Siber suçlar ve devlet destekli saldırılar arasındaki çizgilerin bulanıklaştırılması
07 Ocak 2025
•
–
5 dk. Okumak

Siber suç ve devlete uyumlu tehdit faaliyeti arasındaki sınırın ayırt edilmesi oldukça kolay olduğu bir zaman vardı. Siber suçlular sadece kâr güdüsü ile körüklendi. Ve hükümetteki meslektaşları, işverenlerinin jeopolitik hedeflerini ilerletmek için esas olarak siber sorumluluk kampanyaları ve ara sıra yıkıcı saldırı gerçekleştirdi. Bununla birlikte, son aylarda, bu çizgi fidye yazılımı söz konusu olduğunda da dahil olmak üzere, ESET’in en son tehdit raporu tarafından da belirtilen bir trend de dahil olmak üzere çözülmeye başladı.
Bunun potansiyel olarak BT ve güvenlik liderleri için büyük etkileri vardır – sadece saldırı riskini arttırmakla kalmaz, aynı zamanda bu riski nasıl azaltacağı konusundaki hesabı değiştirir.
Siber alanda bulanık çizgiler
Devlet destekli hackerlar tarafından başlatılan fidye yazılımı saldırılarının aslında yeni bir şey olmadığını iddia edebilirsiniz. 2017 yılında, Kuzey Kore’ye bağlı operatörlerin ilk küresel fidye kurdu WannaCry’yi (aka WannaCryptor) piyasaya sürdüğü düşünülmektedir. Sadece bir güvenlik araştırmacısı tökezledikten ve kötü niyetli kodda gizlenmiş bir “öldürme anahtarı” etkinleştirdikten sonra durduruldu. Aynı yıl, devlet destekli bilgisayar korsanları Ukrayna hedeflerine karşı Notpetya kampanyasını başlattı, ancak bu durumda, araştırmacıları kokudan atmak için fidye yazılımı olarak gizlenmiş yıkıcı kötü amaçlı yazılımlardı. 2022’de ESET, Rusya Sandworm grubunu fidye yazılımlarını benzer şekilde kullanarak gözlemledi: veri silecek olarak.
Devlet destekli operasyonlar ve finansal olarak motive edilmiş suç arasındaki çizgi o zamandan beri bulanıklaşıyor. Bir süre önce de belirttiğimiz gibi, birçok karanlık web satıcısı devlet aktörlerine istismar ve kötü amaçlı yazılım satarken, bazı hükümetler belirli operasyonlara yardımcı olmak için serbest hackerlar kiralıyor.
Bugün neler oluyor?
Ancak, bu eğilimler hızlanıyor gibi görünüyor. Özellikle yakın geçmişte, ESET ve diğerleri birkaç belirgin güdü gözlemlediler:
Devlet sandıklarını doldurmak için fidye yazılımı
Devlet bilgisayar korsanları kasıtlı olarak fidye yazılımlarını devlet için para kazanma aracı olarak kullanıyor. Bu, tehdit gruplarının kripto para birimi firmalarını ve sofistike mega heistleri olan bankaları hedeflediği Kuzey Kore’de en açıktır. Aslında, 2017 ve 2023 yılları arasında bu faaliyetten yaklaşık 3 milyar dolarlık yasadışı kar elde ettiklerine inanılıyor.
Mayıs 2024’te Microsoft, ilk hassas bilgileri çaldıktan sonra, birkaç havacılık ve savunma organizasyonunun bir sonraki çalışmalarında “Fakepenny” olarak adlandırılan özel fidye yazılımı dağıttığını Pyongyang ile uyumlu bir şekilde gözlemledi. “Bu davranış, aktörün hem istihbarat toplama hem de erişiminin para kazanması için hedefleri olduğunu gösteriyor” dedi.
Kuzey Kore grubu Andariel’in ayrıca Play olarak bilinen fidye yazılım grubuna ilk erişim ve/veya bağlı kuruluş hizmetleri sağladığından şüpheleniliyor. Bunun nedeni, oynatma fidye yazılımının daha önce Andariel tarafından tehlikeye atılan bir ağda tespit edilmesidir.
Yanda para kazanmak
Fidye yazılımı saldırılarına devlet katılımı için bir diğer güdü, hükümet hackerlarının ay ışığından biraz para kazanmasına izin vermektir. Bir örnek, FBI tarafından “fidye ödemelerinin bir yüzdesi karşılığında şifreleme operasyonlarını mümkün kılmak için fidye yazılımı iştirakleri ile doğrudan işbirliği yapan” Iran Grup Pioneer Kitten (diğer adıyla Fox Fox Kitten, UNC757 ve Parisite).
