İçeriğe Atla
Yazılımcıları Hedef Alan Küresel Siber Tehdit Glassworm Çökertildi
Yorum🗨️ 0
📰 Haber

Yazılımcıları Hedef Alan Küresel Siber Tehdit Glassworm Çökertildi

Google, CrowdStrike ve Shadowserver, yazılımcıların araçlarını hedef alan ve Solana blokzinciri dahil çoklu kanallarla yönetilen Glassworm botnet altyapısını dev bir ortak operasyonla çökertti.

✍️ Haber Merkezi2 dk okuma
Google konulu haberin kapak görseli
Fotoğraf: Haberlendin

Açık kaynak yazılım dünyası, son dönemin en organize ve tehlikeli siber tehditlerinden birine karşı gerçekleştirilen büyük bir operasyonla sarsıldı. Google, CrowdStrike ve Shadowserver Foundation güçlerini birleştirerek, doğrudan yazılım geliştiricileri hedef alan Glassworm botnet altyapısını tamamen devre dışı bıraktı. Gerçekleştirilen bu kritik müdahale, yalnızca birkaç bilgisayara sızan sıradan bir zararlı yazılım vakasının çok ötesinde, küresel çapta bir tedarik zinciri felaketini önlemeyi amaçlıyor.

Tek Bir Geliştirici, Binlerce Şirketi Tehlikeye Atıyor

Glassworm botnetinin bu denli tehlikeli bir tehdit haline gelmesinin arkasında, doğrudan geliştiricilerin günlük operasyonlarında güvendiği araçları hedef alması yatıyor. Bir yazılımcının bilgisayarının ele geçirilmesi; o kişinin erişim yetkisine sahip olduğu kaynak kod depolarını, paket sistemlerini ve kritik bulut altyapılarını doğrudan tehlikeye atıyor. Bu durum, siber saldırının etkisini tek bir bireyle sınırlı tutmayıp, o geliştiricinin ürettiği yazılımları kullanan binlerce şirkete ve nihai kullanıcıya kolayca yayabiliyor.

Sahte Eklentiler ve Ele Geçirilmiş GitHub Hesapları

Güvenlik uzmanlarının analizlerine göre saldırganlar, geliştiricilerin güvenini kazanmak için son derece sinsi yöntemler kullandı. Glassworm zararlı yazılımı şu kanallar üzerinden yayıldı:

  • Sahte VS Code eklentileri
  • Kötü amaçlı npm ve Python paketleri
  • Ele geçirilmiş GitHub hesapları

Kullanıcıları aldatmak adına bazı eklentiler, zaman takip aracı ya da kod biçimlendirici gibi masum işlevlere sahipmiş gibi gösterildi. İşin daha da vahim boyutu, saldırganların önceden ele geçirdikleri geliştirici kimlik bilgileri vasıtasıyla 300'den fazla GitHub deposuna zararlı kod yerleştirmiş olmasıydı. Bu durum, ilgili depolardaki kodları projelerine entegre eden çok sayıda kuruluşu da doğrudan hedef haline getirdi.

Solana'dan Google Calendar'a Dört Kanallı C2 Mimarisi

Çökertilen botnetin teknik altyapısı, siber güvenlik dünyasını şaşırtacak derecede dayanıklı bir komuta-kontrol mimarisine sahipti. Kolay kolay çökertilemeyecek şekilde tasarlanan altyapı şu dört kanal üzerinden iletişim kuruyordu:

  • Solana blokzinciri
  • BitTorrent DHT ağı
  • Google Calendar etkinlik başlıkları
  • Ticari VPS sunucuları

Bu çok kanallı yapı sayesinde saldırganlar, tek bir iletişim kanalı engellense dahi operasyonlarını diğer kanallar üzerinden kesintisiz sürdürebiliyordu. Bu direnci kırmak amacıyla harekete geçen CrowdStrike, Google ve Shadowserver Foundation, Glassworm'un dört farklı komuta-kontrol kanalını aynı anda hedef alarak eş zamanlı bir darbe vurdu ve enfekte sistemlerin yeni talimatlar almasını tamamen engelledi.

Windows, macOS ve Linux'u Hedef Alan GlasswormRAT

Çapraz platform desteği sunan Glassworm, Windows, macOS ve Linux işletim sistemlerinin tamamında çalışabilecek şekilde geliştirilmişti. Yalnızca hassas verileri çalmakla yetinmeyen zararlı yazılım, GlasswormRAT adı verilen Node.js tabanlı uzaktan erişim aracı sayesinde saldırganlara kurban sistemler üzerinde tam kontrol imkânı sunuyordu. CrowdStrike, siber saldırıdan etkilenmiş olabilecek kurumların ağ kayıtlarını acilen kontrol etmelerini önererek önemli bir ağ göstergesi paylaştı. Glassworm bulaşan cihazların artık CrowdStrike tarafından kontrol edilen ve hiçbir zarar barındırmayan 164.92.88[.]210 IP adresine yönlendirildiği açıklandı. Açık kaynak ekosistemindeki tehlikeleri tekrar gözler önüne seren bu operasyon büyük bir başarı olsa da, uzmanlar bu tarz sofistike saldırıların gelecekte de form değiştirerek devam edeceği konusunda uyarıyor.

Kaynak: Google

Sıkça Sorulan Sorular

Glassworm botnetine bulaşmış olabileceğimi nasıl anlayabilirim?

CrowdStrike, etkilenmiş kurumların ağ kayıtlarını kontrol etmesini öneriyor. Sisteminizdeki 164.92.88[.]210 IP adresine giden bağlantılar Glassworm enfeksiyonunun göstergesi olabilir; bu adres artık CrowdStrike kontrolüne alınmış ve zararsız hale getirilmiştir.

Glassworm zararlı yazılımı hangi yollarla yayıldı?

Glassworm; sahte VS Code eklentileri, kötü amaçlı npm ve Python paketleri ile ele geçirilmiş GitHub hesapları aracılığıyla yayıldı. Bazı eklentiler zaman takip aracı ya da kod biçimlendirici gibi gösterilerek geliştiriciler kandırıldı; saldırganlar bu yöntemle 300'den fazla GitHub deposuna zararlı kod yerleştirdi.

Glassworm'un komuta-kontrol altyapısı neden bu kadar dayanıklıydı?

Botnet, Solana blokzinciri, BitTorrent DHT ağı, Google Calendar etkinlik başlıkları ve ticari VPS sunucuları olmak üzere dört farklı kanal kullanıyordu. Tek bir kanal engellense bile diğerleri üzerinden operasyonlar sürdürülebildiğinden çökertmek için Google, CrowdStrike ve Shadowserver'ın dört kanalı aynı anda hedef alması gerekti.

GlasswormRAT nedir ve hangi sistemleri etkiledi?

GlasswormRAT, Glassworm altyapısının bir parçası olan Node.js tabanlı uzaktan erişim aracıdır. Windows, macOS ve Linux işletim sistemlerinin tamamında çalışabilen bu araç, saldırganlara enfekte sistemler üzerinde tam kontrol imkânı sunuyordu; yalnızca veri çalmakla sınırlı kalmıyordu.

HM
Haber MerkeziEditoryal Ekip
✅ Doğrulanmış KaynakGündemYerel HaberlerSporHaber Doğrulama
Yorumlar
Bu haber hakkında ne düşünüyorsun? Görüşünü paylaş.
🗨️ 0
↓ Okumaya devam et