Güneydoğu Asya ülkesi Vietnam’da yaşanan gelişmeler, bir tedarik zinciri saldırısı (supply chain attack) olarak tanımlanıyor. Siber güvenlik kuruluşu ESET’in tespit ve tahlil ettiği ihlalde, Vietnam Hükümeti Sertifika Kurumu’nun (Vietnam Government Certification Authority – VGCA) internet sitesi (ca.gov.vn) amaç alındı. Siber saldırganlar, bu internet sitesinde yer alan indirilebilir iki yazılım yükleyiciyi değiştirdi ve yasal uygulamanın kullanıcılarının güvenliğini ihlal etmek emeliyle bir art kapı ekledi.
Kurum ne yapıyor?
Vietnam’da dijital imzaya sahip evraklar, ıslak imzalı evraklarla tıpkı derecede geçerli olduğundan dijital imzalar epeyce yaygın. Evrakları imzalamak için kullanılan kriptografik sertifikalar, Hükümet Şifre Komitesi’nin (Government Cipher Committee) bir kesimi olan VGCA’nın da ortalarında bulunduğu yetkili sertifika sağlayıcılarından biri tarafından onaylanmış olmalı. Bu komite, ülkenin Bilgi ve İrtibat Bakanlığı’na bağlı.
VGCA, sertifikaları yayımlamanın yanı sıra dijital imza kiti geliştiriyor ve dağıtıyor. Bu imza kiti, Vietnam Hükümeti ve ekseriyetle özel şirketler tarafından dijital dokümanları imzalamak için kullanılıyor. Ziyaretçilerin, bir devlet kurumunda dijital imza yetkisine sahip yüksek mevkide şahısların olması mümkünlüğü yüksek olduğundan, bir onay kurumunun internet sitesinin ihlal edilmesi APT (Gelişmiş kalıcı tehdit) grupları için iyi bir fırsat olarak kıymetlendirilebilir.
Gerisinde ‘hayalet‘ var
ESET bilgilerine nazaran ihlalden PhantomNet yani ‘Hayalet‘ ziyanlı yazılımının değiştirilmiş bir versiyonu sorumlu. Bulgular, ‘Hayalet‘ art kapısının berbat gayeye hizmet eden özelliklerinin, ekseriyetle eklentiler yoluyla çalıştığını gösteriyor. Hayalet, kurbanın proxy yapılandırmasına erişim sağlayarak, bu yapılandırmayı komuta ve denetim (C&C) sunucusuna ulaşmak için kullanıyor. Bu durum, amaçların büyük ihtimalle kurumsal bir ağda çalıştığını gösteriyor.
Hayalet ne yapabiliyor?
Hayalet, siber hatalılara kurbanın sistemine ait çeşitli bilgiler iletebiliyor. Bu bilgilerin ortasında bilgisayar ismi, ana makine ismi, kullanıcı ismi, işletim sistemi sürümü, kullanıcı ayrıcalıkları (yönetici yahut değil) üzere bilgiler olabiliyor. Hayalet ayrıyeten; kur, kaldır, güncelle üzere fonksiyonlarla eklenti idaresi de sağlıyor.
Vietnam’daki atakta ihlal sonrası aktiflikle ilgili data kurtarılamadığı için saldırganların maksadının ne olduğuyla ilgili net bir bilgi oluşmadı. Fakat bu tıp tedarik zinciri ataklarının siber casusluk kümeleri için yaygın bir ihlal vektörü olduğu biliniyor. Makus hedefli kod, ekseriyetle birçok yasal kodun ortasına gizlendiğinden tedarik zinciri akınlarını bulmak kolay değil. Bu durum bu taarruzların keşfedilmesini değerli ölçüde zorlaştırıyor.
ESET, bahisle ilgili Vietnam Hükümeti Sertifika Kurumu’nu bilgilendirirken, kurum saldırının farkında olduklarını ve truva atı yerleştirilmiş yazılımı indiren kullanıcıları bilgilendirdiklerini paylaştı.
Hürriyet