Noescape, Ransomhouse ve ALPHV (diğer adıyla Blackcat) ile yakından çalıştı – sadece ilk erişimi sağlamakla kalmadı, aynı zamanda kurban ağlarını kilitlemeye ve kurbanların zorla yolları üzerinde işbirliği yapmaya yardımcı oldu.
Araştırmacıları kokudan atmak
Devlet bağlantılı APT grupları da saldırıların gerçek amacını örtmek için fidye yazılımı kullanıyor. Çin’e uyumlu Chamelgang’ın (Camofei) Doğu Asya ve Hindistan’daki kritik altyapı örgütlerini ve ABD, Rusya, Tayvan ve Japonya’yı hedefleyen birçok kampanyada yaptığına inanılıyor. Catb fidye yazılımlarını bu şekilde kullanmak sadece bu siber-ihale operasyonları için kapak sağlamakla kalmaz, aynı zamanda operatörlerin veri hırsızlığının kanıtlarını yok etmelerini sağlar.
Atıf önemli mi?
Devlet destekli grupların neden fidye yazılımı kullandıkları açıktır. En azından, onlara müfettişleri karıştırabilecek makul bir inkar edilebilirlik kapsamı sağlar. Ve birçok durumda, devlet gelirini artırırken ve genellikle kötü ücretli memurlardan biraz daha fazla olan devlet tarafından çalışan bilgisayar korsanlarını motive etmeye yardımcı olur. En büyük soru, saldırıyı kimin yapması gerçekten önemli olup olmadığıdır? Sonuçta, Microsoft, Storm-2049 (UAC-0184 ve Aqua Blizzard durumunda, hiçbir fidye yazılımı dahil olmasına rağmen, devlet kurumlarının toptan dış kaynak kullanımı kanıtlarını bile ortaya çıkardı.
Burada iki düşünce okulu var. Bir yandan, en iyi uygulama güvenlik tavsiyesi yine de doğru olmalıdır – ve esneklik geliştirmenin ve olay tepkisini hızlandırmanın etkili bir yolu olmalıdır – eğer saldırıyı yapan. Aslında, devlete hizalanmış APT grupları siber suç taktikleri, teknikler ve prosedürler (TTP’ler) kullanılarak sonuçlanırsa, bu, ağ savunucularına bile fayda sağlayabilir, çünkü bunların sofistike özel araçlardan daha kolay tespit edilmesi ve savunulması muhtemeldir.
Bununla birlikte, kişinin düşmanını anlamanın, poz verdikleri tehdidi yönetmenin ilk adımı olduğunu söylemenin bir argümanı da vardır. Bu, 2023 Araştırma Raporunda açıklanmaktadır, Makine öğrenmesine dayalı risk analizi için siber saldırgan profili: “Siber güvenlik riski analizinin temel bileşenlerinden biri bir saldırgan modeli tanımıdır. Belirtilen saldırgan modeli veya saldırgan profili, risk analizinin sonuçlarını ve bilgi sistemi için güvenlik önlemlerinin seçimini daha da etkiler.”
Geri Dövme
Bununla birlikte, düşmanınızın kimliğini bilmiyorsanız, fidye yazılımı saldırılarının etkisini azaltmanın hala yolları vardır. İşte en iyi 10 uygulama adımı:
- Güncellenmiş güvenlik eğitimi ve farkındalık programlarıyla sosyal mühendisliği ele almak
- Hesapların uzun, güçlü ve benzersiz şifreler ve çok faktörlü kimlik doğrulama (MFA) ile korunduğundan emin olun
- Saldırıların “patlama alanını” azaltmak için segment ağları ve sınırlı yanal hareket
- Şüpheli davranışı erkenden tanımlamak için sürekli izleme (uç nokta tespit ve yanıt veya yönetilen algılama ve yanıt) dağıtın
- Düzenli Test Güvenlik kontrollerinin, politikaların ve süreçlerin etkinliğini sürekli iyileştirmeyi sağlamak için
- Gelişmiş güvenlik açığı ve yama yönetimi araçlarını dağıtın
Tüm hassas varlıkların, masaüstleri, sunucular ve dizüstü bilgisayarlar/mobil cihazlar dahil olmak üzere saygın bir tedarikçiden çok katmanlı güvenlik yazılımı tarafından korunduğundan emin olun
- Güvenilir bir ortaktan tehdit istihbaratına yatırım yapın
- En iyi uygulama doğrultusunda düzenli yedeklemeler yapın
- Etkili bir olay müdahale stratejisi ve periyodik olarak uygulama tasarlayın
Bir tahmine göre, örgütlü suç, geçen yıl veri ihlallerinin% 60’ını, sadece% 5’i ulus devletlere atfedildi. Ancak ikinci pay büyüyor ve ihlallerin kendilerinin kuruluşunuz üzerinde büyük bir etkisi olabilir. Sürekli farkındalık ve proaktif risk yönetimi esastır.