Dell Technologies, bir kuruluşun güvenlik mimarisini otomatize eden ve sistemlere yönelik bir saldırı olduğunda müdahaleleri düzenleyen bir siber güvenlik çerçevesi olan Sıfır Güven için önemli bir adım attığını duyurdu. Şirket, Sıfır Güven’in özel ve kamu sektörü kuruluşları tarafından benimsenmesini kolaylaştırmaya yardımcı olmak amacıyla bir Sıfır Güven ekosistemi oluşturuyor. Bu kapsamda altyapı platformları, uygulamalar, bulutlar ve hizmetler genelinde birleşik bir çözüm oluşturmak için 30’u aşkın lider teknoloji ve güvenlik şirketi bir araya geliyor.

Bu ekosistem sayesinde Dell ve iş ortakları Sıfır Güven’in benimsenmesine giden yolu açıyor. Maryland İnovasyon Güvenliği Enstitüsü (MISI – Maryland Innovation Security Institute) ile birlikte Sıfır Güven Mükemmeliyet Merkezi’nde sınıfının en iyisi teknolojiler sağlanıyor ve müşteriler için güvenliği entegre etmeye ve düzenlemeye odaklanan gelişmiş bir özel bulut çözümü oluşturuluyor. Bu yaklaşımın, kuruluşların teknolojiyi uygulamalarına ve mimariyi oluşturmak ve yapılandırmak için gereken uzmanlıktan yararlanmalarına yardımcı olması öngörülüyor.

Sıfır Güven ekosistemini oluşturmaya öncülük eden Dell, Corsha, Gigamon, Intel, Juniper Networks, MISI, Nomad GCS, NVIDIA, Palo Alto Networks, VMware gibi iş ortaklarının teknoloji ve yeteneklerini bir araya getiriyor. Şirket, ABD Savunma Bakanlığı onaylı mimariyi önde gelen sağlayıcıların teknolojisiyle geliştirerek, kuruluşların, ABD hükûmetinin Sıfır Güven kararnamesine uymalarını sağlarken siber suçluların üstesinden gelmelerine de yardımcı oluyor.

Bu ekosistemle Dell, Savunma Bakanlığı Sıfır Güven gereksinimlerinin yerine getirilmesine yardımcı olacak. Söz konusu gereksinimler arasında öne çıkanlarsa şöyle:

Sürekli kimlik doğrulama: Çok faktörlü kimlik doğrulama kullanarak kullanıcı erişimini sürekli olarak doğruluyor.

Bağlantı kurma, cihaz algılama ve uygunluk: Bir ağa bağlanmaya veya bir kaynağa erişmeye çalışan herhangi bir cihaz algılanıyor ve uygunluk durumu açısından değerlendirilyor.

Sürekli izleme ve kesintisiz yetkilendirme: Otomatik araçlar ve süreçler uygulamaları sürekli olarak izliyor ve güvenlik kontrolünün etkinliğini belirlemek için yetkilerini değerlendiriyor.

Veri şifreleme ve hak yönetimi: Veri hakları yönetimi araçları, yetkisiz veri erişimi riskini azaltmak için bekleyen ve aktarım hâlindeki verileri şifreliyor.

Yazılım tanımlı ağ oluşturma: Paketlerin merkezî bir sunucuda kontrol edilmesini sağıyor, ağa ek görünürlük sunarken ve entegrasyon gereksinimlerini etkinleştiriyor.

Politika karar noktası ve politika düzenlemesi: Etkili otomasyon için güvenlik yığınında düzenleme yapmak üzere tüm kural tabanlı politikaları topluyor ve belgeliyor.

Tehdit istihbaratı: Tehdit istihbaratı verilerinin diğer güvenlik bilgileri ve olay yönetimi (SIEM) verileriyle entegrasyonu, tehdit aktivitelerinin konsolide olarak görüntülenmesini sağlıyor.

Temelde bir süreç olan Sıfır Güven’le hedeflenenler, ABD hükûmeti tarafından onaylı ve dünya çapında kabul edilen, iyi tanımlanmış bir dizi entegre ve otomatik güvenlik faaliyeti olarak tanımlanıyor. İş ortağı ekosistemi, Dell’in dünya çapındaki kuruluşlar için uçtan uca onaylanmış bir Sıfır Güven çözümünü ölçeklendirme projesi olarak nitelendiriliyor. Dell Technologies’in Sıfır Güven stratejisi hakkında daha detaylı bilgiyi 22-25 Mayıs 2023 tarihleri arasında Las Vegas’ta düzenlenecek Dell Technologies World 2023’te paylaşacak.

