Siber suçlar ve devlet destekli APT grupları arasındaki çizgilerin bulanıklaşması, günümüz siber tehditlerinin giderek daha akışkan ve çok yönlü hale geldiğinin altını çiziyor
Bir zamanlar siber suçlar ile devlete bağlı tehdit faaliyetleri arasındaki sınırı ayırt etmek oldukça kolaydı. Siber suçlular yalnızca kâr güdüsüyle hareket ediyordu. Devletteki muadilleri ise işverenlerinin jeopolitik hedeflerini ilerletmek için çoğunlukla siber casusluk kampanyaları ve ara sıra da yıkıcı saldırılar gerçekleştiriyordu. Ancak son aylarda, ESET’in son Tehdit Raporu’nda da belirtildiği gibi fidye yazılımları da dahil olmak üzere bu çizgi kaybolmaya başladı.
Bunun BT ve güvenlik liderleri için potansiyel olarak büyük etkileri vardır. Bu yalnızca saldırı riskini artırmakla kalmaz aynı zamanda bu riskin nasıl azaltılacağına ilişkin hesaplamayı da değiştirir.
Siber uzayda bulanık çizgiler
Devlet destekli bilgisayar korsanları tarafından başlatılan fidye yazılımı saldırılarının aslında yeni bir şey olmadığını iddia edebilirsiniz. 2017 yılında, Kuzey Kore’ye bağlı ajanların ilk küresel fidye solucanı olan WannaCry’ı (diğer adıyla WannaCryptor) başlattığı düşünülüyor. Bu saldırı ancak bir güvenlik araştırmacısının kötü niyetli kodun içine gizlenmiş bir “öldürme anahtarını” bulup aktif hale getirmesiyle durdurulabildi.
Aynı yıl, devlet destekli bilgisayar korsanları Ukraynalı hedeflere karşı NotPetya kampanyasını başlattı ancak bu durum da aslında araştırmacıların izini sürmek için fidye yazılımı olarak gizlenmiş yıkıcı bir kötü amaçlı yazılımdı. ESET, 2022 yılında Rus Sandworm grubunun fidye yazılımını benzer bir şekilde, yani veri silici olarak kullandığını gözlemledi.
Devlet destekli operasyonlar ile mali amaçlı suçlar arasındaki çizgi o zamandan beri bulanıklaşıyor. Bir süre önce belirttiğimiz gibi birçok dark web satıcısı devlet aktörlerine istismarlar ve kötü amaçlı yazılımlar satarken bazı hükümetler belirli operasyonlara yardımcı olmaları için serbest çalışan hackerlar kiralıyor.
APT dünyasında bugün neler oluyor?
Ancak bu eğilimler hızlanıyor gibi görünüyor. Özellikle yakın geçmişte, ESET ve diğerleri birkaç belirgin neden gözlemlemiştir:
APT grupları devlet kasasını dolduracak
Devlet bilgisayar korsanları, fidye yazılımlarını devlet için bir para kazanma aracı olarak kasıtlı olarak kullanıyor. Bu durum en bariz şekilde tehdit gruplarının sofistike mega soygunlarla kripto para şirketlerini ve bankaları da hedef aldığı Kuzey Kore’de görülüyor. Aslında 2017 ile 2023 yılları arasında bu faaliyetten yaklaşık 3 milyar dolar yasa dışı kâr elde ettiklerine inanılıyor.
Mayıs 2024’te Microsoft, Pyongyang’a bağlı Moonstone Sleet’in önce hassas bilgileri çaldıktan sonra birkaç havacılık ve savunma kuruluşunun sonraki çalışmalarına “FakePenny” adlı özel fidye yazılımı dağıttığını gözlemledi. “Bu davranış, aktörün hem istihbarat toplama hem de erişiminden para kazanma hedefleri olduğunu gösteriyor” dedi.
Kuzey Koreli grup Andariel’in, Play olarak bilinen fidye yazılımı grubuna ilk erişim ve/veya ortaklık hizmetleri sağladığından şüpheleniliyor. Bunun nedeni Play fidye yazılımının daha önce Andariel tarafından ele geçirilmiş bir ağda tespit edilmiş olmasıdır.
Ek iş olarak para kazanmak
Devletlerin fidye yazılım saldırılarına müdahil olmasının bir başka nedeni de hükümet hackerlarının ek iş yaparak para kazanmalarını sağlamaktır. Bunun bir örneği FBI tarafından tespit edilen “fidye ödemelerinin bir yüzdesi karşılığında şifreleme işlemlerini etkinleştirmek için doğrudan fidye yazılımı iştirakleriyle iş birliği yaptığı” İranlı grup Pioneer Kitten’dır (diğer adıyla Fox Kitten, UNC757 ve Parisite)
NoEscape, Ransomhouse ve ALPHV (diğer adıyla BlackCat) ile yakın bir şekilde çalıştı. Yalnızca ilk erişimi sağlamakla kalmadı aynı zamanda kurban ağlarını kilitlemeye ve kurbanları gasp etme yolları üzerinde iş birliği yapmaya yardımcı oldu.
