İsrail’de özel sektörü hedef alan bir dizi siber saldırının arkasında Gazze merkezli bir siber tehdit aktörü olduğu iddia edildi.
Microsoft tarafından yayımlanan bir raporda Hamas’ın çıkarlarına fayda sağladığı düşünülen bir tehdit aktörününün, İsrail’in enerji, savunma ve telekomünikasyon hizmetleri veren özel kuruluşlarını hedef aldığı bildirildi.
“HAMAS’IN ÇIKARLARINI İLERLETMEK İÇİN ÇALIŞIYOR”
Microsoft, yıllık olarak yayımladığı Dijital Savunma Raporu’nda İsrail ve Filistin arasında gerçekleşen olayların siber dünyaya da taşındığına dair örnekler verdi.
Storm-1133 adlı Gazze merkezli bir tehdit aktörünü tanımlayan Microsoft, bu grubun İsrail’de enerji, savunma ve telekomünikasyon hizmetleri veren özel kuruluşları hedef aldığını takip ettiklerini belirtti.
Raporda, “Bu grubun Gazze Şeridi’nde fiili yönetim otoritesi olan Sünni militan bir grup olan Hamas’ın çıkarlarını ilerletmek için çalıştığını değerlendiriyoruz çünkü bu gruba atfedilen faaliyetler büyük ölçüde Hamas’a düşman olarak algılanan kuruluşları etkiledi.” ifadeleri kullanıldı.
Kampanyanın hedefleri arasında İsrail enerji ve savunma sektörlerindeki kuruluşlar ile merkezi Batı Şeria bölgesinde bulunan Filistinli milliyetçi ve sosyal demokrat bir siyasi parti olan El Fetih’e sadık kuruluşlar da yer aldı.
“KİMLİK AVI VE ZARARLI YAZILIMLARLA SALDIRIYORLAR”
Tehdit aktörünün saldırısına ilişkin detaylara değinilen raporda tehdit aktörlerinin amacının “saldırı zincirleri ve sosyal mühendislik saldırıları düzenlyerek LinkedIn’de İsrailli insan kaynakları yöneticileri, proje koordinatörleri ve yazılım geliştiricileri gibi görünen sahte profillerle kimlik avı mesajları göndermek, keşif yapmak ve İsrailli kuruluşlardaki çalışanlara kötü amaçlı yazılım göndermek” olduğu belirtildi.
Microsoft, Storm-1133’ün, İsrail ile kamusal bağları olan üçüncü taraf kuruluşlara sızmaya çalıştığını da gözlemlediğini söyledi.
Rapor, İsrail, ABD ve Hindistan’daki hükûmet web sitelerini ve BT sistemlerini çökertmeyi amaçlayan Ghosts of Palestine gibi kötü niyetli hacktivist operasyonlardaki artışla birlikte İsrail-Filistin çatışmasındaki tırmanışla örtüşüyor.
Tehdit istihbarat platformu Falconfeeds de X’te (eski adıyla Twitter) paylaştığı bir gönderide “Asyalı hacktivist grupların İsrail, Hindistan ve hatta Fransa gibi ülkeleri, özellikle de ABD ile olan uyumları nedeniyle aktif olarak hedef aldığı yaklaşık 70 olay yaşandı.” ifadelerini kullandı.
Siber tehdit aktörlerinin oltalama saldırısında kullandıkları IP adresi, ABD Savunma Bakanlığı’nın çıktı
NSFOCUS Security Labs, İran merkezli olduğu düşünülen APT34 grubunun oltalama saldırısını ortaya çıkardı.
Söz konusu grup Orta Doğu’da faaliyet gösterirken ABD’deki işletmeleri hedef almasıyla da biliniyor.
NSFOCUS Security Labs, OilRig veya Helix Kitten olarak da bilinen Gelişmiş Kalıcı Tehdit (APT) grubu APT34’ün Ganjavi Global Marketing Services (GGMS) adlı bir pazarlama hizmetleri şirketinin kimliğine bürünerek gerçekleştirdiği oltalama saldırısının detaylarını ortaya koydu.
