En endişe verici beş tehdidinden dördünün doğrudan devlet bağlantılı olduğu göz önüne alındığında, siber güvenlik ekipleri için en yakıcı tehdit endişelerinin temelinde jeopolitik gerilimler olduğu ortaya çıkıyor.
İşte 1 Ocak- 1 Aralık 2022 tarihleri arasında İsrailli siber güvenlik firması Cymulate ile dayanıklılığı doğrulamak için en çok test edilen tehditler:
MANJUSAKA’DA ÇİN BAŞ ŞÜPHELİ
Cobalt Strike ve Sliver framework (her ikisi de ticari olarak üretilmiş ve iyi niyetli hackerlar için tasarlanmış ancak tehdit aktörleri tarafından kötüye kullanılmış) kötü niyetli aktörler tarafından yaygın olarak kullanılma potansiyeline sahip yazılımlar. Rust ve Golang dillerinde yazılmış olan ve kullanıcı ara yüzü Basit Çince olan bu yazılım Çin menşelidir.
Manjusaka, Rust’ta Windows ve Linux implantları taşıyor ve özel implantlar oluşturma imkanı ile birlikte hazır bir C2 sunucusunu ücretsiz olarak kullanıma sunuyor.
Manjusaka en başından beri suç amaçlı kullanım için tasarlandı. Ücretsiz dağıtıldığı ve Cobalt Strike, Sliver, Ninja, Bruce Ratel C4 gibi ticari olarak mevcut simülasyon ve emülasyon çerçevelerinin kötüye kullanımına olan bağımlılığı azaltacağı için 2023’te suç amaçlı kullanımı artabilir. Manjusaka’nın geliştiricilerinin devlet destekli olduğuna dair herhangi bir kanıt olmasa da Çin yine baş şüpheli durumda.
POWERLESS ARKA KAPI
Powerless Backdoor, PowerShell denetleyicisinden kaçınmak için tasarlanmış bir arka kapı tehdidi. Geçtiğimiz yıl özellikle İran ile bağlantılı tehditler arasında en popüleri olarak dikkat çekti. Yetenekleri arasında tarayıcı için bilgi hırsızlığı ve keylogger indirmek, verileri şifrelemek ve şifresini çözmek, rastgele komutlar çalıştırmak ve bir süreç sonlandırma işlemini (kill process) etkinleştirmek yer alıyor.
İran’a atfedilen anlık tehditlerin sayısı 8’den 17’ye yükselmiş. Ancak, 14 Eylül’de ABD Hazine Bakanlığı Yabancı Varlıkların Kontrolü Ofisi’nin (OFAC) İranlı siber aktörlere yönelik getirdiği yaptırımlardan bu yana Tahran’a atfedilen tek bir saldırıya kadar düşerek önemli ölçüde yavaşladı.
Ülkedeki mevcut siyasi gerilimlerin 2023’teki saldırıların sıklığını etkileyeceği düşünülüyor. Ancak bu aşamada bunların artıp azalmayacağını değerlendirmek zor.
ABD EYALETLERİNİ HEDEF ALAN APT 41
Halihazırda 2021’de çok aktif olarak işaretlenmiş olan APT41, 2022’de yavaşlama belirtisi göstermedi. Çin destekli bir saldırgan grup faaliyeti olarak bilinen APT41’e yönelik araştırmalar, ABD eyalet hükümetlerini hedef alan kasıtlı bir kampanyanın kanıtlarını ortaya koyuyor.
APT 41 Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute ve Sublist3r gibi keşif araçları kullanıyor. Ayrıca kimlik avı, watering hole ve tedarik zinciri saldırıları gibi çok çeşitli saldırı türleri başlatıyor ve kurbanlarını başlangıçta tehlikeye atmak için çeşitli güvenlik açıklarından yararlanıyor. Son zamanlarda, web sitelerinde SQL enjeksiyonları gerçekleştirmek için ilk saldırı vektörü olarak halka açık SQLmap aracını kullandıkları görülmüştür.
Geçtiğimiz yıl kasım ayında, APT 41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon) ile ilişkili halihazırda uzun olan takma isimler listesine Earth Longhi adlı yeni bir alt grup katıldı. Earth Longhi’nin Tayvan, Çin, Tayland, Malezya, Endonezya, Pakistan ve Ukrayna’da birden fazla sektörü hedef aldığı tespit edildi.
