Siber güvenlik dünyasında önemli bir gelişme yaşandı. CrowdStrike, Google ve internetteki siber saldırıları izleyen kar amacı gütmeyen kuruluş Shadowserver'ın ortak operasyonuyla, yazılım geliştiricilerini hedef alan ve tedarik zinciri saldırılarıyla zararlı yazılım yayan bir botnet çökertildi. İki yıldır açık kaynak yazılım ekosistemini hedef alan 'Glassworm' adlı bu siber suç örgütünün faaliyetlerini durdurmak amaçlanıyordu.
GÜVEN ZAFİYETİ BÜYÜK FIRSAT YARATTI
Son dönemde artan siber saldırılar, özellikle geliştiricileri ve açık kaynak projelerini hedef alıyor. Şirketlerin GitHub gibi platformlarda barındırılan kodlara ve bu kodları yazan kişilere duyduğu güven, siber suçlular için büyük bir fırsat alanı oluşturuyor. CrowdStrike'ın raporuna göre, "Saldırganlar artık sadece ürünleri değil, onları inşa eden geliştiricileri de hedef alıyor. Tek bir geliştiricinin iş istasyonunu ele geçirmek, binlerce kuruluşu ve kullanıcıyı etkileyebilecek tedarik zinciri saldırılarına yol açabilir." Glassworm hackerları, zararlı kodlarını yaymak için geliştiricilerin kullandığı pazar yerlerine kötü amaçlı eklentiler yayınlama, sponsorlu arama sonuçlarıyla kurbanları kandırma (malvertising) ve daha önceki saldırılarda çalınan kimlik bilgileriyle geliştirici hesaplarını ele geçirip kodlara zararlı yazılım ekleme gibi çeşitli yöntemler kullandı. Bu sayede 300'den fazla GitHub kod deposunu 'zehirlemeyi' başardılar.
KRİTİK ALTYAPIYA DARBE VURULDU
CrowdStrike, Glassworm hackerlarının kullandığı dört komuta-kontrol kanalını devre dışı bırakarak, saldırganların enfekte bilgisayarlara erişimini kesti ve daha fazla zararlı yazılım yaymalarını engelledi. Bu komuta-kontrol sunucularının Solana blok zinciri, BitTorrent eşler arası ağı, Google Takvim ve sanal özel sunucular üzerinden çalıştığı belirtildi. Operasyonun hangi yasal veya teknik yetkiyle gerçekleştirildiği henüz netlik kazanmadı. Bu operasyon, geçtiğimiz hafta 'Mini Shai-Hulud' olarak adlandırılan farklı bir saldırıda açık kaynak projelerinin zararlı güncellemelerle ele geçirilmesi ve OpenAI geliştiricisinin bu grup tarafından hedef alınmasının ardından geldi. Mart ayında ise benzer bir tedarik zinciri saldırısında, milyonlarca geliştiricinin kullandığı popüler açık kaynak yazılım geliştirme aracı Axios, Kuzey Koreli olduğu düşünülen bir hacker tarafından ele geçirilmişti.