APT34, kurbanlarının ana bilgisayarları üzerinde kontrol elde edebilmek için SideTwist Truva Atı’nın bir varyantını kullandı.
APT34 KİMDİR?
2014’ten beri aktif olan APT34, siber casusluk ve sabotaj konusunda uzmanlaşmasıyla biliniyor.
Özellikle Orta Doğu’da faaliyet gösteren bu grup finans, devlet, enerji, kimya ve telekomünikasyon gibi çeşitli sektörleri hedef alıyor.
Saldırı yöntemlerini farklı hedeflere göre uyarlayan hatta tedarik zinciri saldırıları yürüten APT34, gelişmiş saldırı yeteneklerine sahip bir grup olarak biliniyor.
SALDIRI NASIL GERÇEKLEŞTİ?
APT34, görünüşte işletmelere odaklanarak küresel pazarlama hizmetleri sunan hayali bir Ganjavi Global Pazarlama Hizmetleri” şirketini kurbanlara hizmet olarak sunmaya çalıştı.
Hedef aldığı işletmeye gönderdiği “GGMS Overview.doc” başlıklı bir tuzak dosyasının içine gizlenmiş kötü niyetli bir makro kodla dağıtım ortamını düzenledi.
Bu makro kod, Trojan SystemFailureReporter.exe dosyasını belgeden base64 formatında çıkarmış, %LOCALAPPDATA%\SystemFailureReporter\ dizinine yerleştirmiş ve aynı dizinde Trojan’ın etkinleştirme anahtarı olarak görev yapan bir update.xml metin dosyası oluşturdu.
Ardından, kötü niyetli makro kod “SystemFailureReporter” adlı zamanlanmış bir görev oluşturarak her beş dakikada bir Trojan’ı çağırdı ve sürekli çalışmasını sağladı.
SideTwist varyantı olarak tanımlanan Truva Atı, HTTP aracılığıyla 11.0.188.38:443 adresindeki bir CnC sunucusuyla iletişim kurdu.
İlginç olan kısımsa APT34 kampanyasının 11.0.188.38 CnC IP adresini kullanmış olması. Yapılan araştırma, bu IP adresinin Columbus, Ohio’daki Amerika Birleşik Devletleri Savunma Bakanlığı Ağ Bilgi Merkezi’ne ait olduğunu ortaya çıkardı.
Araştırmaya göre bu IP seçimi, APT34’ün sonraki saldırılarda farklı, gizli bir CnC adresini etkinleştirmek amacıyla bu işlemi test etmek için kullanmış olabileceğini düşündürüyor.
Siber güvenlik dünyasında “yeni dark web” olarak adlandırılan Telegram’ın tehdit aktörlerince kullanımı giderek artıyor.
Kaspersky tarafından yayımlanan rapor ise Yeni Karanlık Ağ’da faaliyetlerini genişleten kimlik avı operatörlerinin çalışmalarını konu aldı.
Telegram gruplarının gün geçtikçe zararlı yazılım, bot ve fidye yazılımı satmanın yanı sıra suç çetelerinin saldırılarını duyurmak için merkezi bir hâle gelmesi, siber güvenlik uzmanlarının da odak noktasını bu kanallara çekti.
Telegram’ın siber tehdit aktörlerince bu denli sık ve aktif kullanılması dolayısıyla uygulama “Yeni Karanlık Ağ” olarak tanımlanmaya başladı.
KİMLİK AVI OPERATÖRLERİNDEN KİMLİK AVI EĞİTİMİ
Kaspersky’den analist Olga Svistunova, yakın zamanda yayımladığı raporda kimlik avı operatörlerinin, hedef kitlelerini kimlik avı konusunda eğitmek için Telegram kanalları oluşturduğunu ve bu kanalların bağlantılarını YouTube, GitHub ve kimlik avı kitleri aracılığıyla paylaştığını belirtti.
Söz konusu kanalların çoğu, kimlik avı sayfaları oluşturmak veya kullanıcı verilerini toplamak gibi kötü amaçlı iş akışlarını otomatikleştirmek için çeşitli araçlar sunuyor.