2022 tarihli Microsoft Dijital Savunma Raporu’na göre, “Çin kaynaklı saldırıların çoğu, daha önce güvenlik topluluğu tarafından bilinmeyen ve “yazılımdaki kendine özgü yamalanmamış açıklar” olan “sıfırıncı gün açıklarını” bulma ve bunları toplama yeteneğinden güç alıyor. Çin’in bu güvenlik açıklarını toplaması, Çin’deki kuruluşların keşfettikleri güvenlik açıklarını başkalarıyla paylaşmadan önce hükümete bildirmelerini gerektiren yeni bir yasanın hemen ardından artmış görünüyor.”
SAVUNMA SEKTÖRÜNE LOLZARUS KİMLİK AVI SALDIRISI
LolZarus olarak adlandırılan bir kimlik avı saldırıları kapsamında, ABD’deki savunma sektörüne iş başvurusu yapanlar hedef alınıyor. Söz konusu saldırılar ilk olarak Qualys Threat Research tarafından tespit edilmiş ve Kuzey Koreli tehdit aktörü Lazarus’a (AKA Dark Seoul, Labyrinth Chollima, Stardust Chollima, BlueNoroff ve APT 38) atfedilmiş. Kuzey Kore’nin Keşif Genel Bürosu’na bağlı olan bu grup hem siyasi hem de mali motivasyona sahip ve en çok 2016’da Sondy’ye yapılan yüksek profilli saldırı ve 2017’de WannaCry fidye yazılımı saldırısı ile tanınıyor.
LolZarus kimlik avı kampanyası, Lockheed_Martin_JobOpportunities.docx ve salary_Lockheed_Martin_job_opportunities_confidential.doc adlı en az iki kötü niyetli belgeye dayanıyor. Bu belgeler, kullanılan API’yi yeniden adlandırmak için takma adlara sahip makroları kötüye kullanıyor ve saldırı düzenlenmesini otomatik hale getirme noktasında ActiveX Frame1_Layout’a güveniyor. Makro daha sonra WMVCORE.DLL Windows Media dll dosyasını yükleyerek kontrolü ele geçirmeyi ve Komuta & Kontrol sunucusuna bağlanmayı amaçlayan ikinci aşama kabuk kodu yükünü göndermeye yardımcı oluyor.
Bu yıl CISA tarafından dile getirilen diğer iki Kuzey Kore saldırısı arasında Maui fidye yazılımı kullanımı ve kripto para hırsızlığı faaliyeti yer alıyor. Lazarus alt grubu BlueNoroff, bu yıl kripto para birimi uzmanlığının dışına çıkarak kripto para birimiyle bağlantılı SWIFT sunucularını ve bankaları da hedef almış görünüyor. Cymulate, 1 Ocak 2022’den bu yana yedi acil tehdidi Lazarus ile ilişkilendirdi.
INDUSTROYER2
Ukrayna ile Rusya arasında baş gösteren çatışma nedeniyle yüksek alarm durumu, yüksek voltajlı elektrik trafo merkezlerini hedef alan bir siber-fiziksel saldırı girişimini engellemek suretiyle etkinliğini gösterdi. Bu saldırı, 2016’da Ukrayna’daki elektrik santrallerini hedef alan ve Kiev’in bir bölümünün elektriğini yaklaşık bir saat boyunca keserek asgari düzeyde başarılı olan Industroyer siber saldırısının anısına Industroyer2 olarak adlandırıldı.
Industroyer2’nin özelleştirilmiş hedefleme düzeyi, belirli trafo merkezleri için benzersiz parametrelerden oluşan statik olarak belirlenmiş yürütülebilir dosya setlerini içeriyordu.
Ukrayna’nın siber dayanıklılığı ne yazık ki kinetik saldırılara karşı güçsüz ve Rusya artık elektrik santrallerini ve diğer sivil tesisleri yok etmek için daha geleneksel askeri yöntemleri tercih etmiş görünüyor. ENISA’ya göre Ukrayna-Rusya çatışmasının bir yan etkisi de hükümetlere, şirketlere ve genel olarak enerji, ulaşım, bankacılık ve dijital altyapı gibi temel sektörlere yönelik siber tehditlerin yeniden ortaya çıkması.
Sonuç olarak, bu yılın en endişe verici beş tehdidinden dördünün doğrudan devlet bağlantılı olduğu ve beşincisinin arkasındaki tehdit aktörlerinin bilinmediği göz önüne alındığında, siber güvenlik ekipleri için en yakıcı tehdit endişelerinin temelinde jeopolitik gerilimlerin olduğu görülüyor.
Devlet destekli saldırganlar tipik olarak çoğu şirket tarafından erişilemeyen siber kaynaklara erişebildiğinden, karmaşık saldırılara karşı önleyici savunma, güvenlik doğrulamasına ve bağlam içi güvenlik açıklarını belirlemeye ve kapatmaya odaklanan sürekli süreçlere odaklanmalıdır.
