Resmi Sertifika Kurumuna ‘Hayalet‘ Saldırısı

Güneydoğu Asya ülkesi Vietnam’da yaşanan gelişmeler, bir tedarik zinciri saldırısı (supply chain attack) olarak tanımlanıyor. Siber güvenlik kuruluşu ESET’in tespit ve tahlil ettiği ihlalde, Vietnam Hükümeti Sertifika Kurumu’nun (Vietnam Government Certification Authority – VGCA) internet sitesi (ca.gov.vn) amaç alındı. Siber saldırganlar, bu internet sitesinde yer alan indirilebilir iki yazılım yükleyiciyi değiştirdi ve yasal uygulamanın kullanıcılarının güvenliğini ihlal etmek gayesiyle bir art kapı ekledi.

Kurum ne yapıyor? 

Vietnam’da dijital imzaya sahip dokümanlar, ıslak imzalı dokümanlarla tıpkı derecede geçerli olduğundan dijital imzalar hayli yaygın. Evrakları imzalamak için kullanılan kriptografik sertifikalar, Hükümet Şifre Komitesi’nin (Government Cipher Committee) bir modülü olan VGCA’nın da ortalarında bulunduğu yetkili sertifika sağlayıcılarından biri tarafından onaylanmış olmalı. Bu komite, ülkenin Bilgi ve İrtibat Bakanlığı’na bağlı.

VGCA, sertifikaları yayımlamanın yanı sıra dijital imza kiti geliştiriyor ve dağıtıyor. Bu imza kiti, Vietnam Hükümeti ve ekseriyetle özel şirketler tarafından dijital dokümanları imzalamak için kullanılıyor. Ziyaretçilerin, bir devlet kurumunda dijital imza yetkisine sahip yüksek mevkide bireylerin olması mümkünlüğü yüksek olduğundan, bir onay kurumunun internet sitesinin ihlal edilmesi APT (Gelişmiş kalıcı tehdit) grupları için uygun bir fırsat olarak kıymetlendirilebilir. 

Gerisinde ‘hayalet‘ var

ESET bilgilerine nazaran ihlalden PhantomNet yani ‘Hayalet‘ ziyanlı yazılımının değiştirilmiş bir versiyonu sorumlu. Bulgular, ‘Hayalet‘ art kapısının makûs gayeye hizmet eden özelliklerinin, ekseriyetle eklentiler yoluyla çalıştığını gösteriyor. Hayalet, kurbanın proxy yapılandırmasına erişim sağlayarak, bu yapılandırmayı komuta ve denetim (C&C) sunucusuna ulaşmak için kullanıyor. Bu durum, gayelerin büyük ihtimalle kurumsal bir ağda çalıştığını gösteriyor.

Hayalet ne yapabiliyor? 

Hayalet, siber hatalılara kurbanın sistemine ait çeşitli bilgiler iletebiliyor. Bu bilgilerin ortasında bilgisayar ismi, ana makine ismi, kullanıcı ismi, işletim sistemi sürümü, kullanıcı ayrıcalıkları (yönetici yahut değil) üzere bilgiler olabiliyor. Hayalet ayrıyeten; kur, kaldır, güncelle üzere fonksiyonlarla eklenti idaresi de sağlıyor. 

Vietnam’daki atakta ihlal sonrası aktiflikle ilgili data kurtarılamadığı için saldırganların hedefinin ne olduğuyla ilgili net bir bilgi oluşmadı. Lakin bu çeşit  tedarik zinciri ataklarının siber casusluk kümeleri için yaygın bir ihlal vektörü olduğu biliniyor. Makûs maksatlı kod, ekseriyetle birçok yasal kodun ortasına gizlendiğinden tedarik zinciri hücumlarını bulmak kolay değil. Bu durum bu taarruzların keşfedilmesini kıymetli ölçüde zorlaştırıyor. 

ESET, bahisle ilgili Vietnam Hükümeti Sertifika Kurumu’nu bilgilendirirken, kurum atağın farkında olduklarını ve truva atı yerleştirilmiş yazılımı indiren kullanıcıları bilgilendirdiklerini paylaştı.