SİBER TERÖR & GÜVENLİK & İSTİHBARAT & SAVAŞ

Casus Savaşları : Devlet destekli hackerlar birbirlerinden
çalıyor ve kopya çekiyor

KAYNAK : https://h4cktimes.com/arastirma-ve-analiz/casus-savaslari-devlet-destekli-hackerlar-birbirlerinden-caliyor-ve-kopya-cekiyor.html

 

Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi’ne (GReAT)
göre, ileri düzey siber saldırganlar, kurban verileri, saldırı alet ve
teknikleri çalmak veya birbirlerinin altyapılarını kullanmak amacıyla diğer
saldırgan gruplarını hackleyerek, güvenlik araştırmacılarının hatasız bir
şekilde tehdit istihbaratı elde etmesini zorlaştırıyor.

 

Hatasız tehdit
istihbaratı
 yapabilmek için belirli bir tehdit aktörüne
işaret eden izlerin ve aletlerin tespit edilebilmesi gerekir. Bu sayede
araştırmacılar farklı saldırganların amaçlarını, hedeflerini ve davranışlarına
daha iyi anlayabilir ve şirketlere risk seviyelerini belirlemek konusunda
yardımcı olabilir. Tehdit aktörleri birbirlerini hackleyip, birbirlerinin aletlerini
altyapılarını ve Hatta kurbanlarını kullanmaya başlayınca uzmanların da işi
giderek zorlaşıyor.

 

Kaspersky Lab’a göre, bu tür saldırıları yabancı veya daha az
yetkin tehdit aktörlerini hedef alan ulus-devlet destekli grupların düzenliyor
olması ihtimali yüksek. BT güvenliği araştırmacılarının bu tür saldırıları fark
edebilmesi, istihbaratlarını bu bağlamda sunabilmeleri için önem teşkil ediyor.

Sözkonusu türdeki saldırıların sunduğu fırsatları detaylıca
inceleyen araştırmacılar, iki ana yaklaşım tespit etti: pasif ve aktif. Pasif
saldırılar, örneğin kurbanlar ile komuta ve kontrol sunucuları arasındaki
trafiğe erişerek diğer grubun verilerini ele geçirmeyi içeriyor ve tespit
edilmeleri neredeyse imkansız oluyor. Aktif yaklaşım ise diğer bir tehdit
aktörünün kötü amaçlı altyapısına sızmayı içeriyor.

Aktif yaklaşımda tespit edilme riskinin daha büyük olmasına
karşılık; saldırgana düzenli bir şekilde bilgi elde etme, hedefi ile
kurbanlarını gözleme ve potansiyel olarak işin içine kendi yazılımlarını sokma
veya kurbanı adına saldırılar düzenleme fırsatı verdiği için, vadettiği fayda
da daha fazla oluyor. Aktif saldırıların başarısı büyük oranda hedefinin
operasyonel güvenlikte hatalar yapmasına bağlı oluyor.

GReAT, bu tür aktif saldırıların halihazırda yapılıyor olduğuna
işaret eden belirli bazı tehdit aktörlerini araştırırken bir dizi garip ve
beklenmedik ize rastladı. Örneğin:

·        
Diğer grubun komuta ve kontrol altyapısına arka kapı kurmak

·        
Hacklenen web sitelerini paylaşmak

·        
Proxy (vekil) yoluyla hedefleme

·        
Hacklenen bir ağa arka kapı kurmak, saldırganlara diğer
grubun faaliyetleri içerisinde sürekli olarak bulunma fırsatı veriyor.
Kaspersky Lab araştırmacıları, bu amaçla kurulmuş gibi görünen iki adet arka
kapı buldu.

·        
Bunlardan ilki 2013 yılında,
Asya kıtasındaki aktivist ve kuruluşları hedefleyen Çince bir kampanya olan 
NetTraveler tarafından
kullanılan bir sunucuyu analiz ederken bulunmuştu. İkincisi ise 
2014‘te, Rusça
konuşan ve 
2010 yılından bu
yana sanayi sektörünü hedef alan bir tehdit aktörü olan
 Crouching Yeti (Energetic Bear olarak da
bilinir) tarafından hacklenmiş bir web sitesi incelenirken bulundu.
Araştırmacılar, komuta ve kontrol ağını kontrol eden panelin, Çin’deki bir IP
adresine işaret eden bir etiketle kısa bir süreliğine değiştirildiğini fark
etti (büyük olasılıkla bir “sahte bayrak”). Araştırmacılar bunun da başka bir
gruba ait bir arka kapı olduğuna inanıyor, fakat bunun kim olabileceğine dair
bir işaret bulunmuyor.

·        
Kaspersky Lab araştırmacıları 2016 yılında,
Korece kullanan 
DarkHotel tarafından
ele geçirilmiş olan bir web sitesinin aynı zamanda, (ekibin 
ScarCruft adını
verdiği) hedefli saldırılar düzenleyen ve daha çok Rus, Çinli ve Güney Koreli
kuruluşları hedef alan bir grup için 
exploit kodları barındırdığını
fark etti. DarkHotel operasyonu Nisan 2016’ya dayanırken, ScarCruft saldırıları
bundan bir ay sonra düzenlenmişti. Bu da ScarCruft’un, kendi saldırılarını
düzenlemeden önce DarkHotel saldırılarını gözlemlemiş olabileceğini gösteriyor.

·        
Belirli bir bölge veya sanayi sektöründe düzenli olarak
faaliyet gösteren bir gruba sızmak, saldırganlara kurbanlarının özel
uzmanlığından faydalanarak masraflardan kısma ve hedefleme konusunda
iyileştirme yapma fırsatı sunuyor.

·        
Bazı tehdit aktörleri, kurbanları çalmak yerine onlara ortak
oluyor. Bu, iki gruptan birinin yakalanabilme ihtimali sebebiyle riskli bir
yaklaşım, çünkü yapılacak adli araştırmalar diğer grubu da ele verecektir. 
Kasım 2014’te, Kaspersky
Lab, 
Ortadoğu’da bulunan bir araştırma enstitüsüne ait (Magnet of Threats olarak
bilinen) bir sunucunun, aynı zamanda (İngilizce konuşan) 
Regin ve Equation Group, (Rusça konuşan) Turla ve ItaDuke, (Fransızca
konuşan) 
Animal Farm ve
(İspanyolca konuşan) 
Careto adlı tehdit
aktörleri için yazılımlar barındırdığını bildirmişti. Hatta, 
Equation Group’un keşfedilmesi
bu sunucu sayesinde olmuştu.

·        
Atıf konusu genellikle çok zor bir iş, çünkü ipuçları az oluyor ve
kolaylıkla manipüle edilebiliyor. Şimdi bir de saldırgan grupların birbirini
hacklemesi durumunu hesaba katmak gerekiyor. Birbirlerinin araçlarından,
kurbanlarından ve altyapılarından faydalanan grupların sayısı arttıkça, bizim
gibi tehdit avcılarının da işi zorlaşacak. Verdiğimiz örnekler bu tür şeylerin
çoktan yapılmaya başlandığını gösteriyor ve bu da tehdit istihbaratı
araştırmacılarının ileri yetkinlikteki saldırganları incelerken bakış açılarını
değiştirmeleri gerektiğini gösteriyor.
diyor Kaspersky
Lab Küresel Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı 
Juan Andres
Guerrero-Saade
.

YAZAR HAKKINDA

İsmail Saygılı














































1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana
aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black
Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi
üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik
sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre
aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve
tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir