Tedarik Zinciri Saldırısı, kuruluşa doğrudan saldırmak yerine bir kuruluşun tedarik zincirindeki daha az güvenli unsurları hedefleyen bir siber saldırı türüdür.
İçindekiler
Tedarik Zinciri Saldırısı
Son yıllarda, tedarik zinciri saldırıları tüm dünyada hasara neden olmuştur. Tedarik zinciri saldırısı, güvenliği ihlal edilmiş bir iş ortağını diğerine sızmak için bir adım taşı olarak kullanarak kuruluşlar arasındaki güvenilir ilişkileri hedefleyen bir siber saldırı türüdür. Amaç, verilerine, yazılımına veya ağ altyapısına erişimi olan bir üçüncü taraf satıcıyı, tedarikçiyi veya iş ortağını tehlikeye atarak bir kuruluşun ağına veya sistemlerine sızmaktır.
Bir tedarik zinciri saldırısının en önemli özelliği, saldırganların önce bir kuruluşun tedarik zincirinin üçüncü taraf satıcılar gibi daha az güvenli kısımlarını tehlikeye atarak dolaylı olarak sistemlere sızmasına izin vermesidir. Bu üçüncü taraflar günlük operasyonlara dahil edildiğinden, saldırganların önemli bir hasar gerçekleşene kadar fark edilmemelerini kolaylaştırır.
Tedarik Zinciri Saldırılarının Temel Özellikleri
Dolaylı Yaklaşım
Saldırganlar, hedef kuruluşa doğrudan saldırmak yerine, yazılım sağlayıcısı, donanım tedarikçisi veya hizmet yüklenicisi gibi güvenilir bir üçüncü tarafı tehlikeye atar. Bu üçüncü taraf daha sonra nihai hedefe kötü amaçlı yük sağlamak için bir kanal haline gelir.
Karmaşıklık ve Ölçek
Tedarik zinciri saldırıları, birden fazla aşamayı içeren ve çok sayıda kuruluşu etkileyen karmaşık olabilir. Saldırganlar, tedarik zincirinin farklı aşamalarında kötü amaçlı kod veya donanım ekleyebilir ve tespit edilmeyi zorlaştırabilir.
Güven İstismarı
Bu saldırılar, bir kuruluş ve tedarikçileri arasındaki güven ilişkilerini istismar eder. Üçüncü taraf satıcılar genellikle bir kuruluşun sistemlerine veya hassas verilerine ayrıcalıklı erişime sahip olduklarından, saldırganlar için çekici bir hedef haline gelirler.
Yaygın Etki
Bir tedarik zinciri saldırısının etkisi, yalnızca birincil hedefi değil, potansiyel olarak tehlikeye giren üçüncü tarafa güvenen binlerce kuruluşu da etkileyen önemli olabilir.
Tedarik Zinciri Saldırı Türleri
Tedarik zinciri saldırıları, çıkış noktalarına bağlı olarak üç türe ayrılabilir:
Yazılım tedarik zinciri saldırıları
Bir yazılım tedarik zinciri saldırısı, yazılımın kendisine veya güncelleme programlarına kötü amaçlı kod eklemek için yazılımın geliştirilmesi veya dağıtılması süreçlerinin ele geçirilmesini içerir. Bu, saldırganların görünüşte meşru yazılım yoluyla hedef kuruluşlara sızmasına olanak tanır.
Yaygın saldırı vektörleri arasında açık kaynak kodu, sistem yönetim araçları ve yaygın olarak kullanılan uygulamalar bulunur. Saldırganlar, bir şirketi doğrudan ihlal etmek yerine genellikle yazılımı geliştiren veya indirmelerini barındıran güvenilir bir üçüncü taraf yazılım sağlayıcı şirketin sistemlerini ihlal ederek başlar. Buradan, şüpheli olmayan kullanıcılara güvenliği ihlal edilmiş sürümler sunmak için güncelleme sunucularından veya dağıtım kanallarından yararlanırlar.
