Önde gelen bir ABD siber güvenlik sağlayıcısının kaynak koduna erişmeyi başaran tehdit aktörleri tarafından ihlal edildiği ortaya çıktı.
Özel bir şirket olan Trellix, olayı 4 Mayıs'ta açıkladı ve kolluk kuvvetlerine bilgi verdiğini ve tam olarak ne olduğunu çözmek için "önde gelen adli tıp uzmanlarıyla" çalıştığını iddia etti.
"Trellix yakın zamanda kaynak kodu depomuzun bir kısmına yetkisiz erişim tespit etti" dedi.
Sistem Güvenliği
"Bugüne kadar yaptığımız araştırmada, kaynak kodu yayınlama veya dağıtım sürecimizin etkilendiğine veya kaynak kodumuzun kötüye kullanıldığına dair hiçbir kanıt bulamadık."
Tedarik zinciri olayları hakkında daha fazlasını okuyun: Tedarik Zinciri Saldırılarının Etkilediği Kuruluşların Devasa "Gölge Katmanı"
Teknik Analiz
Trellix, McAfee Enterprise ve FireEye'nin özel sermaye şirketi Symphony Technology Group tarafından satın alındıktan sonra 2021 yılında birleşmesiyle oluşan şirkettir. NDR ve EDR'nin yanı sıra veri güvenliği ve e-posta güvenliği de dahil olmak üzere tehdit istihbaratı ve yapay zeka destekli algılama ve yanıt hizmetleri satıyor.
Yazılım güvenliği firması Semgrep'in kurucusu Isaac Evans, kaynak koduna erişimin tehdit aktörlerine büyük bir avantaj sağlayabileceği konusunda uyardı.
Sonuç ve Değerlendirme
"Güvenlik şirketleri için saldırganlara kontrollerin nerede yaşadığı, tespitlerin nasıl yazıldığı ve güvenilir güncelleme veya derleme yollarının nerede açığa çıkabileceği konusunda bir yol haritası sağlayabilir" dedi.
"Güvenlik sağlayıcılarını ve yazılım tedarik zincirlerini hedef alan bu son model, savunucuların tüm dikkatinin üzerinde olmalıdır. Saldırganlar yalnızca müşteri verilerini aramakla kalmıyor, aynı zamanda avantaj da arıyorlar. Savunma araçlarını içeriden anlayabilirlerse, yazılım ekosisteminin kendisini bir dağıtım mekanizmasına dönüştürebilirler."
Nasıl Önlem Alınmalı?
Tedarik Zinciri Saldırılarına Bağlantılar
İhlalden kimin sorumlu olduğu belli değil ve Trellix şimdilik ağzını sıkı tutuyor ve yalnızca soruşturma tamamlandığında ayrıntıları paylaşacağını söylüyor.
Detaylar ve Etkileri
Ancak yakın zamanda güvenlik tarayıcısı Trivy'yi hedef alan ve sayısız kurumsal sırrı açığa çıkaran bir yazılım tedarik zinciri saldırısının ardından aralarında Aqua Security ve Checkmarx'ın da bulunduğu birçok tedarikçinin güvenliği ihlal edildi.
Google Cloud'un Wiz Security'si Mart ayının sonunda, Trivy kampanyasının arkasındaki TeamPCP grubunun, çalınan bu kimlik bilgilerinden para kazanmak için kötü şöhretli gasp grubu Lapsus$ ile işbirliği yapıyor olabileceğini bildirdi.
Uzmanların Görüşleri
TeamPCP'nin Trivy kampanyası kurbanlarını hedef almak için Vect fidye yazılımı grubuyla birlikte çalıştığına dair işaretler de var.
Evans, "Çalınan belirteçler, CI/CD boşlukları ve aşırı güvenilen derleme iş akışları, saldırganların bir projeden diğerine geçmesine, sırları toplamasına ve yol boyunca kalıcılık ekmesine olanak sağlayabilir" dedi. "Kuruluşlar kod depolarını yalnızca kodun yaşadığı ve depolandığı bir yer olarak ele almamalı; saldırganlar sürekli olarak bunları kullanmanın ve manipüle etmenin yeni yollarını buldukça korunması gereken bir şey olarak ele almalıdır."