Svistunova, saldırılarda kullanılan kimlik avı kitlerinin nispeten basit olduğunu, genellikle kullanıcı kimlik bilgilerini yakalayan ve bunları bir bota ileten bir komut dosyasından oluştuğunu ancak yine de etkili olduklarını söyledi.
TELEGRAM ÇOK AMAÇLI KULLANILIYOR
Raporda ayrıca Telegram kanallarının çevrim içi bankacılık kimlik bilgilerini satmak için kullanıldığını, dolandırıcıların hesap bakiyelerini alıp sattığını ve daha yüksek bakiyeli hesaplar için daha yüksek fiyatlar talep edildiği belirtildi.
Bazı Telegram kanallarının kimlik avı araçları, tespit sistemleri ve kimlik avı kitleri tarafından oluşturulan bağlantılarla ilgili düzenli güncellemeler için müşteri desteği ve abonelikler sunan hizmet olarak kimlik avı operasyonlarının reklamını yaptığı tespit edildi.
KİMLİK AVI SALDIRILARINA KARŞI NASIL ÖNLEM ALINABİLİR?
Kimlik avı operatörlerinin Telegram’da faaliyetlerinin artması, siber güvenlik ortamında gelişen kimlik avı tekniklerine karşı sürekli tetikte olma ve farkındalık ihtiyacının da altını çiziyor.
Bu nedenle kimlik avı saldırılarına karşı kişisel olarak çeşitli önlemler almak önem kazanıyor. Kimlik avı tehditlerine karşı yapabilecekleriniz arasında aşağıdaki önlemler bulunuyor:
Şüpheli e-postalara dikkatli edin: Şüpheli bağlantılara tıklamayın veya bilinmeyen gönderenlerden gelen ekleri indirmeyin. Gönderenin e-posta adresini iki kez kontrol ederek ve yanlış yazılmış kelimeler veya olağan dışı talepler gibi kimlik avı belirtilerini arayarak, özellikle hassas bilgiler isteyen e-postaların meşruiyetini doğrulayın.
Kişisel bilgilerinizi paylaşmaktan kaçının: Alıcının kimliğinden ve iletişim kanalının güvenliğinden emin olmadığınız sürece parolalar, sosyal güvenlik numaraları veya kredi kartı bilgileri gibi hassas bilgileri e-posta veya diğer iletişim kanalları üzerinden paylaşmayın.
Yazılımlarınızı güncel tutun: İşletim sisteminizi, web tarayıcılarınızı ve cihazlarınızda yüklü tüm yazılımları düzenli olarak güncelleyin. Bu, kimlik avı saldırıları tarafından istismar edilebilecek güvenlik açıklarının düzeltilmesine yardımcı olur.
Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin: MFA, parolanızın yanı sıra parmak izi, kısa mesaj kodu gibi ek kimlik doğrulama gerektirerek ekstra bir güvenlik katmanı ekler. Bu, kimlik avı saldırılarına kurban gitme riskinizi önemli ölçüde azaltabilir.
Kendinizi eğitin: En son kimlik avı teknikleri ve trendleri hakkında bilgi sahibi olun. Beklenmedik e-postalara veya mesajlara, özellikle de aciliyet hissi yaratan veya acil eylem isteyenlere karşı dikkatli olun. Bağlantılara tıklamadan veya kişisel bilgilerinizi vermeden önce iki kez düşünün ve şüpheli e-postaları veya mesajları BT departmanınıza veya ilgili makamlara bildirin. Çevrim içi iletişimle uğraşırken daima dikkatli ve şüpheci olun.
Kimlik avı (phishing) saldırıları genellikle fıçıda balık avlamaya benzer. Yeterli zaman verildiğinde, kötü bir aktörün bir kurbanı yakalama olasılığı yüzde 100’dür.
Kurumlar alışılagelmiş bir şekilde savunmasız olmaya devam ettikçe, hedef alınmaya devam edilecek ve fıçıda balık avlama döngüsü sürecektir. Gelin, kimlik avı saldırılarının neden başarılı olduğunu masaya yatıralım.
