Bankacılık sektörüne yönelik bilinen ilk açık kaynaklı yazılım saldırıları, uzun vadeli trendi başlatabilir. Bankacılıkta buna önlem alınması gerekiyor.
Uygulama güvenliği sağlayıcısı Checkmarx, bankacılık sektörünü hedef alan bilinen ilk açık kaynaklı yazılım (OSS) saldırılarına ilişkin bulgularını detaylandırdı. 2023’ün ilk yarısında firma, tedarik zinciri araştırma ekibinin, kurban bankanın web varlıklarının belirli bileşenlerine kötü amaçlı işlevler eklemek gibi meşru hizmetlerden yararlanmak için tasarlanmış gelişmiş teknikleri sergileyen birkaç OSS saldırısı tespit ettiğini söyledi. Ayrıca, güvenilirlik numarası yapmak için sahte LinkedIn profilleri oluşturmak ve her hedef için özelleştirilmiş komuta ve kontrol (C2) merkezleri kullanmak gibi aldatma taktikleri uyguladı.
Kötü amaçlı açık kaynaklı paketler o zamandan beri Checkmarx tarafından bildirildi ve kaldırıldı. Ancak şirket, bankacılık sektörünün tedarik zincirine yönelik saldırıların “sürekli bir eğiliminin” devam edeceğini tahmin ediyor.
Açık kaynaklı yazılım saldırıları tehlikeye neden oluyor
5 Nisan ve 7 Nisan tarihlerinde gerçekleşen Checkmarx tarafından detaylandırılan ilk saldırıda, bir tehdit aktörü, kurulum sonrasında amacını gerçekleştiren bir ön kurulum komut dosyası içeren paketleri yüklemek için NPM platformundan yararlandı. Saldırgan, daha güvenilir görünmek için kendini kurban bankanın çalışanı gibi gösteren birinin sahte bir LinkedIn profil sayfası oluşturdu. Araştırmacılar başlangıçta bunun banka tarafından yaptırılan meşru sızma testi hizmetleriyle bağlantılı olabileceğini düşündü. Ancak banka durumun böyle olmadığını ve LinkedIn faaliyetlerinden habersiz olduğunu ortaya çıkardı. Saldırının kendisi, kurbanın işletim sistemini (Windows, Linux veya macOS) tanımlamak için bir komut dosyasının çalıştırılmasıyla başlayan çok aşamalı bir yaklaşıma göre modellendi. NPM paketindeki ilgili şifrelenmiş dosyaların kodunu çözer ve ardından ikinci aşama bir yük indirdi.
Checkmarx, Linux’a özgü şifrelenmiş dosyanın çevrimiçi virüs tarayıcısı VirusTotal tarafından kötü amaçlı olarak işaretlenmediğini söyledi. Saldırganın “Linux sistemlerinde gizli bir varlık sürdürmesine” ve başarı şansını artırmasına izin verdiğini belirtti. Checkmarx: “Titiz tarama ve izlememiz, bu öğenin bir bankanın mobil oturum açma sayfasına kadar izini sürdü, bu saldırının ana hedefiydi” dedi. Güvenlik firmasındaki araştırmacılar, bir süredir OSS saldırılarını aktif olarak izliyor. Bu yılın başlarında firma, sektörü PyPI deposuna yönelik saldırılara karşı uyardı.