Yazılımcıları Hedef Alan Küresel Siber Tehdit Glassworm Çökertildi

Açık kaynak yazılım dünyası, son dönemin en organize ve tehlikeli siber tehditlerinden birine karşı gerçekleştirilen büyük bir operasyonla sarsıldı. Google🏷️, CrowdStrike ve Shadowserver🏷️ Foundation güçlerini birleştirerek, doğrudan yazılım geliştiricileri hedef alan Glassworm🏷️ botnet🏷️ altyapısını tamamen devre dışı bıraktı. Gerçekleştirilen bu kritik müdahale, yalnızca birkaç bilgisayara sızan sıradan bir zararlı yazılım vakasının çok ötesinde, küresel çapta bir tedarik zinciri felaketini önlemeyi amaçlıyor.

Tek Bir Geliştirici, Binlerce Şirketi Tehlikeye Atıyor

Glassworm botnetinin bu denli tehlikeli bir tehdit haline gelmesinin arkasında, doğrudan geliştiricilerin günlük operasyonlarında güvendiği araçları hedef alması yatıyor. Bir yazılımcının bilgisayarının ele geçirilmesi; o kişinin erişim yetkisine sahip olduğu kaynak kod depolarını, paket sistemlerini ve kritik bulut altyapılarını doğrudan tehlikeye atıyor. Bu durum, siber saldırının etkisini tek bir bireyle sınırlı tutmayıp, o geliştiricinin ürettiği yazılımları kullanan binlerce şirkete ve nihai kullanıcıya kolayca yayabiliyor.

Sahte Eklentiler ve Ele Geçirilmiş GitHub🏷️ Hesapları

Güvenlik uzmanlarının analizlerine göre saldırganlar, geliştiricilerin güvenini kazanmak için son derece sinsi yöntemler kullandı. Glassworm zararlı yazılımı şu kanallar üzerinden yayıldı:

• Sahte VS Code eklentileri
• Kötü amaçlı npm ve Python paketleri
• Ele geçirilmiş GitHub hesapları

Kullanıcıları aldatmak adına bazı eklentiler, zaman takip aracı ya da kod biçimlendirici gibi masum işlevlere sahipmiş gibi gösterildi. İşin daha da vahim boyutu, saldırganların önceden ele geçirdikleri geliştirici kimlik bilgileri vasıtasıyla 300'den fazla GitHub deposuna zararlı kod yerleştirmiş olmasıydı. Bu durum, ilgili depolardaki kodları projelerine entegre eden çok sayıda kuruluşu da doğrudan hedef haline getirdi.

Solana🏷️'dan Google Calendar'a Dört Kanallı C2 Mimarisi

Çökertilen botnetin teknik altyapısı, siber güvenlik dünyasını şaşırtacak derecede dayanıklı bir komuta-kontrol mimarisine sahipti. Kolay kolay çökertilemeyecek şekilde tasarlanan altyapı şu dört kanal üzerinden iletişim kuruyordu:

• Solana blokzinciri
• BitTorrent DHT ağı
• Google Calendar etkinlik başlıkları
• Ticari VPS sunucuları

Bu çok kanallı yapı sayesinde saldırganlar, tek bir iletişim kanalı engellense dahi operasyonlarını diğer kanallar üzerinden kesintisiz sürdürebiliyordu. Bu direnci kırmak amacıyla harekete geçen CrowdStrike, Google ve Shadowserver Foundation, Glassworm'un dört farklı komuta-kontrol kanalını aynı anda hedef alarak eş zamanlı bir darbe vurdu ve enfekte sistemlerin yeni talimatlar almasını tamamen engelledi.

Windows, macOS ve Linux'u Hedef Alan GlasswormRAT

Çapraz platform desteği sunan Glassworm, Windows, macOS ve Linux işletim sistemlerinin tamamında çalışabilecek şekilde geliştirilmişti. Yalnızca hassas verileri çalmakla yetinmeyen zararlı yazılım, GlasswormRAT adı verilen Node.js🏷️ tabanlı uzaktan erişim aracı sayesinde saldırganlara kurban sistemler üzerinde tam kontrol imkânı sunuyordu. CrowdStrike, siber saldırıdan etkilenmiş olabilecek kurumların ağ kayıtlarını acilen kontrol etmelerini önererek önemli bir ağ göstergesi paylaştı. Glassworm bulaşan cihazların artık CrowdStrike tarafından kontrol edilen ve hiçbir zarar barındırmayan 164.92.88[.]210 IP adresine yönlendirildiği açıklandı. Açık kaynak ekosistemindeki tehlikeleri tekrar gözler önüne seren bu operasyon🏷️ büyük bir başarı olsa da, uzmanlar bu tarz sofistike saldırıların gelecekte de form değiştirerek devam edeceği konusunda uyarıyor.

Kaynak: Google