ESET araştırmacıları, Kuzey Kore bağlantılı tehdit aktörü Lazarus’un DreamJob adı verilen kampanyasını keşfetti. ESET Research, Lazarus’un Linux kullanıcılarına yönelik sahte cazip iş teklifleriyle hedef aldığı kişilerin bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı kampanya olan Dreamjob kampanyasını, 3CX telefon sistemi tedarik zinciri saldırısıyla ilişkilendirdi.

ESET Research, yem olarak sahte bir HSBC iş teklifi sunan ZIP dosyasından son yüke kadar tüm zinciri yeniden oluşturmayı başardı: OpenDrive bulut depolama hesabı aracılığıyla dağıtılan SimplexTea Linux arka kapısı. Kuzey Kore bağlantılı bu büyük tehdit aktörü, operasyonun bir parçası olarak Linux kötü amaçlı yazılımını ilk kez kullanıyor. Bu yeni keşfedilen Linux kötü amaçlı yazılımıyla benzerlikler, 3CX tedarik zinciri saldırısının arkasında kötü bir üne sahip Kuzey Kore bağlantılı grubun olduğu teorisini destekliyor.

Linux kullanıcılarını hedef alan yeni bir Lazarus Operasyonu olan DreamJob kampanyasını keşfetti

Lazarus etkinliklerini araştıran ESET araştırmacısı Peter Kálnai bu konuda şunları söyledi: “Bu keşif son 3CX tedarik zinciri saldırısının aslında Lazarus tarafından gerçekleştirildiğine dair inandırıcı kanıtlar sunuyor. Baştan beri bu durumdan şüpheleniliyor ve o zamandan beri birçok güvenlik araştırmacısı tarafından buna dikkat çekiliyordu.” 

3CX, birçok kuruluşa telefon sistemi hizmetleri sağlayan uluslararası bir VoIP yazılım geliştiricisi ve distribütörü. Web sitesine göre 3CX’in havacılık, sağlık ve konaklama dahil olmak üzere çeşitli sektörlerde 600.000’den fazla müşterisi ve 12 milyon kullanıcısı var. Sistemlerini bir web tarayıcısı, mobil uygulama veya bir masaüstü uygulaması aracılığıyla kullanmak için istemci yazılımı sunuyor. Mart 2023’ün sonlarında, hem Windows hem de macOS için masaüstü uygulamasının yüklendiği tüm makinelerde, bir grup saldırganın rastgele kod indirip çalıştırmasını sağlayan kötü amaçlı kod olduğu keşfedildi. Güvenliği ihlal edilen 3CX yazılımı, bazı 3CX müşterilerine ilave olarak kötü amaçlı yazılım dağıtmak için harici tehdit aktörleri tarafından gerçekleştirilen bir tedarik zinciri saldırısında kullanıldı.

Kötü amaçlı bu kişiler bu saldırıları Aralık 2022 gibi çok önceki bir tarihte planlamışlardı. Bu, geçen yılın sonlarında 3CX ağında bir yer edindiklerini gösteriyor. Saldırının halka açıklanmasından birkaç gün önce, VirusTotal’a gizemli bir Linux indirici gönderildi. Bu indirici, Linux için yeni bir Lazarus arka kapısı olan SimplexTea’yi indirerek 3CX saldırısındaki yüklerle aynı Komuta ve Kontrol sunucusuna bağlanıyor.

Kálnai durumu şöyle açıklıyor: “Çeşitli BT altyapılarına dağıtılan bu güvenliği ihlal edilmiş yazılım, yıkıcı etkileri olabilecek her türlü yükün indirilmesine ve yürütülmesine olanak tanır. Bir tedarik zinciri saldırısının gizliliği, bu kötü amaçlı yazılım dağıtma yöntemini bir saldırgan için oldukça çekici hale getiriyor ve Lazarus bu tekniği zaten daha önce kullanmıştı. 

DreamJob Operasyonu, Lazarus’un sahte cazip iş teklifleriyle hedef aldığı kişilerin bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı bir dizi kampanyanın adı. 20 Mart’ta Gürcistan’daki bir kullanıcı VirusTotal’a HSBC job offer.pdf.zip adlı bir ZIP arşivi gönderdi. Lazarus’un diğer DreamJob kampanyaları göz önüne alındığında, bu yük muhtemelen hedefe yönelik kimlik avı veya LinkedIn’deki doğrudan mesajlar aracılığıyla dağıtıldı.