1- TEHDİT AKTÖRLERİ HER ZAMAN MOTİVEDİR
BT güvenliğini göz ardı etmek ya da yanlış değerlendirmek bir saldırıya karşı zafiyeti büyük ölçüde artırır. Ancak kusursuz bir protokol izliyor, çalışanlara eğitim veriyor, personele şüpheli iletişimleri doğrulamalarını tekrar tekrar hatırlatıyor ve en son kimlik avı kampanyalarını takip ediyor olsanız da kuruluşunuz savunmasızdır ve her zaman savunmasız olacaktır.
Bir kuruluş olarak tüm potansiyel kurbanları korumakla görevli olmanıza rağmen Strategic Security Solutions Consulting’in CEO’su ve kurucusu Johanna Baum tehdit aktörleri konusunda sizleri şöyle uyarıyor, “Tehdit aktörleri başarılı olmak için yüksek motivasyona sahiptir ve bu sebeple finanse edilirler.”
2- KİMLİK AVI SALDIRILARI DAHA İNANDIRICI VE SOFİSTİKE HALE GELİYOR
Protiviti’den Krissy Safi, siber suçluların insanları kandırıp hassas bilgilerini vermelerini sağlamak için sürekli olarak yeni taktikler geliştirdiğini ve bunun sonucunda kimlik avı saldırılarının daha karmaşık hâle geldiğini söylüyor.
Safi, “Birçok kimlik avı önleme çözümü, kimlik avı saldırılarını tespit etmek için statik kurallar kullanıyor ve bu kurallar daha gelişmiş teknikler kullanan saldırganlar tarafından kolayca aşılabiliyor.” diyor.
Ayrıca Safi, “ChatGPT’nin kullanılmaya başlanmasıyla birlikte mükemmel dilbilgisine sahip ve bozuk İngilizce içermeyen kimlik avı e-postaları çoğalacak ve böylece bir siber suçlu tarafından gönderilen bir kimlik avı e-postasını tespit etmek daha da zorlaşacak.” diyerek uyarıda bulunuyor.
3- HER ŞEYİ TEKNOLOJİDEN BEKLEMEK DOĞRU DEĞİL
Birçok kuruluş kimlik avı sorununu yalnızca teknolojiyle çözmeye çalışıyor. Paris merkezli Thales Group’un Amerika kıtası bilgi güvenliği sorumlusu Eric Liebowitz, şirketlerin şüpheli e-postaları tespit etmek için en yeni araçları satın aldığını ve çalışanlarına bu şüpheli e-postaları bildirmeleri ve engellemeleri için bir yol sunduğunu söylüyor.
Liebowitz, “Bunu yapmak harika olsa da tehdit aktörleri daima daha da sofistike olacaktır.” diyor.
Tehdit aktörlerinin sofistike hâle gelmesinin yanında çalışan eğitimine dikkat çeken Liebowitz, “Yeterince kuruluşun odaklandığını düşünmediğim en önemli şeylerden biri çalışanlarını eğitmek. Tüm harika araçlara sahip olabilirler ama çalışanlarını eğitmiyorlarsa, kötü şey o zaman gerçekleşecektir.” diyor.
Avanade Kuzey Amerika güvenlik yöneticisi Justin Haney, bazı kuruluşların kimlik avı kampanyalarıyla mücadele etmek için doğru araçları kullanmış, iş akışları ve süreçleri oluşturmuş olsalar da bu araçları yeterince ve proaktif bir şekilde yapılandırmadıklarını söylüyor.
4- BÜTÜNCÜL SAVUNMA STRATEJİSİ EKSİKLİĞİ
Haney, kimlik avı ile mücadele stratejileri başarısız olan bazı kuruluşların bütüncül ve derinlemesine bir savunma stratejisi benimsemediğini söylüyor.
Haney, “E-posta kimlik avı önleme, çok faktörlü kimlik doğrulama, veri şifreleme, uç nokta/mobil güvenlik kullanabilirler.” diyor.
