Güvenlik Firmaları Hedefli Tedarik Zinciri Saldırılarıyla Karşı Karşıya

Siber güvenlik sektörü, son altı hafta içinde sektördeki en güvenilir güvenlik firmalarından bazılarını hedef alan tedarik zinciri saldırılarıyla benzeri görülmemiş bir dizi koordineli saldırıyla karşı karşıya kaldı. Kod tarama ve güvenlik açığı tespit çözümleriyle tanınan önde gelen güvenlik şirketi Checkmarx, art arda çok sayıda ihlal olayıyla karşılaşarak bu rahatsız edici eğilimin odak noktası haline geldi. Bu endişe verici saldırı modeli, tehdit aktörlerinin, müşterilerini geniş ölçekte tehlikeye atmanın bir yolu olarak güvenlik sağlayıcılarını giderek daha fazla hedef aldığını ve dünya çapındaki kurumsal ağlarda kademeli bir etki yarattığını gösteriyor.

Kriz, 19 Mart'ta saldırganların, binlerce geliştirme ekibinin ve güvenlik uzmanının güvendiği, yaygın olarak kullanılan açık kaynaklı bir güvenlik açığı tarayıcısı olan Trivy'yi başarıyla ele geçirmesiyle başladı. Saldırganlar Trivy GitHub deposunu titizlikle ihlal ederek hesabın kimlik bilgilerine ve izinlerine yetkisiz erişim elde etti. Tehdit aktörleri, içeri girdikten sonra yasal Trivy sürümlerine kötü amaçlı kod enjekte etmek için bu erişimden yararlandı ve güvenilir bir güvenlik aracını etkili bir şekilde kötü amaçlı yazılım dağıtım mekanizmasına dönüştürdü. Bu güvenlik ihlali özellikle sinsiydi çünkü geliştiricilerin güvenlik araçlarına duyduğu gizli güveni istismar etti; bu da Trivy kullanan kuruluşların virüslü sürümleri farkında olmadan indirip kendi ortamlarında çalıştırdıkları anlamına geliyor.

Güvenliği aşılmış Trivy sürümleri aracılığıyla dağıtılan kötü amaçlı yazılım, virüs bulaşmış sistemlerden hassas kimlik bilgilerini toplamak için özel olarak tasarlandı. Kötü amaçlı yük, saldırganların kaynak kodu depolarına ve dahili sistemlere erişmesine olanak tanıyabilecek depo belirteçleri, SSH anahtarları, API kimlik bilgileri ve diğer kimlik doğrulama materyalleri için ele geçirilen makineleri sistematik olarak taradı. Bu ilk tedarik zinciri saldırısının kurbanı olan kuruluşlardan biri, ironik bir şekilde Trivy'yi kendi güvenlik altyapısının bir parçası olarak kullanan Checkmarx'ın kendisiydi. Bu durum, bir güvenlik satıcısının sistemleri bu tür tehditlerden korumak için tasarlanmış araçlar aracılığıyla virüse yakalandığı özellikle rahatsız edici bir senaryo yarattı.