ABD ve Tayvan savunma sanayisinin önde gelen isimlerinin katıldığı bir toplantı, dosyasız kötü amaçlı yazılım taşıyan bir kimlik avı saldırısına maruz kaldı.
23. ABD-Tayvan Savunma Sanayi Konferansı önümüzdeki hafta Philadelphia’nın Logan Meydanı semtinde düzenlenecek. Basına kapalı olarak düzenlenecek konferansta ABD ve Tayvan’daki hükümet, savunma, akademi ve ticari sektörlerden konuşmacılar yer alacak. Odak noktası, web sitesine göre“ABD’nin Tayvan ile savunma işbirliğinin geleceği, savunma tedarik süreci ve Tayvan’ın savunma ve ulusal güvenlik ihtiyaçları” konularını ele alacak.
Son zamanlarda, etkinliğin arkasındaki kuruluş olan ABD-Tayvan İş Konseyi’ne kendi kayıt formunun kötü amaçlı bir sahtesi gönderildi. Form, tamamen bellekte çalışacak şekilde tasarlanmış bilgi çalan kötü amaçlı yazılımla eşleştirildi ve bu da geleneksel antivirüs yazılımlarıyla tespit edilmesini zorlaştırdı. Ancak, dikkatli kimlik avı önleme hazırlıkları sayesinde konsey saldırıyı hızla geri püskürttü.
Tayvan Savunma Konferansına Yönelik Tehditler
Sekiz yıl önce, 15. ABD-Tayvan Savunma Sanayi Konferansı’na katılanlar da dahil olmak üzere Tayvan savunma sanayi üyelerine bir Çin kimlik avı e-postası gönderildi. Ancak o zamanlar bile eski bir şapkaydı.
“2003’ten 2011’e kadar olan dönemde, sürekli olarak spear-phishing e-postalarıyla yoğun bir şekilde hedef alındık,” diye bildiriyor ABD-Tayvan İş Konseyi başkan yardımcısı Lotta Danielsson. “2016-2017’de bir artış oldu, ancak son birkaç yıldır çok sessizdi. Genellikle, yıllık savunma konferansına hazırlık ve hemen sonrasında artar, sonra tekrar azalır.”
Bu yılki konferans öncesinde, katılımcılardan ziyade saldırı konseyin kendisini hedef almış gibi görünüyordu. Bir bireyden, potansiyel katılımcı gibi davranan birinden gelen bir e-postayla geldi. Etkinliğin çevrimiçi formunu kullanmak yerine, taklitçi kayıt formunun doldurulmuş bir kopyasını PDF olarak gönderdi; katılımcılar sitede teknik sorunlar yaşarlarsa bunu yapabilirler.
Kaynak: Cyble
Cyble’ın analizine göre belge, bir ZIP dosyasıyla birlikte geldi ve bu dosyanın bir kötü amaçlı Windows kısayolu (LNK) dosyası. Açılırsa, LNK, Windows başlangıç klasörüne yürütülebilir bir dosya yerleştirerek hedeflenen makinede kalıcılık kurmuş olurdu. Yeniden başlatıldığında, yürütülebilir dosya, diske herhangi bir dosya kaydetmeden, doğrudan makinenin belleğinde yürütülecek ek yükler indirirdi. Sonuç olarak, kötü amaçlı yazılım, normal ağ trafiğiyle harmanlanmak üzere tasarlanmış Web istekleri aracılığıyla verileri saldırgan tarafından kontrol edilen bir sunucuya geri sızdırabilirdi.
Cyble araştırmacıları saldırıyı belirli bir tehdit aktörüne bağlayamadı. Ancak, özellikle Çinli kuruluşların Tayvan’ı hedef alma konusunda uzun bir geçmişe sahip olduğunu belirttiler.
“Son birkaç yılda Doğu Asya jeopolitiğinde çok sayıda sorun olduğunu çok net gördük – Güney Çin Denizi’ndeki askeri hareketler, Tayvan ve Çin’den gelen çok sert yorumlar. Ve ulus devletlerin ABD-Tayvan savunma iş birliğine ilgi duyduğu anlaşılıyor,” diyor Cyble’ın araştırma ve istihbarat başkanı Kaustubh Medhe.
Bu son kimlik avı girişimi bu resme tam olarak uyuyor. “Bunun, bu belirli konuya özel ilgi duyan kişilerin uzun vadeli gözetimi için gizli bir teknik olarak kullanılabileceğinden güçlü bir şüphemiz var,” diyor.
Kimlik Avının Nasıl Önleneceğine Dair Bir Ders Kitabı Örneği
Danielsson’un hatırladığı gibi, “Uzun bir süredir -20 yıldan fazla- bu tür hedefli kimlik avı e-postalarının hedefi olmuştuk, bu yüzden hemen şüpheli olarak işaretledik. Dosyayı açmadık. Bunun yerine, VirusTotal’a gönderdik ve kötü amaçlı olduğunu doğruladık. Sonra sildik ve hemen hemen hepsi bu kadardı.”
Yıllar boyunca Konseyin birçok kimlik avı saldırısını kolayca savuşturmasına yardımcı olan birkaç başarı anahtarına dikkat çekiyor. “Biri eğitim amaçlı, bu sayede tüm personel bu tür saldırılar konusunda iyi eğitilmiş oluyor. Kimse e-postalardaki bağlantılara tıklamaz veya e-posta yoluyla gönderilen belgeleri açmaz, ta ki doğrudan insanlarla konuşmadığımız ve bunları beklemediğimiz sürece. O zaman bile, varsayılan içerik çok hassas olmadığı sürece, genellikle açmadan önce tararız, bu durumda insanları arayıp bunları gönderip göndermediklerini iki kez kontrol ederiz,” diyor.
Bunun yanı sıra, “E-posta istemcilerimizi yalnızca metin olarak tutuyoruz, böylece bağlantıların herhangi bir karartmasını hemen görmek kolay oluyor. Sistemimize giren ve çıkan tüm trafiği kaydediyorum ve anormalliklere karşı göz kulak oluyorum. Ayrıca, tüm sistemimizi geceleri ve hafta sonları çevrimdışı hale getiriyoruz, bilgisayarlarımızı ve dahili BT sistemlerimizi hava boşluğuna alıyoruz. Bu yapılabilir çünkü üç kişilik küçük bir ofisiz ve daha büyük bir organizasyon için daha zor olabilecek bir şey. Ayrıca siber güvenlik sektöründe çalışan kişilerle de bazı ilişkilerim var ve bir sorunu önlemede başarısız olursak ne yapacağımızı düşünmemize yardımcı oldular. Eğer olursa hazırlıklı olmak istiyoruz.”