Lexmark CISO’su Bryan Willett, “Bütüncül, derinlemesine bir savunma stratejisi uygulamamanın ve yalnızca bir kimlik avı önleme programına güvenmenin sorunu, tüm sistemi çökertmek için yalnızca bir başarılı saldırının yeterli olmasıdır.” diyor.
E-posta tabanlı bir savunma yaklaşımına güvenmek ya da büyük ölçüde kullanıcıların eğitimine bel bağlamak doğası gereği kusurludur. Çünkü insanlar hata yapmaya eğilimlidir ve bir saldırganın başarılı olması için sadece bir kere kanılması yeterlidir.
Willett, oltalama saldırılarına karşı savunmanın en iyi yolunun katmanlı bir savunma yaklaşımı olduğunu söylüyor. Bu, her iş istasyonunda iyi bir uç nokta tespit ve yanıt (EDR) sistemine sahip olmayı, güçlü bir güvenlik açığı yönetim programını, her kullanıcı ve yönetici hesabı için çok faktörlü kimlik doğrulamayı etkinleştirmeyi ve virüslü bir sistemin yayılmasını sınırlamak için LAN/WAN genelinde segmentasyon uygulamayı içeriyor.
Willett, Bu önlemleri alarak ve birden fazla savunma katmanı uygulayarak, bir kuruluş kimlik avı saldırısına karşı en iyi şekilde korunabilir dese de “Saldırganın bir noktada başarılı olacağını varsaymalıyız. Bu nedenle, kapsamlı ve katmanlı bir savunma yaklaşımı kullanarak bu varsayımı göz önünde bulundurarak savunma yapmamız gerekir.” diye de uyarıyor.
5- ÇALIŞANLARI EĞİTMEMEK HÜSRANLA SONUÇLANABİLİR
Manhattanville College’ın bilgi işlem müdürü Jim Russell, çalışanları bilinmeyen gönderenlerden gelen e-postalardaki bağlantılara tıklamamaları veya ekleri açmamaları konusunda eğitmenin kritik önem taşımasının yanı sıra çalışanları sahte e-postaları nasıl tanıyacakları konusunda eğitmeleri gerektiğini söylüyor.
Russell, “Bir e-postada kişisel ve hızlı bir şekilde iletişim kuran kişiler güvenlik açıklarımızdan biridir. Neyse ki kurumumuzda çoğu kişi tam cümlelerle yazıyor ve standart bir selamlamaya sahipler. Örneğin, ‘Merhaba Lauren, nasılsın?’ tipik bir giriş cümlesidir. Dolayısıyla eğer bunlar eksikse, özgünlük eksikliği var demektir.” diyor.
Dell Technologies CISO’su Kevin Cross da başarılı bir kimlik avı ile mücadele stratejisinin, çalışanların kimlik avı e-postalarını nasıl tespit edecekleri ve nasıl rapor edecekleri konusunda bilinçlendirilmesiyle başlaması gerektiği konusunda hemfikir.
Bu yaklaşım, birçok şirket tarafından kullanılan yaygın “tıklamayın” stratejisinden farklı bir yaklaşım. Cross, sıfır tıklama oranına ulaşmanın pratik ve gerçekçi olmayan bir hedef olduğunu belirtiyor. Bunun yerine, çalışanlara şüpheli e-postaları nasıl bildireceklerini öğretmek, güvenlik ekiplerinin potansiyel tehdidi hızlı bir şekilde değerlendirmesine ve benzer bir saldırıyla hedeflenen diğerlerinin etkilerini azaltmasına olanak tanımak daha önemli.
6- YAPTIRIM OLMAYINCA EĞİTİM YETERSİZ OLUYOR
Bir şirketin güçlü bir eğitim programı ve politikası olsa bile politikayı ihlal eden çalışanlar için herhangi bir yaptırım yoksa tek başına eğitimin yetersiz olduğu belirtiliyor.
Russell, Manhattanville College’da kimlik avı e-postalarına kanan çalışanların 10 gün boyunca belirli sayıda çevrim içi eğitim oturumunu tamamlamaları gerektiğini söylüyor. Russell, çalışanlar sadece bir bağlantıya tıkladığında sadece bir eğitim seansı aldıklarını ama kimlik bilgilerini gerçekten verdiklerinde üç seansı tamamlamaları gerektiğini ifade ediyor.
