Codecov siber saldırı nedeniyle yüzlerce ağının hacklendiğini bildirildi! Bu anda SolarWinds hackine benzetilen son Codecov sistem ihlali hakkında daha fazla ayrıntı ortaya çıktı. Reuters’in yeni raporlarında, araştırmacılar olayda yüzlerce müşteri ağının ihlal edildiğini belirterek, bu sistem ihlalinin kapsamını Codecov’un sistemlerinin ötesine genişletti.
Bu saldırıda, tehdit aktörleri Codecov’un kimlik bilgilerini, aktörlerin daha sonra şirketin müşterileri tarafından kullanılan Codecov’un Bash Yükleyici komut dosyasını değiştirmek için kullandıkları kusurlu Docker imajından elde etmişlerdi.
Saldırganlar, Codecov’un IP adresini Bash Uploader komut dosyasında kendi adresleriyle değiştiriyor. Codecov müşterilerinin kimlik bilgilerini, tokenları, API anahtarlarını ve müşterilerin sürekli entegrasyon (CI) ortamlarında ortam değişkenleri olarak depolanan her şeyi sessizce toplamanın bir yolunu açtılar.
Codecov, kod kapsamı raporları ve istatistikleri oluşturmak için GitHub projelerinizle entegre edilebilen çevrimiçi bir yazılım test platformudur. Bu nedenle yazılım geliştiren 29.000’den fazla kuruluş tarafından tercih edilmektedir.
Codecov siber saldırı nedeniyle yüzlerce ağının hacklendiğini bildirildi!
Codecov olayında yüzlerce müşteri ağı ihlal edildi
Codecov’un ilk araştırması, 31 Ocak 2021’den itibaren, tehdit aktörlerinin CI ortamlarında depolanan Codecov kullanıcılarının bilgilerini potansiyel olarak dışarı çıkarmalarına olanak tanıyan Bash Uploader komut dosyasında değişikliklerin gerçekleştiğini ortaya çıkardı.
Ancak bir müşteri, Codecov’un etki alanında barındırılan Bash Yükleyici komut dosyasının karması (shashum) ile şirketin GitHub’ında listelenen (doğru) karma arasında bir tutarsızlık fark etti. Şirketin bu kötü amaçlı faaliyetin farkına varması 1 Nisan’a kadar gerçekleşmedi.
Yeterince kısa sürede, ihlal ABD hükümetinin Rusya Dış İstihbarat Servisi’ne (SVR) atfettiği son SolarWinds saldırılarıyla karşılaştırıldı. Olay ABD federal araştırmacılarının dikkatini çekti.
Codecov’un GoDaddy, Atlassian, The Washington Post, Procter & Gamble (P & G) gibi önde gelen isimler de dahil olmak üzere 29.000’den fazla müşterisi var. Bu da bunu kayda değer bir tedarik zinciri olayı haline getiriyor.
Federal araştırmacılara göre, Codecov saldırganları toplanan müşteri kimlik bilgilerini yüzlerce istemci ağına erişmek için kullanmak üzere otomasyon uyguladı. Böylece bu sistem ihlalinin kapsamını Codecov’un sistemlerinin ötesine genişletti.
Anonim bir federal araştırmacı Reuters’a verdiği demeçte, “Bilgisayar korsanları, diğer yazılım geliştirme programları üreticilerinin yanı sıra IBM de dahil olmak üzere birçok müşteriye teknoloji hizmetleri sağlayan şirketlere girmek için Codecov’u kullanmak için fazladan çaba sarf ettiler.” dedi.
Araştırmacıya göre, bilgisayar korsanları Bash Uploader komut dosyası aracılığıyla toplanan müşteri kimlik bilgilerini kötüye kullanabilir. Potansiyel olarak diğer binlerce kısıtlanmış sistem için kimlik bilgileri elde edebilir.
