gibi güvenli olmayan protokoller, DNS sorgu yanıtlarını değiştirmek ve amaçlanan otomatik yazılım güncellemelerini MACMA (MacOS hedefli kötü amaçlı yazılım) ve MGBot/POCOSTICK (Windows hedefli kötü amaçlı yazılım) ile desteklemek ve ardından kötü amaçlı Google Chrome uzantısı yüklemek için ele geçirildi.
Saldırının özü ve nasıl gerçekleştiği bu, ancak bu hikayeden çıkarılacak daha büyük dersler nelerdir? Bulmacanın önemli bir parçası, şifrelenmemiş ağ iletişimlerinin özellikle de temel altyapıda kullanıldığında ne kadar feci derecede güvensiz olabileceğini fark etmektir. Şifreleme kendi başına güvenliği garanti etmese de, hiç olmamasından kat kat daha iyidir. HTTPS yerine temel HTTP kullanmak çoğu kullanıcı için zararsız olurdu, ancak bu durumda saldırganlara hedeflenen alt akış hedefine saldırmak için etkilenen İSS altyapısının tam kontrolünü sağlamaya doğru çığ gibi büyüdü.
Bir cihaz ihlal edildiğinde, pazar lideri Google Chrome tarayıcısı gibi güvenli olduğu düşünülen yazılımlar ve işlemler bile, özellikle de herhangi bir şeyin ters gittiğini fark etmemişlerse, nihai hedefin tarafında gerçek bir başvuru yolu olmadan kullanıcılara karşı etkili bir şekilde zehirlenebilir. Burada kullanılan kötü amaçlı uzantı, tarayıcı çerezlerinin (güvenli bilgiler dahil) artık saldırgan tarafından şifrelenen üçüncü bir tarafa gönderilmesine izin vermek için bir “Güvenli Tercihler” dosyasını değiştiren RELOADEXT olarak adlandırılır.
Bu tür saldırılar ayrıca otomatik süreçlerin, özellikle de güvenli olmayan otomatik süreçlerin getirdiği içsel tehlikeden de bahseder. Otomatik yazılım güncellemeleri için altyapının yerinde olması yeterli değildir veya bu otomatik yazılım güncellemelerinin (görünüşte) çalıştığını doğrulamak yeterli midir?
StormBamboo’nun kanıtladığı gibi, otomatik altyapı, yalnızca amaçlanan yazılım güncelleme görevlerinden daha fazlasını sunmak için ele geçirildiğinde bile amaçlandığı gibi çalışabilir. Bu, otomatik yazılım güncellemelerinin doğası gereği bir kötü Bu, bu süreci güvence altına almamanın en iyi ihtimalle ihmalkarlık olduğunu, özellikle de bir İnternet Servis Sağlayıcısı (İSS) gibi, aksi takdirde güvence altına alınmış birkaç hedefin tehlikeye girebileceği bir alt akış ağı kurulduğunda gösteriyor.
Volexity’nin bu ihlale ilişkin ilk genel bakışında, kurban kuruluşun güvenlik duvarının basitçe ihlal edildiği görülüyordu. Çoğu kişi, bu tür ihlallerin bir dereceye kadar söz konusu kurban kuruluşun “hatası” (ya da en azından masum bir hatası) olduğunu varsayar. Bunun yerine, DNS’in hedefe hizmet veren İSS’yi zehirlemesiyle StormBamboo, önceki saldırılarda olduğu gibi son kullanıcı hatasına bile güvenmeye gerek kalmadan hedefi etkili bir şekilde tehlikeye atabildi.