Russell, “Sadece çalışanlar değil, kimlik avı girişimine kanan kişilerin listesini gözden geçirdiğimde başkan yardımcısı gibi gelişmiş ayrıcalıklara sahip kişileri de görüyorum.” diyor.
Başkan yardımcılarına ceza veren Russell, “Çok garip karşılaşmalar oluyor.” diyor.
7- KİMLİK AVI TESTLERİNE FAZLA GÜVENMEMELİ
Capgemini’den Sushila Nair, mevcut kimlik avı karşıtı stratejilerin bir diğer zayıf noktasının da bazı şirketlerin kullanıcıları yüzde 100 hatasız olacak şekilde eğitmeyi hedeflemesi olduğunu söylüyor.
Nair, “Kuruluşlar kendilerine şu soruyu sormalıdır: Kullanıcılarımızın yüzde 100’ünün simüle edilmiş bir kimlik avı testine kanmamasını hedeflememiz gerektiğini söyleyenlere bakıp kendimizi gerçekten ölçüyor muyuz?” diyerek söz konusu testlerin eksik yönlerine vurgu yapıyor.
Nair’e göre eğer testler karmaşıksa çalışanlar daha fazlası başarısız oluyor, testler kolaysa, o zaman herkes testi başarıyla geçiyor. Bu durum iyileştirilmiş bir gösterge sunsa da Nair’e göre çalışanların küçük bir yüzdesinin bağlantılara tıklayacağı ve stresli zamanlarda bu sayının artacağı kabul edilmeli.
Nair’e göre işin daha da kötüsü çalışanların, yoğun ve stresli bir günde bir bağlantıya tıkladıkları için eğitime girmelerinin, çoğu zaman çalışanların eğitim oturumlarından nefret etmesini beraberinde getirmesi.
Nair, “Bu sadece böyle bir etki yaratmakla kalmıyor, aynı zamanda kullanıcının kimlik avı e-postalarına vereceği tepkiyi de etkiliyor.” diyor.
Nair, “Test olduğunu düşündükleri için tuhaf bir e-postaya tıklamayacaklar ama aynı zamanda bunu rapor da etmeyeceklerdir.” diyerek şirketlere özenli bir çözüm yolu ve stratejinin geliştirilmesi yönünde uyarılarını yapıyor.
Sonuç olarak, oltalama karşıtı programlar genellikle başarısız olmaya mahkûm. Bunun sebebiyse insanların hata yapabiliyor olması.
Geçtiğimiz yıl siber güvenlik ekipleri en çok hangi siber tehditlere karşı test yaptı? Test sayıları açısından 2022’nin en endişe verici tehditlerine göz atmak, siber güvenlik ekiplerini belirli tehditlere karşı ne kadar savunmasız olduklarını kontrol etmeye neyin yönelttiğine dair bir bakış açısı sunuyor.
En endişe verici beş tehdidinden dördünün doğrudan devlet bağlantılı olduğu göz önüne alındığında, siber güvenlik ekipleri için en yakıcı tehdit endişelerinin temelinde jeopolitik gerilimler olduğu ortaya çıkıyor.
İşte 1 Ocak- 1 Aralık 2022 tarihleri arasında İsrailli siber güvenlik firması Cymulate ile dayanıklılığı doğrulamak için en çok test edilen tehditler:
MANJUSAKA’DA ÇİN BAŞ ŞÜPHELİ
Cobalt Strike ve Sliver framework (her ikisi de ticari olarak üretilmiş ve iyi niyetli hackerlar için tasarlanmış ancak tehdit aktörleri tarafından kötüye kullanılmış) kötü niyetli aktörler tarafından yaygın olarak kullanılma potansiyeline sahip yazılımlar. Rust ve Golang dillerinde yazılmış olan ve kullanıcı ara yüzü Basit Çince olan bu yazılım Çin menşelidir.
Manjusaka, Rust’ta Windows ve Linux implantları taşıyor ve özel implantlar oluşturma imkanı ile birlikte hazır bir C2 sunucusunu ücretsiz olarak kullanıma sunuyor.