Müfettişlerin izini kaybettirmek
Devlet bağlantılı APT grupları da saldırıların gerçek amacını gizlemek için fidye yazılımı kullanıyor. Çin bağlantılı ChamelGang’in (diğer adıyla CamoFei) Doğu Asya ve Hindistan’ın yanı sıra ABD, Rusya, Tayvan ve Japonya’daki kritik altyapı kuruluşlarını hedef alan çok sayıda kampanyada bunu yaptığına inanılıyor. CatB fidye yazılımını bu şekilde kullanmak sadece bu siber casusluk operasyonlarına kılıf sağlamakla kalmıyor aynı zamanda operatörlerin veri hırsızlığına kanıtları yok etmelerini de sağlıyor.
Atıf önemli mi?
Hükümet destekli grupların neden fidye yazılımı kullandıkları açık. En azından onlara, soruşturmacıların kafasını karıştırabilecek faydalı bir makul inkâr edilebilirlik kılıfı sağlıyor. Ve çoğu durumda, devlet gelirlerini artırırken ve genellikle düşük maaşlı devlet memurlarından biraz daha fazlası olan devlet tarafından istihdam edilen bilgisayar korsanlarını motive etmeye yardımcı olurken bunu yapar.
Asıl soru, saldırıyı kimin yaptığının gerçekten önemli olup olmadığıdır? Ne de olsa Microsoft, Storm-2049 (UAC-0184 ve Aqua Blizzard vakalarında fidye yazılımı söz konusu olmamasına rağmen devlet kurumlarının işi toptan dışarıya yaptırdığına dair kanıtları bile ortaya çıkardı.
Burada iki düşünce ekolü var. Bir yandan, en iyi uygulama güvenlik tavsiyeleri hâlâ geçerli olmalı ve saldırıyı kim yaparsa yapsın, dayanıklılık oluşturmak ve olay müdahalesini hızlandırmak için etkili bir yol olmalıdır. Aslında devlete bağlı APT grupları siber suç taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) kullanmaya başlarsa bu durum ağ savunucularının yararına bile olabilir. Çünkü bunların tespit edilmesi ve bunlara karşı savunma yapılması sofistike özel araçlara göre daha kolay olacaktır.
Bununla birlikte, bir düşmanı anlamanın, oluşturdukları tehdidi yönetmenin temel ilk adımı olduğunu söylemek için bir argüman da vardır. Bu durum, Makine Öğrenimine Dayalı Risk Analizi için Siber Saldırgan Profili Oluşturma başlıklı 2023 araştırma raporunda açıklanmaktadır: “Siber güvenlik risk analizinin temel bileşenlerinden biri saldırgan modeli tanımıdır. Belirlenen saldırgan modeli veya saldırgan profili, risk analizinin sonuçlarını ve bilgi sistemi için güvenlik önlemlerinin seçimini etkiler.”
APT gruplarına karşı savunma
Bununla birlikte, düşmanınızın kimliğini bilmiyorsanız fidye yazılımı saldırılarının etkisini azaltmanın hâlâ yolları vardır. İşte en iyi 10 uygulama adımı:
- Güncellenmiş güvenlik eğitimi ve farkındalık programları ile sosyal mühendislikle mücadele edin,
- Hesapların uzun, güçlü ve benzersiz parolalar ve çok faktörlü kimlik doğrulama (MFA) ile korunduğundan emin olun,
- Saldırıların “patlama alanını” azaltmak ve yanal hareketi sınırlamak için ağları bölümlere ayırın,
- Şüpheli davranışları erkenden belirlemek için sürekli izleme (uç nokta algılama ve yanıtlama veya yönetilen algılama ve yanıtlama) uygulayın,
- Sürekli iyileştirme sağlamak için güvenlik kontrollerinin, politikalarının ve süreçlerinin etkinliğini düzenli olarak test edin,
- Gelişmiş güvenlik açığı ve yama yönetimi araçlarını uygulayın,
- Tüm hassas varlıkların masaüstü bilgisayarlar, sunucular ve dizüstü bilgisayarlar/mobil cihazlar da dahil olmak üzere saygın bir tedarikçiden alınan çok katmanlı güvenlik yazılımı ile korunduğundan emin olun,
- Güvenilir bir ortaktan tehdit istihbaratına yatırım yapın,
- En iyi uygulamalar doğrultusunda düzenli yedeklemeler gerçekleştirin,
- Etkili bir olay müdahale stratejisi geliştirin ve uygulayın.
Bir tahmine göre, organize suçlar geçen yıl veri ihlallerinin %60’ını oluştururken ulus devletlere atfedilen oran sadece %5’tir. Ancak ikinci pay giderek artıyor ve ihlallerin kendileri kuruluşunuz üzerinde büyük bir etkiye sahip olabilir. Sürekli farkındalık ve proaktif risk yönetimi şarttır.
