APT grupları ikinci çeyrekte Asya'ya odaklandı

Kaspersky Lab araştırmacıları 2018’in ikinci üç aylık döneminde özellikle Asya’da apt operasyonlarının aktif olduğunu gözlemledi. Bu operasyonlarda hem iyi bilinen hem de pek tanıdık olmayan tehdit grupları rol aldı. Bazı gruplar saldırılarını hassas jeopolitik olaylarla aynı zamanda gerçekleştirdi ve hedeflerini bu olaylara göre belirledi. Bunlar ve diğer eğilimler Kaspersky Lab’in yeni üç aylık tehdit istihbaratı özetinde ele alındı.

Kaspersky Lab araştırmacıları 2018’in ikinci çeyreğinde, gelişmiş kalıcı tehdit (APT) grupları tarafından kullanılan yeni araçlar, teknikler ve saldırılar tespit etmeye devam etti. Bu grupların bazıları uzun yıllardır sessizliğini koruyordu. APT’lerin odağında ise Asya yer aldı. Korece konuşan Lazarus ve Scarcruft gibi bölgesel gruplar özellikle yoğun bir dönem geçirdi. Araştırmacılar, Rusça konuşan Turla grubunun Orta Asya ve Orta Doğu’yu hedef almak için kullandığı LightNeuron adlı bir yazılımı keşfetti.

2018’in ikinci çeyreğinde öne çıkan olaylar şunlar oldu:

Olympic Destroyer’ın ardındaki grubun geri dönüşü _ Ocak 2018’de Pyeongchang Kış Olimpiyatları’na yönelik saldırıdan sonra araştırmacılar bu grup tarafından gerçekleştirildiğine inandıkları yeni bir faaliyet keşfetti. Tespit edilen saldırılar Rusya’daki finans kuruluşları ile Avrupa ve Ukrayna’daki biyokimyasal tehdit önleme laboratuvarlarına yönelikti. Bazı zayıf ve orta derecede güvenilir göstergeler, olympic destroyer ile Rusça konuşan tehdit grubu Sofacy arasında bağlantı olabileceğini ortaya koyuyor.

Lazarus/BlueNoroff. Bu yüksek profilli APT’nin, çok daha büyük bir siber casusluk saldırısının bir parçası olarak Türkiye’deki finans kurumlarının yanı sıra Latin Amerika’daki kumarhaneleri hedef aldığına dair belirtiler bulundu. Kuzey Kore ile devam eden barış görüşmelerine rağmen, bu operasyonlar grubun maddi gelir amaçlı faaliyetlerinin sürdürdüğünü gösterdi.

Araştırmacılar Scarcruft APT grubunun yoğun faaliyette olduğunu gözlemledi. Grup, Android zararlı yazılımları ve araştırmacıların POORWEB adını verdiği yeni bir arka kapıyı kullanıyor.

LuckyMouse APT adlı (APT 27 olarak da biliniyor) Çince konuşan tehdit grubu daha önce yüksek profilli websiteleri üzerinden tuzak saldırıları düzenleyerek internet servis sağlayıcıları rahatsız ediyordu. Grup ayrıca, Kazak ve Moğol hükümetlerinin Çin’de düzenlediği toplantı sırasında her iki ülkenin devlet kurumlarını yoğun bir şekilde hedef aldı.

Cisco Talos’un keşfettiği VPNFilter saldırısı, FBI tarafından Sofacy veya Sandworm ile ilişkilendirildi. Yerel ağ donanımlarının ve depolama çözümlerinin saldırılara ne kadar açık olduğu bu saldırıyla ortaya çıktı. Tehdit, ele geçirilen ağ cihazının ardındaki bilgisayarları da etkilemek için ağ trafiğine bile zararlı yazılım bulaştırabiliyor. Kaspersky Lab’in analizlerinde hemen her ülkede bu saldırının izleri bulundu.

Kaspersky Lab GReAT Ekibi Baş Güvenlik Araştırmacısı Vicente Diaz, “2018’in ikinci çeyreği APT faaliyetleri açısından çok ilginçti. Öne çıkan bazı saldırılar, son yıllarda tahmin ettiğimiz bazı tehditlerin ne kadar gerçek olduğunu hatırlattı. Özellikle ağ donanımlarının hedefli saldırılara çok uygun olduğu yönünde defalarca uyarı yapmıştık. Bu cihazlara odaklanan gelişmiş saldırıların varlığı ve yaygınlığı öne çıktı” dedi.

2. Çeyrek APT Eğilimleri raporu Kaspersky Lab’nin yalnızca abonelerine sunduğu tehdit istihbaratı raporlarının bir özetini sunuyor. Raporda ayrıca araştırmalara ve zararlı yazılım avına yardımcı olacak Sızma Belirtileri (IOC) verileri ve YARA kuralları yer alıyor.