Manjusaka en başından beri suç amaçlı kullanım için tasarlandı. Ücretsiz dağıtıldığı ve Cobalt Strike, Sliver, Ninja, Bruce Ratel C4 gibi ticari olarak mevcut simülasyon ve emülasyon çerçevelerinin kötüye kullanımına olan bağımlılığı azaltacağı için 2023’te suç amaçlı kullanımı artabilir. Manjusaka’nın geliştiricilerinin devlet destekli olduğuna dair herhangi bir kanıt olmasa da Çin yine baş şüpheli durumda.
POWERLESS ARKA KAPI
Powerless Backdoor, PowerShell denetleyicisinden kaçınmak için tasarlanmış bir arka kapı tehdidi. Geçtiğimiz yıl özellikle İran ile bağlantılı tehditler arasında en popüleri olarak dikkat çekti. Yetenekleri arasında tarayıcı için bilgi hırsızlığı ve keylogger indirmek, verileri şifrelemek ve şifresini çözmek, rastgele komutlar çalıştırmak ve bir süreç sonlandırma işlemini (kill process) etkinleştirmek yer alıyor.
İran’a atfedilen anlık tehditlerin sayısı 8’den 17’ye yükselmiş. Ancak, 14 Eylül’de ABD Hazine Bakanlığı Yabancı Varlıkların Kontrolü Ofisi’nin (OFAC) İranlı siber aktörlere yönelik getirdiği yaptırımlardan bu yana Tahran’a atfedilen tek bir saldırıya kadar düşerek önemli ölçüde yavaşladı.
Ülkedeki mevcut siyasi gerilimlerin 2023’teki saldırıların sıklığını etkileyeceği düşünülüyor. Ancak bu aşamada bunların artıp azalmayacağını değerlendirmek zor.
ABD EYALETLERİNİ HEDEF ALAN APT 41
Halihazırda 2021’de çok aktif olarak işaretlenmiş olan APT41, 2022’de yavaşlama belirtisi göstermedi. Çin destekli bir saldırgan grup faaliyeti olarak bilinen APT41’e yönelik araştırmalar, ABD eyalet hükümetlerini hedef alan kasıtlı bir kampanyanın kanıtlarını ortaya koyuyor.
APT 41 Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute ve Sublist3r gibi keşif araçları kullanıyor. Ayrıca kimlik avı, watering hole ve tedarik zinciri saldırıları gibi çok çeşitli saldırı türleri başlatıyor ve kurbanlarını başlangıçta tehlikeye atmak için çeşitli güvenlik açıklarından yararlanıyor. Son zamanlarda, web sitelerinde SQL enjeksiyonları gerçekleştirmek için ilk saldırı vektörü olarak halka açık SQLmap aracını kullandıkları görülmüştür.
Geçtiğimiz yıl kasım ayında, APT 41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon) ile ilişkili halihazırda uzun olan takma isimler listesine Earth Longhi adlı yeni bir alt grup katıldı. Earth Longhi’nin Tayvan, Çin, Tayland, Malezya, Endonezya, Pakistan ve Ukrayna’da birden fazla sektörü hedef aldığı tespit edildi.
2022 tarihli Microsoft Dijital Savunma Raporu’na göre, “Çin kaynaklı saldırıların çoğu, daha önce güvenlik topluluğu tarafından bilinmeyen ve “yazılımdaki kendine özgü yamalanmamış açıklar” olan “sıfırıncı gün açıklarını” bulma ve bunları toplama yeteneğinden güç alıyor. Çin’in bu güvenlik açıklarını toplaması, Çin’deki kuruluşların keşfettikleri güvenlik açıklarını başkalarıyla paylaşmadan önce hükümete bildirmelerini gerektiren yeni bir yasanın hemen ardından artmış görünüyor.”