Güvenliği ihlal edilmiş yazılım yaygın olarak kullanılırsa, saldırgan potansiyel olarak çok sayıda kuruluşu aynı anda etkileyen büyük ölçekli, yüksek etkili bir saldırıyı tetikleyebilir.
Hizmet tedarik zinciri saldırıları
Bir hizmet tedarik zinciri saldırısı,Yönetilen Hizmet Sağlayıcılar (MSP'ler) gibi hizmet sağlayıcıları hedefler ve birden fazla müşteri ortamına kötü amaçlı yazılım dağıtmak için güvenilir erişimlerini kullanır.
İyi bilinen bir örnek, uzaktan BT yönetim hizmeti olan Kaseya VSA'yı içeren 2021 fidye yazılımı saldırısıdır. Saldırganlar, Kaseya VSA'yı kullanarak MSP'leri tehlikeye attı ve ardından fidye yazılımlarını aşağı akış müşterilerinin çoğuna yaydı. MSP’ler (Yönetilen Hizmet Sağlayıcıları), müşteri ağlarını yönetmek ve işletmekle görevlendirildikleri için, saldırganlar onları fidye yazılımı gibi kötü amaçlı yazılımları yaymak için bir dağıtım noktası olarak kullanabilir.
Bu olayda saldırı, MSP hizmetlerinin doğasını istismar etti; hem Kaseya VSA kullanan MSP’leri hem de bu MSP’lere güvenen müşterileri etkiledi. Etki büyük çaplıydı; raporlara göre fidye yazılımı saldırısından 1.500’e kadar şirket etkilenmişti.
İş tedarik zinciri saldırıları
İş tedarik zinciri saldırıları, birincil hedef organizasyona sızmak için bu ilişkileri kullanarak günlük operasyonları mümkün kılan daha geniş iş ortakları, satıcılar, lojistik sağlayıcılar ve tedarikçiler ekosistemini hedef alır.
Bu yöntem o kadar yaygınlaşmıştır ki artık kuruluşlara erişim elde etmek için standart bir taktik olarak kabul edilebilir.
Trend Micro, Earth Hundun (BlackTech olarak da bilinir) ve Earth Tengshe (APT10 ile bağlantılı) gibi siber saldırı gruplarının önce şirketlerin yurtdışındaki şubelerini hedef aldığını, ardından bu erişimi kullanarak asıl hedef olan ana merkez operasyonlarına sızdıklarını sürekli olarak gözlemlemiştir.
Tedarik Zinciri Saldırı Kategorileri
- Gizliliği İhlal Edilmiş Yazılım Güncellemeleri: Saldırganlar, çok sayıda kullanıcıya dağıtılan yazılım güncellemelerine kötü amaçlı kod ekler.
- Gizliliği İhlal Edilmiş Üçüncü Taraf Yazılım Kitaplıkları: Meşru yazılım ürünlerine entegre edilmiş üçüncü taraf kitaplıklarına veya bağımlılıklarına kötü amaçlı kod eklenir.
- Riskli Donanım veya Aygıt Yazılımı: Üretim veya dağıtım süreci sırasında ürünlere kötü amaçlı donanım bileşenleri veya aygıt yazılımı eklenir.
- Geliştirici Araçlarına Sızma: Geliştiricilerin kullandığı Entegre Geliştirme Ortamları (IDE) veya Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) hatları gibi araçların ele geçirilmesi.
- Gizliliği İhlal Edilmiş Yazılım Bağımlılıkları: Yaygın olarak kullanılan meşru yazılım bağımlılıklarına kötü amaçlı kod enjeksiyonu.
- İstismar Edilen Protokoller Yoluyla Veri Sızdırma: SMB, TLS, SSH gibi protokollerdeki güvenlik açıklarını açığa çıkarmak veya verileri sızdırmak için SQL enjeksiyonu gibi yöntemlerle veri tabanlarını doğrudan hedeflemek.
