2019’un üçüncü
çeyreğinde gerçekleşen gelişmiş kalıcı tehdit (APT) faaliyetleri arasında Orta
Doğu ve Güney Kore’yi hedef alan veya bu bölgelerden yayılan bir dizi operasyon
yer aldı.
Faaliyetlerin çoğu siber casusluk veya maddi kazanca
odaklanırken en az bir operasyonun yanlış bilgi yayma amacı taşıdığı
belirlendi. kaspersky araştırmacıları Mayıs ayında, bir İran kurumundan siber
casuslukla elde edilmiş bilgilerin internete sızdırıldığını analiz etti. Bu
sızıntıların ardında, ExPetr ve 2018 Kış Olimpiyatları’na yönelik siber saldırılarla
da bağlantılı olan Hades adlı grubun olduğu düşünülüyor. Bunlar ve dünya
genelindeki diğer APT eğilimleri Kaspersky’nin en yeni üç aylık tehdit
istihbaratı özetinde ele alındı.
Üç aylık APT eğilimleri özeti, Kaspersky’nin özel tehdit
istihbaratı araştırmalarının yanı sıra başka kaynaklardan da toplanan
bilgilerle oluşturuluyor. Özette araştırmacıların herkesin bilmesi gerektiğine
inandığı önemli gelişmeler yer alıyor.
Kaspersky araştırmacıları 2019’un ikinci çeyreğinde Orta
Doğu’da ilginç faaliyetler gözlemledi. Bunlar arasında kod, altyapı, grup ve
kurban bilgileri gibi varlıkların internete sızdırılması yer aldı. Bu
faaliyetlerin ardında Farsça konuşan kişilerden oluşan OilRig ve MuddyWater
gibi tehdit gruplarının olduğuna inanılıyor. Sızıntılar farklı kaynaklardan
gelse de hepsi birkaç hafta arayla ortaya çıktı. “RANA Enstitüsü” adlı bir
kurumla ilgili bilgileri açığa çıkaran üçüncü sızıntı, “Hidden Reality” adlı
bir İran sitesinde yayınlandı. Kaspersky araştırmacıları kullanılan malzemeler,
altyapı ve web sitesi üzerinde yaptığı analizde, bu sızıntının Hades tehdit
grubuyla ilişkili olabileceği sonucuna vardı. 2018 Kış Olimpiyatları’nı hedef
alan OlympicDestroyer vakasının ardındaki grup olan Hades, ayrıca geçmişte
ExPetr tehdidi ve 2017’de Emmanuel Macron’un Fransa’da başkanlık seçimi
kampanyası sırasında sızdırılan e-postalar gibi yanlış bilgilendirme operasyonlarında
başroldeydi.
2019’in ikinci
çeyreğinde öne çıkan APT faaliyetleri şunlar oldu:
Rusça konuşan kişilerden oluşan gruplar yeni araçlar
geliştirmeye ve yeni operasyonlar yapmaya devam ediyor. Örneğin, Zebrocy adlı
grup Mart ayından bu yana ilgisini Pakistan/Hindistan olaylarına,
yetkililerine, diplomatlarına ve askeri kurumlarına çevirmiş durumda. Grup
ayrıca Orta Asya’daki ülkelerin yerel ve uzak ağlarına sürekli olarak
erişebiliyor. Turla grubunun saldırıları da sürekli gelişen araçlarla sürüyor.
Bunlar arasında, OilRig’e ait altyapının ele geçirilmesi, en çok öne çıkan vaka
oldu.
Kore bölgesiyle ilgili faaliyetler yoğunluğunu korurken
Güneydoğu Asya’nın geri kalanı ise daha önceki çeyreklere göre daha sessizdi.
Dikkat çeken operasyonlar arasında Lazarus adlı grubun Güney Kore’deki bir
mobil oyun şirketini hedef alan saldırısı, Lazarus’un BlueNoroff adlı alt
grubunun kripto para yazılımını ve Bangladeş’teki bir bankayı hedef alan
saldırıları yer aldı.
Araştırmacılar ayrıca, Çince konuşan kişilerden oluşan APT
grubu SixLittleMonkeys’in Microcoin Trojan’in yeni bir sürümü ile Kaspersky’nin
HawkEye adını verdiği bir uzaktan erişim aracını kullanarak Orta Asya’daki
devlet kurumlarını hedef aldığını gözlemledi.
Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik
Araştırmacısı Vicente Diaz, “2019’un ikinci çeyreği tehdit alanının ne kadar karmaşık
bir hal aldığını ve hiçbir şeyin göründüğü gibi olmadığını gösteriyor. Bir
tehdit grubunun daha küçük bir gruba ait altyapıyı ele geçirmesine ve başka bir
grubun da bir dizi sızıntıyla yanlış bilgi yayarak, açığa çıkan bilgilerin
güvenilirliğini sarsıp para kazanmaya çalıştığına şahit olduk. Güvenlik
sektörü, aldatmacaları fark edip gerçeğe ulaşmak ve güvenilir tehdit
istihbaratı elde etmek için giderek büyüyen zorluklarla mücadele ediyor. Her
şeyi göremediğimizi ve henüz radarımıza girmeyen veya tamamen anlayamadığımız
faaliyetler olabileceğini hatırlatmakta fayda var. Bu nedenle bilindik ve
bilinmedik tehditlere karşı korunmak herkes için büyük önem taşıyor.” dedi.
2. çeyrek APT Eğilimleri raporu Kaspersky’nin yalnızca
abonelerine sunduğu tehdit istihbaratı raporlarının bir özetini sunuyor.
Raporda ayrıca araştırmalara ve zararlı yazılım avına yardımcı olacak Sızma
Belirtileri (IOC) verileri ve YARA kuralları yer alıyor.
Kaspersky araştırmacıları, tanınmış veya tanınmamış bir
tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için
şunları öneriyor:
Güvenlik merkezi ekiplerinizin en yeni Tehdit İstihbaratı
verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan
yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler.
Uç nokta seviyesinde tespit, soruşturma ve vakalara
zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç
nokta tespit ve müdahale çözümü kullanın.
Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı
sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky
Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın.
Çoğu hedefli saldırı kimlik avı veya diğer bir sosyal
mühendislik yöntemiyle başladığından, Kaspersky Automated Security Awareness
Platform gibi bir hizmet üzerinden güvenlik farkındalığı eğitimleri verin ve
pratik becerileri öğretin.
Kaspersky Hakkında
Kaspersky, 1997 yılında kurulan dünya çapında bir siber
güvenlik şirketidir. Kaspersky’nin derin tehdit istihbaratı ve güvenlik
uzmanlığı, dünya genelindeki işletmeleri, önemli altyapıları, devletleri ve
tüketicileri korumak için güvenlik çözümlerini ve hizmetlerini sürekli olarak
dönüştürüyor. Şirketin kapsamlı güvenlik portföyü, sofistike ve gelişen dijital
tehditlerle savaşmak için önde gelen uç nokta korumasını ve bir dizi özel güvenlik
çözümünü ve hizmetini içeriyor. 400 milyondan fazla kullanıcı Kaspersky
teknolojileri tarafından korunuyor ve 270.000 kurumsal müşterinin kendileri en
önemli varlıklarını korumasına yardımcı oluyoruz.