SAVUNMA SEKTÖRÜNE LOLZARUS KİMLİK AVI SALDIRISI
LolZarus olarak adlandırılan bir kimlik avı saldırıları kapsamında, ABD’deki savunma sektörüne iş başvurusu yapanlar hedef alınıyor. Söz konusu saldırılar ilk olarak Qualys Threat Research tarafından tespit edilmiş ve Kuzey Koreli tehdit aktörü Lazarus’a (AKA Dark Seoul, Labyrinth Chollima, Stardust Chollima, BlueNoroff ve APT 38) atfedilmiş. Kuzey Kore’nin Keşif Genel Bürosu’na bağlı olan bu grup hem siyasi hem de mali motivasyona sahip ve en çok 2016’da Sondy’ye yapılan yüksek profilli saldırı ve 2017’de WannaCry fidye yazılımı saldırısı ile tanınıyor.
LolZarus kimlik avı kampanyası, Lockheed_Martin_JobOpportunities.docx ve salary_Lockheed_Martin_job_opportunities_confidential.doc adlı en az iki kötü niyetli belgeye dayanıyor. Bu belgeler, kullanılan API’yi yeniden adlandırmak için takma adlara sahip makroları kötüye kullanıyor ve saldırı düzenlenmesini otomatik hale getirme noktasında ActiveX Frame1_Layout’a güveniyor. Makro daha sonra WMVCORE.DLL Windows Media dll dosyasını yükleyerek kontrolü ele geçirmeyi ve Komuta & Kontrol sunucusuna bağlanmayı amaçlayan ikinci aşama kabuk kodu yükünü göndermeye yardımcı oluyor.
Bu yıl CISA tarafından dile getirilen diğer iki Kuzey Kore saldırısı arasında Maui fidye yazılımı kullanımı ve kripto para hırsızlığı faaliyeti yer alıyor. Lazarus alt grubu BlueNoroff, bu yıl kripto para birimi uzmanlığının dışına çıkarak kripto para birimiyle bağlantılı SWIFT sunucularını ve bankaları da hedef almış görünüyor. Cymulate, 1 Ocak 2022’den bu yana yedi acil tehdidi Lazarus ile ilişkilendirdi.
INDUSTROYER2
Ukrayna ile Rusya arasında baş gösteren çatışma nedeniyle yüksek alarm durumu, yüksek voltajlı elektrik trafo merkezlerini hedef alan bir siber-fiziksel saldırı girişimini engellemek suretiyle etkinliğini gösterdi. Bu saldırı, 2016’da Ukrayna’daki elektrik santrallerini hedef alan ve Kiev’in bir bölümünün elektriğini yaklaşık bir saat boyunca keserek asgari düzeyde başarılı olan Industroyer siber saldırısının anısına Industroyer2 olarak adlandırıldı.
Industroyer2’nin özelleştirilmiş hedefleme düzeyi, belirli trafo merkezleri için benzersiz parametrelerden oluşan statik olarak belirlenmiş yürütülebilir dosya setlerini içeriyordu.
Ukrayna’nın siber dayanıklılığı ne yazık ki kinetik saldırılara karşı güçsüz ve Rusya artık elektrik santrallerini ve diğer sivil tesisleri yok etmek için daha geleneksel askeri yöntemleri tercih etmiş görünüyor. ENISA’ya göre Ukrayna-Rusya çatışmasının bir yan etkisi de hükümetlere, şirketlere ve genel olarak enerji, ulaşım, bankacılık ve dijital altyapı gibi temel sektörlere yönelik siber tehditlerin yeniden ortaya çıkması.
Sonuç olarak, bu yılın en endişe verici beş tehdidinden dördünün doğrudan devlet bağlantılı olduğu ve beşincisinin arkasındaki tehdit aktörlerinin bilinmediği göz önüne alındığında, siber güvenlik ekipleri için en yakıcı tehdit endişelerinin temelinde jeopolitik gerilimlerin olduğu görülüyor.
Devlet destekli saldırganlar tipik olarak çoğu şirket tarafından erişilemeyen siber kaynaklara erişebildiğinden, karmaşık saldırılara karşı önleyici savunma, güvenlik doğrulamasına ve bağlam içi güvenlik açıklarını belirlemeye ve kapatmaya odaklanan sürekli süreçlere odaklanmalıdır.
