Bir tedarik zinciri saldırısı nedir?
Linux sunucularını hedef alan disk silme kötü amaçlı yazılımı nedir?
Bu saldırı nasıl tespit edildi?
Yüklemek için kullanılan kötü amaçlı Golang modülleri nelerdir?
Saldırının hedefleri nelerdir?
Veri kaybı ve sistem arızası nasıl meydana gelir?
Bir tedarik zinciri saldırısı nedir?
Tedarik zinciri saldırıları, kötü amaçlı yazılımların veya güvenlik açıklarının bir yazılımın veya hizmetin tedarik zinciri boyunca yerleştirilerek hedeflenen sistemlere ulaşmasını sağlayan saldırılardır. Bu tür saldırılar, genellikle güvenilir görünen kaynaklardan yayılan zararlı yazılımlarla gerçekleştirilir. Son zamanlarda, Linux sunucularını hedef alan bir tedarik zinciri saldırısı meydana gelmiştir. Bu saldırılar, geliştiricilerin sıklıkla kullandığı platformlar üzerinde gerçekleştirildiği için özellikle tehlikeli hale gelmiştir.
Linux sunucularını hedef alan disk silme kötü amaçlı yazılımı nedir?
Linux sunucularını hedef alan bu spesifik saldırıda, disk silme kötü amaçlı yazılımı, GitHub’da yayımlanan Golang modülleri içinde gizlenmiştir. Saldırı, yüksek derecede karmaşık bir kod ile uzaktan zararlı yükleri almak ve çalıştırmak için tasarlanmış birkaç Golang modülünü kullanmaktadır. Bu modüller, geliştiriciler tarafından fark edilmeden sisteme sızmak için yasal projelerin benzeri olarak ortaya çıkmıştır.
Bu saldırı nasıl tespit edildi?
Saldırı, Nisan ayında bir tedarik zinciri güvenlik şirketi olan Socket tarafından tespit edilmiştir. Analizler sonucunda, üç adet kötü amaçlı Go modülü belirlenmiştir. Bu modüller GitHub platformundan kaldırılmıştır ve içerikleri oldukça karmaşık bir kod barındırmaktadır. Socket’ın yaptığı inceleme sonucunda, bu modüllerin ne kadar tehlikeli olduğu ortaya çıkmıştır. Saldırıya dair herhangi bir zaman kaybı olmadan, kötü amaçlı yüklerin hemen çalıştığı bildirilmektedir.
Yüklemek için kullanılan kötü amaçlı Golang modülleri nelerdir?
Saldırının temelinde yatan üç kötü amaçlı Go modülü şunlardır:
- github.com/truthfulpharm/prototransform
- github.com/blankloggia/go-mcp
- github.com/steelpoor/tlsproxy
Bu modüller, ‘wget’ komutunu kullanarak zararlı bir veri silme skripti indirmek için tasarlanmış obfuscate edilmiş kodlar içermektedir. Saldırganlar, bu modülleri güvenilir projeler olarak maskeleyerek geliştiricilerin sistemlerine entegre etmelerini sağlamıştır.
Saldırının hedefleri nelerdir?
Bu saldırının hedefi, Linux tabanlı sunuculardı. Saldırının etkileri, özellikle ana depolama birimi olan /dev/sda‘yı etkilemiştir. Bu bölüm, sistem verileri, kullanıcı dosyaları, veritabanları ve yapılandırmaları içermektedir. Kötü amaçlı yük, işletim sistemini, dosya sistemini ve tüm kullanıcı verilerini geri dönüşsüz bir şekilde silmektedir. Bu durum, sistemin çalışamaz hale gelmesine ve kurtarılamaz olmasına neden olmaktadır.
Veri kaybı ve sistem arızası nasıl meydana gelir?
Saldırının etkisi, belirtilen done.sh adlı bir Bash skriptinin ‘dd’ komutu çalıştırmasıyla gerçekleşmektedir. Bu komut, her bir veri baytını sıfır ile overwrite ederek, dosya sisteminin bütün yapısını ortadan kaldırır. Sistem, çalışması için gerekli olan tüm veriler silindiğinden, boot edilemez hale gelir. Socket’in açıkladığı gibi, "Diskin tamamını sıfırlarla doldurmak, dosya sisteminin yapısını, işletim sistemini ve bütün kullanıcı verilerini tamamen yok ettiğinden, sistem geri dönüşümsüz bir şekilde çalışamaz hale gelir."
Sonuç olarak, bu tür tedarik zinciri saldırıları, sadece Linux tabanlı sunucular için değil, tüm yazılım geliştiricileri için büyük bir tehdit oluşturmaktadır. Geliştiricilerin, güncel tehditleri takip etmeleri ve güvenlik önlemlerini dikkatlice uygulamaları gerekmektedir. Tedarik zinciri güvenliği, yazılım geliştirme süreçlerinin önemli bir parçası olmalıdır. Merkezdeki bu gibi saldırılar, geniş çapta veri kaybına yol açabilir ve ciddi sistem arızalarına neden olabilir.
