Casus Savaşları: Devlet destekli hackerlar birbirlerinden çalıyor ve kopya çekiyor

Casus Savaşları: Devlet destekli hackerlar birbirlerinden çalıyor ve kopya çekiyor
Ekim 09 08:28 2017 Yazıyı Yazdır

Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi’ne (GReAT) göre, ileri düzey siber saldırganlar, kurban verileri, saldırı alet ve teknikleri çalmak veya birbirlerinin altyapılarını kullanmak amacıyla diğer saldırgan gruplarını hackleyerek, güvenlik araştırmacılarının hatasız bir şekilde tehdit istihbaratı elde etmesini zorlaştırıyor.

Hatasız tehdit istihbaratı yapabilmek için belirli bir tehdit aktörüne işaret eden izlerin ve aletlerin tespit edilebilmesi gerekir. Bu sayede araştırmacılar farklı saldırganların amaçlarını, hedeflerini ve davranışlarına daha iyi anlayabilir ve şirketlere risk seviyelerini belirlemek konusunda yardımcı olabilir. Tehdit aktörleri birbirlerini hackleyip, birbirlerinin aletlerini altyapılarını ve Hatta kurbanlarını kullanmaya başlayınca uzmanların da işi giderek zorlaşıyor.

Kaspersky Lab’a göre, bu tür saldırıları yabancı veya daha az yetkin tehdit aktörlerini hedef alan ulus-devlet destekli grupların düzenliyor olması ihtimali yüksek. BT güvenliği araştırmacılarının bu tür saldırıları fark edebilmesi, istihbaratlarını bu bağlamda sunabilmeleri için önem teşkil ediyor.

Sözkonusu türdeki saldırıların sunduğu fırsatları detaylıca inceleyen araştırmacılar, iki ana yaklaşım tespit etti: pasif ve aktif. Pasif saldırılar, örneğin kurbanlar ile komuta ve kontrol sunucuları arasındaki trafiğe erişerek diğer grubun verilerini ele geçirmeyi içeriyor ve tespit edilmeleri neredeyse imkansız oluyor. Aktif yaklaşım ise diğer bir tehdit aktörünün kötü amaçlı altyapısına sızmayı içeriyor.

Aktif yaklaşımda tespit edilme riskinin daha büyük olmasına karşılık; saldırgana düzenli bir şekilde bilgi elde etme, hedefi ile kurbanlarını gözleme ve potansiyel olarak işin içine kendi yazılımlarını sokma veya kurbanı adına saldırılar düzenleme fırsatı verdiği için, vadettiği fayda da daha fazla oluyor. Aktif saldırıların başarısı büyük oranda hedefinin operasyonel güvenlikte hatalar yapmasına bağlı oluyor.

GReAT, bu tür aktif saldırıların halihazırda yapılıyor olduğuna işaret eden belirli bazı tehdit aktörlerini araştırırken bir dizi garip ve beklenmedik ize rastladı. Örneğin:

  • Diğer grubun komuta ve kontrol altyapısına arka kapı kurmak
  • Hacklenen web sitelerini paylaşmak
  • Proxy (vekil) yoluyla hedefleme

Hacklenen bir ağa arka kapı kurmak, saldırganlara diğer grubun faaliyetleri içerisinde sürekli olarak bulunma fırsatı veriyor. Kaspersky Lab araştırmacıları, bu amaçla kurulmuş gibi görünen iki adet arka kapı buldu.

Bunlardan ilki 2013 yılında, Asya kıtasındaki aktivist ve kuruluşları hedefleyen Çince bir kampanya olan NetTraveler tarafından kullanılan bir sunucuyu analiz ederken bulunmuştu. İkincisi ise 2014‘te, Rusça konuşan ve 2010 yılından bu yana sanayi sektörünü hedef alan bir tehdit aktörü olan Crouching Yeti (Energetic Bear olarak da bilinir) tarafından hacklenmiş bir web sitesi incelenirken bulundu. Araştırmacılar, komuta ve kontrol ağını kontrol eden panelin, Çin’deki bir IP adresine işaret eden bir etiketle kısa bir süreliğine değiştirildiğini fark etti (büyük olasılıkla bir “sahte bayrak”). Araştırmacılar bunun da başka bir gruba ait bir arka kapı olduğuna inanıyor, fakat bunun kim olabileceğine dair bir işaret bulunmuyor.

Kaspersky Lab araştırmacıları 2016 yılında, Korece kullanan DarkHotel tarafından ele geçirilmiş olan bir web sitesinin aynı zamanda, (ekibin ScarCruft adını verdiği) hedefli saldırılar düzenleyen ve daha çok Rus, Çinli ve Güney Koreli kuruluşları hedef alan bir grup için exploit kodları barındırdığını fark etti. DarkHotel operasyonu Nisan 2016’ya dayanırken, ScarCruft saldırıları bundan bir ay sonra düzenlenmişti. Bu da ScarCruft’un, kendi saldırılarını düzenlemeden önce DarkHotel saldırılarını gözlemlemiş olabileceğini gösteriyor.

Belirli bir bölge veya sanayi sektöründe düzenli olarak faaliyet gösteren bir gruba sızmak, saldırganlara kurbanlarının özel uzmanlığından faydalanarak masraflardan kısma ve hedefleme konusunda iyileştirme yapma fırsatı sunuyor.

Bazı tehdit aktörleri, kurbanları çalmak yerine onlara ortak oluyor. Bu, iki gruptan birinin yakalanabilme ihtimali sebebiyle riskli bir yaklaşım, çünkü yapılacak adli araştırmalar diğer grubu da ele verecektir. Kasım 2014’te, Kaspersky Lab, Ortadoğu’da bulunan bir araştırma enstitüsüne ait (Magnet of Threats olarak bilinen) bir sunucunun, aynı zamanda (İngilizce konuşan) Regin ve Equation Group, (Rusça konuşan) Turla ve ItaDuke, (Fransızca konuşan) Animal Farm ve (İspanyolca konuşan) Careto adlı tehdit aktörleri için yazılımlar barındırdığını bildirmişti. Hatta, Equation Group’un keşfedilmesi bu sunucu sayesinde olmuştu.

Atıf konusu genellikle çok zor bir iş, çünkü ipuçları az oluyor ve kolaylıkla manipüle edilebiliyor. Şimdi bir de saldırgan grupların birbirini hacklemesi durumunu hesaba katmak gerekiyor. Birbirlerinin araçlarından, kurbanlarından ve altyapılarından faydalanan grupların sayısı arttıkça, bizim gibi tehdit avcılarının da işi zorlaşacak. Verdiğimiz örnekler bu tür şeylerin çoktan yapılmaya başlandığını gösteriyor ve bu da tehdit istihbaratı araştırmacılarının ileri yetkinlikteki saldırganları incelerken bakış açılarını değiştirmeleri gerektiğini gösteriyor.” diyor Kaspersky Lab Küresel Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Juan Andres Guerrero-Saade.

daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.