Kaspersky Lab Global Araştırma ve Analiz Ekibi (GReAT), bugüne kadar bilinen en önemli tedarik zinciri saldırılarından biri olan ShadowPad operasyonunu ortaya çıkarma ve analiz etmede gösterdiği çaba nedeniyle Péter Szőr Teknik Güvenlik Araştırması Ödülüne layık görüldü. Ödül, Ekim ayının başında kanada’nın quebec eyaletinin Montreal şehrinde düzenlenen Virus Bulletin 2018 etkinliğinde takdim edildi.
Kaspersky Lab araştırmacıları 2017’nin Haziran ayında, tüm
dünyada yüzlerce kurumda kullanılan bir sunucu yönetim yazılımındaki gizli bir
arka kapı olan ShadowPad’i keşfetmişti. Zararlı kod; finansal hizmetler,
eğitim, telekomünikasyon, üretim, enerji ve taşımacılık gibi sektörlerde
kullanılan bu yazılımın en son güncellemesine eklenmişti.
Kaspersky Lab great araştırmacıları, yazılım güncellemesi
yapıldıktan sonra zararlı modülün belirli alan adlarına (komut ve kontrol
sunucusuna) her sekiz saatte bir DNS sorguları gönderdiğini tespit etti.
Talepte kurbanın sistemine dair temel bilgiler yer alıyordu. Saldırganlar giriş
yaptıkları sistemin ‘ilgi çekici’ olduğunu düşünürse komut sunucusundan bu
talebe yanıt verip, hedef alınan bilgisayarda fark edilmeden kurulan kapsamlı
bir arka kapı platformunu etkinleştiriyordu. Bunun ardından, arka kapı
platformu saldırganların komutuyla başka zararlı kodlar indirip
çalıştırabiliyordu. Bu saldırının arkasındaki tehdit grubunun Çince konuşan
kişilerden oluştuğu düşünülüyor.
“’NotPetya’ ve ‘CCleaner’ gibi geniş yankı uyandıran
hikayeler, tedarik zinciri saldırılarının çok büyük bir sorun haline geldiğini
gösterdi. ShadowPad ise bu tür saldırıların fark edilmeden uzun süre etkin
olabileceğini vurguladı.” diyen Virus Bulletin editörü Martijn Grooten,
sözlerini şöyle sürdürdü: “Kaspersky Lab’ın analizleri bu saldırı hakkında
genel bir izlenim edinmemizin yanı sıra teknik detaylarını öğrenmemizi de
sağladı. Bunların hem bu tehdit hem de genel olarak tedarik zinciri saldırıları
için daha fazla farkındalık oluşturacağını umuyoruz.”
Péter Szőr ödülü, yılın yayınlanan en iyi teknik güvenlik
araştırmasına veriliyor. Virus Bulletin, bu ödülü Kasım 2013’te hayatını
kaybeden araştırmacı ve Virus Bulletin danışma kurulu üyesi Szőr’un onuruna
düzenliyor. Güvenlik sektörünün genelinden belirlenen adaylar arasında son kısa
listeye kalanlar Virus Bulletin danışma kurulu tarafından oylanıyor. Ödüller
her yıl düzenlenen Virus Bulletin konferansında takdim ediliyor.
“ShadowPad, başarılı bir tedarik zinciri saldırısının ne
kadar tehlikeli ve geniş çaplı olabileceğinin başlıca örneklerinden biri.
ShadowPad hızla tespit edilip engellenmemiş olsaydı tüm dünyada binlerce kurumu
etkileyebilirdi.” diyen GReAT Direktörü Costin Raiu, ardından şunları
söyledi: “Virus Bulletin Péter Szőr ödülünü almak büyük bir onur. Yalnızca ödül
için değil dünyayı siber suçlara karşı korumaya devam etme fırsatına sahip
olduğumuz için minnettarız.”
