Yılın üçüncü çeyreğinde gerçekleşen gelişmiş kalıcı tehdit (APT) faaliyetleri arasında Orta Doğu ve Güney Kore’yi hedef alan ve bu bölgelerden yayılan operasyonlar ön plana çıktı.

Kaspersky'den yapılan açıklamaya göre, faaliyetlerin çoğu siber casusluk veya maddi kazanca odaklanırken en az bir operasyonun yanlış bilgi yayma amacı taşıdığı belirlendi. Kaspersky araştırmacıları mayıs ayında, bir İran kurumundan siber casuslukla elde edilmiş bilgilerin internete sızdırıldığını tespit etti.

Bu sızıntıların ardında, ExPetr ve 2018 Kış Olimpiyatları’na yönelik siber saldırılarla da bağlantılı olan Hades adlı grubun olduğu düşünülüyor. Bunlar ve dünya genelindeki diğer APT eğilimleri Kaspersky’nin en yeni üç aylık tehdit istihbaratı özetinde ele alındı.

Üç aylık APT eğilimleri özeti, Kaspersky’nin özel tehdit istihbaratı araştırmalarının yanı sıra başka kaynaklardan da toplanan bilgilerle oluşturuluyor. Kaspersky araştırmacıları bu yılın ikinci çeyreğinde Orta Doğu’da çeşitli faaliyetler gözlemledi. Bunlar arasında kod, altyapı, grup ve kurban bilgileri gibi varlıkların internete sızdırılması yer aldı. Bu faaliyetlerin ardında Farsça konuşan kişilerden oluşan OilRig ve MuddyWater gibi tehdit gruplarının olduğu düşünülüyor.

Sızıntılar farklı kaynaklardan gelse de hepsi birkaç hafta arayla ortaya çıktı. “RANA Enstitüsü” adlı bir kurumla ilgili bilgileri açığa çıkaran üçüncü sızıntı, “Hidden Reality” adlı bir İran sitesinde yayınlandı. Kaspersky araştırmacıları kullanılan malzemeler, altyapı ve web sitesi üzerinde yaptığı analizde, bu sızıntının Hades tehdit grubuyla ilişkili olabileceği sonucuna vardı. 2018 Kış Olimpiyatları’nı hedef alan OlympicDestroyer vakasının ardındaki grup olan Hades, ayrıca geçmişte ExPetr tehdidi ve 2017’de Emmanuel Macron’un Fransa’da başkanlık seçimi kampanyası sırasında sızdırılan e-postalar gibi yanlış bilgilendirme operasyonlarında ön plana çıkmıştı.
 

- "Tehdit alanı karmaşık bir hal aldı"

Bu yılın ikinci çeyreğinde öne çıkan APT faaliyetleri ise şunlar oldu:

"Rusça konuşan kişilerden oluşan gruplar yeni araçlar geliştirmeye ve yeni operasyonlar yapmaya devam ediyor. Örneğin, Zebrocy adlı grup mart ayından bu yana ilgisini Pakistan/Hindistan olaylarına, yetkililerine, diplomatlarına ve askeri kurumlarına çevirmiş durumda. Grup ayrıca Orta Asya’daki ülkelerin yerel ve uzak ağlarına sürekli olarak erişebiliyor. Turla grubunun saldırıları da sürekli gelişen araçlarla sürüyor. Bunlar arasında, OilRig’e ait altyapının ele geçirilmesi, en çok öne çıkan vaka oldu.

Kore bölgesiyle ilgili faaliyetler yoğunluğunu korurken Güneydoğu Asya’nın geri kalanı ise daha önceki çeyreklere göre daha sessizdi. Dikkat çeken operasyonlar arasında Lazarus adlı grubun Güney Kore’deki bir mobil oyun şirketini hedef alan saldırısı, Lazarus’un BlueNoroff adlı alt grubunun kripto para yazılımını ve Bangladeş’teki bir bankayı hedef alan saldırıları yer aldı. Çince konuşan kişilerden oluşan APT grubu SixLittleMonkeys’in Microcoin Trojan’in yeni bir sürümü ile Kaspersky’nin HawkEye adını verdiği bir uzaktan erişim aracını kullanarak Orta Asya’daki devlet kurumlarını hedef aldı."

Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Vicente Diaz, bu yılın ikinci çeyreğine ait verilerin tehdit alanının ne kadar karmaşık bir hal aldığınının göstergesi olduğunu belirtti.

Bilinen ve bilinmeyen tehditlere karşı korunmanın herkes için büyük önem taşıdığını ifade eden Diaz, "Bir tehdit grubunun daha küçük bir gruba ait altyapıyı ele geçirmesine ve başka bir grubun da bir dizi sızıntıyla yanlış bilgi yayarak, açığa çıkan bilgilerin güvenilirliğini sarsıp para kazanmaya çalıştığına şahit olduk. Güvenlik sektörü, aldatmacaları fark edip gerçeğe ulaşmak ve güvenilir tehdit istihbaratı elde etmek için giderek büyüyen zorluklarla mücadele ediyor. Her şeyi göremediğimizi ve henüz radarımıza girmeyen veya tamamen anlayamadığımız faaliyetler olabileceğini hatırlatmakta fayda var." ifadelerini kullandı.
 

- "Güvenlik farkındalığı eğitimleri önem taşıyor"

Kaspersky araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

"Güvenlik merkezi ekiplerinizin en yeni Tehdit İstihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler. Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın.

Uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın. Çoğu hedefli saldırı kimlik avı veya diğer bir sosyal mühendislik yöntemiyle başladığından, Kaspersky Automated Security Awareness Platform gibi bir hizmet üzerinden güvenlik farkındalığı eğitimleri verin ve pratik becerileri öğretin."