Resmi Sertifika Kurumuna ‘Hayalet‘ Saldırısı

ESET araştırmacıları, bir devlet sertifika kurumunu hedef alan sıradışı bir siber saldırıyı analiz etti. Söz konusu saldırıda, Vietnam Hükümeti Sertifika Kurumu’nun (VGCA) internet sitesi hedef alındı. Kamu işlerine yönelik dijital imza geliştirme yetkisine sahip kurumda, “PhantomNET“ (Hayalet) adıyla tanımlanan zararlı yazılım tespit edildi.

Güneydoğu Asya ülkesi Vietnam’da yaşanan gelişmeler, bir tedarik zinciri saldırısı (supply chain attack) olarak tanımlanıyor. Siber güvenlik kuruluşu ESET’in tespit ve analiz ettiği ihlalde, Vietnam Hükümeti Sertifika Kurumu’nun (Vietnam Government Certification Authority – VGCA) internet sitesi (ca.gov.vn) hedef alındı. Siber saldırganlar, bu internet sitesinde yer alan indirilebilir iki yazılım yükleyiciyi değiştirdi ve yasal uygulamanın kullanıcılarının güvenliğini ihlal etmek amacıyla bir arka kapı ekledi.

Kurum ne yapıyor?

Vietnam’da dijital imzaya sahip belgeler, ıslak imzalı belgelerle aynı derecede geçerli olduğundan dijital imzalar oldukça yaygın. Belgeleri imzalamak için kullanılan kriptografik sertifikalar, Hükümet Şifre Komitesi’nin (Government Cipher Committee) bir parçası olan VGCA’nın da aralarında bulunduğu yetkili sertifika sağlayıcılarından biri tarafından onaylanmış olmalı. Bu komite, ülkenin Bilgi ve İletişim Bakanlığı’na bağlı.

VGCA, sertifikaları yayımlamanın yanı sıra dijital imza kiti geliştiriyor ve dağıtıyor. Bu imza kiti, Vietnam Hükümeti ve genellikle özel şirketler tarafından dijital belgeleri imzalamak için kullanılıyor. Ziyaretçilerin, bir devlet kurumunda dijital imza yetkisine sahip yüksek mevkide kişilerin olması olasılığı yüksek olduğundan, bir onay kurumunun internet sitesinin ihlal edilmesi APT (Gelişmiş kalıcı tehdit) grupları için iyi bir fırsat olarak değerlendirilebilir.

Arkasında ‘hayalet‘ var

ESET verilerine göre ihlalden PhantomNet yani ‘Hayalet‘ zararlı yazılımının değiştirilmiş bir versiyonu sorumlu. Bulgular, ‘Hayalet‘ arka kapısının kötü amaca hizmet eden özelliklerinin, genellikle eklentiler yoluyla çalıştığını gösteriyor. Hayalet, kurbanın proxy yapılandırmasına erişim sağlayarak, bu yapılandırmayı komuta ve kontrol (C&C) sunucusuna ulaşmak için kullanıyor. Bu durum, hedeflerin büyük ihtimalle kurumsal bir ağda çalıştığını gösteriyor.

Hayalet ne yapabiliyor?

Hayalet, siber suçlulara kurbanın sistemine ilişkin çeşitli bilgiler iletebiliyor. Bu bilgilerin arasında bilgisayar adı, ana makine adı, kullanıcı adı, işletim sistemi sürümü, kullanıcı ayrıcalıkları (yönetici veya değil) gibi bilgiler olabiliyor. Hayalet ayrıca; kur, kaldır, güncelle gibi işlevlerle eklenti yönetimi de sağlıyor.

Vietnam’daki saldırıda ihlal sonrası etkinlikle ilgili veri kurtarılamadığı için saldırganların amacının ne olduğuyla ilgili net bir bilgi oluşmadı. Ancak bu tür  tedarik zinciri saldırılarının siber casusluk grupları için yaygın bir ihlal vektörü olduğu biliniyor. Kötü amaçlı kod, genellikle birçok yasal kodun arasına gizlendiğinden tedarik zinciri saldırılarını bulmak kolay değil. Bu durum bu saldırıların keşfedilmesini önemli ölçüde zorlaştırıyor.

ESET, konuyla ilgili Vietnam Hükümeti Sertifika Kurumu’nu bilgilendirirken, kurum  saldırının farkında olduklarını ve truva atı yerleştirilmiş yazılımı indiren kullanıcıları bilgilendirdiklerini paylaştı.