- Açık Kaynak Projeleri Hedefleme: Yaygın olarak kullanılan açık kaynak projelerine saldırma, birçok aşağı akış projesini etkileyebilecek kötü amaçlı kod ekleme.
Tedarik Zinciri Saldırısı Örnekleri
Node Package Manager (2025)
15 Eylül 2025’te, Node Package Manager (NPM) deposu devam eden bir tedarik zinciri saldırısına maruz kaldı. Saldırganlar, bir NPM paket yöneticisinin hesabını ele geçirmek için son derece hedefli bir kimlik avı kampanyası yürüttü. Ayrıcalıklı erişim elde eden saldırganlar, yaygın olarak kullanılan JavaScript paketlerine kötü amaçlı kod enjekte etti ve bu durum, tüm yazılım ekosistemini tehdit altına soktu.
Kaynak: NPM Tedarik Zinciri Saldırısı
RockYou2024 (2024)
“RockYou2024” şifre sızıntısı, neredeyse 10 milyar önceden ele geçirilmiş kimlik bilgisinin derlenip bir hack forumunda yayımlanmasıyla, birden fazla platform ve hizmette toplu şekilde tekrar kullanılan ve kamuya açık hale getirilen kimlik bilgilerinin tedarik zinciri açısından önemli risk oluşturduğunu ortaya koydu.
Kaynak:Tüm Zamanların En Büyük Derlemesiyle Neredeyse 10 Milyar Şifre Sızdırıldı
Büyük Dil Modelleri (LLM'ler) ve Genel Sohbet Robotları (2024)
LLM tabanlı açık sohbet botları, etkileşimler sırasında paylaşılan hassas iç bilgileri yanlışlıkla açığa çıkarabilir; bu, şirketlerin bu yapay zeka hizmetlerine duyduğu güveni kötüye kullanarak saldırganlara avantaj sağlar ve harici yapay zeka platformlarına güvenmenin risklerini ortaya koyar. Bu platformlar, öğrenme ve etkileşim süreçlerinde istemeden gizli verileri sızdırabilir.
Kaynak:OpenAI’nin Özel Sohbet Robotları Sırlarını Sızdırıyor
ABD Ulusal Kamu Verileri (2024)
Bu ihlal, bağlı bir hizmet olan RecordsCheck’teki açıklar sayesinde mümkün oldu. Saldırganlar, ilişkili hizmetler arasındaki güven ilişkilerini kötüye kullanarak hassas verilere erişim sağladı.
PHP Git Sunucu Gizliliğinin İhlali (2021)
Saldırganlar, popüler web komut dosyası dilinin kaynak koduna bir arka kapı yerleştirmeye çalışarak PHP'nin Git sunucusunu ele geçirdi.
SolarWinds Saldırısı (2020)
Saldırganlar SolarWinds’in Orion yazılım güncelleme mekanizmasına sızarak, devlet kurumları ve büyük şirketler dahil olmak üzere 18.000'den fazla müşteriye kötü amaçlı güncellemeler sağladı.
Kaynak:SolarWinds CISA Uyarısı
Trend Vision One™ Platformu
Saldırganları daha hızlı durdurmak ve siber risklerinizi kontrol altına almak tek bir platformla başlar. Yapay zeka, önde gelen tehdit araştırmaları ve istihbarat ile desteklenen kapsamlı önleme, tespit ve müdahale yetenekleriyle güvenliği bütünsel olarak yönetin.
Trend Vision One, çeşitli hibrit BT ortamlarını destekler, iş akışlarını otomatikleştirir ve düzenler ve uzman siber güvenlik hizmetleri sunar, böylece güvenlik operasyonlarınızı basitleştirebilir ve birleştirebilirsiniz.
Jon Clay, siber güvenlik alanında 29 yılı aşkın deneyime sahiptir. Jon, Trend Micro'nun harici olarak yayınlanan tüm tehdit araştırması ve istihbaratına ilişkin bilgileri toplamak ve paylaşmak için sektör deneyimini kullanıyor.