Siber Savaş / Ulus-Devlet Saldırıları, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Güvenlik Duvarları, VPN’ler ve E-posta Filtresi Uç Nokta Taramasına Dirençlidir
Akşaya Asokan (asokan_akshaya) •
23 Nisan 2024
Mandiant, devlet destekli bilgisayar korsanlarının, gelişmiş ağ taramasına, odaklarını düzensiz uç nokta tespiti ve adli analizleri engelleyen özel yazılımlarla karakterize edilen uç cihazlara kaydırarak karşılık verdiği konusunda uyarıyor.
Rus istihbarat korsanlarının yanı sıra Rusça konuşan siber suçlular da güvenlik duvarları, sanal özel ağlar ve e-posta filtreleri gibi cihazları hedef aldı. Şirket, Pekin’in desteklediği Çinli bilgisayar korsanlarının özellikle uç cihazlar hakkında derinlemesine bilgi sahibi olduklarını ortaya koyduklarını belirtti. 2023 angajmanlarındaki trendleri ortaya koyan yıllık rapor.
VPN gibi birçok cihaz genellikle yeniden başlatılmadan aylarca çalışır, bu da bilgisayar korsanlarının kalıcılık kazanmasına ve hedef ağda uzun süre tespit edilmeden kalmasına olanak tanır.
Ayrıca bakınız: 2018 Tehdit Ortamına Karşı Gelişmiş Siber Tehdit İstihbaratı
Raporda “Saldırganlar daha çok kaçırmaya odaklanıyor” yazıyor. Uç nokta tespiti ve tepkisi gibi tespit teknolojilerinden kaçınmayı ve “ya uç cihazları hedefleyerek, ‘karadan yaşama’ ve diğer tekniklerden yararlanarak veya sıfır gün güvenlik açıklarını kullanarak ağlarda kalıcılığı mümkün olduğu kadar uzun süre korumayı hedefliyorlar” “[>
Uç cihaza odaklanmanın bir yan etkisi: Kimlik avı, Mandiant verilerine göre hâlâ son derece yaygın olmasına rağmen 2023’te azaldı. Mandiant Avrupa, Asya ve Afrika’nın danışmanlık idari direktörü Stuart McKenzie, “Ulus devlet saldırganlarının odak noktası, veri hırsızlığını amaçlayan gizli kampanyalar için yaygın olarak kullanılan düşük görünürlüklü araçları hedeflemeye kaydı” dedi.
Uç cihazları tercih eden tehdit aktörleri arasında UNC3886’yı takip eden Pekinli bir casusluk grubu olduğundan şüpheleniliyor. Grup, Mandiant çağrılarının, kötü amaçlı yazılım komut ve kontrolünü bir API olarak gizleyerek FortiManager ve FortiAnalyzer cihazlarını hedef alan kötü amaçlı yazılım Thincrust’u çağırdığı bir arka kapının arkasındadır. Grup ayrıca VirtualPita adlı bir müşteri kötü amaçlı yazılımını kullanarak konuk hipervizörlere erişmek için VMware ESXi sunucularındaki sıfır günden yararlandı.
Grup, FortiManager cihazlarında ters kabuk görevi görmek üzere halka açık rootkit’lerin yanı sıra grubun dağıttığı XOR kodlu bir IP adresini içeren TableFlip adlı bir ağ yeniden yönlendirme yardımcı programının arkasındadır.
UNC4841 olarak takip edilen başka bir şüpheli Çinli grup, Barracuda e-posta güvenlik ağ geçitlerinde sıfırıncı gün komut enjeksiyonunu kullanarak, yedek yapılandırmaya bulaşarak cihazın tamamen değiştirilmesinden sonra hayatta kalan Depthcharge adlı bir arka kapıyı dağıttı (bkz.: FBI, Saldırıya Uğrayan Barracuda ESG Cihazlarının Derhal Kaldırılması Çağrısında Bulundu).
Raporda “DepthCharge’in çeşitli yönleri, Barracuda ESG cihazı ve yazılım bileşenleri hakkında derinlemesine bilgi sahibi olunduğunu ortaya koydu” ifadesine yer veriliyor. “En dikkate değer olanı, saldırganın, cihazın yapılandırma veritabanında kötü amaçlı yazılımın kalıcılığını sağlayacak bir yöntem belirlemesiydi; bu yöntem, dışa aktarılan yapılandırmada da bulunmasına neden olacaktı.”
Halk arasında Sandworm olarak bilinen Rus askeri istihbarat tehdit grubu da Ukrayna’ya karşı savaş zamanı operasyonlarında tehlikeye atılmış ağ uç altyapısını kullanıyor (bkz.: Rus Kum Solucanı Hackleme Ekibinin Küresel Tehdidi).
Mandiant, ulus-devlet hacklemelerinin kolaylıkla dikkat çekebileceğini ancak siber savunucuların mali motivasyonlu saldırıları göz ardı etmemeleri gerektiğini söylüyor. FIN11 gibi finansal motivasyona sahip gruplar, gizliliğin yerine ölçeğe öncelik veriyor. Grup, MOVEit dosya aktarım hizmetinde sıfır günden yararlanma konusunda önemli bir oyuncuydu (bkz.: Bilinen MOVEit Saldırısının Kurban Sayısı 2.618 Kuruluşa Ulaştı).
Fidye yazılımı korsanları finansal motivasyona sahip en aktif tehdit grupları arasında yer alsa da rapor, tespit edilen yeni varyantların sayısı da dahil olmak üzere genel fidye yazılımı faaliyetlerinde önemli bir düşüş yaşandığını belirtiyor.
Mandiant, bu düşüşü kolluk kuvvetlerinin geçen yıl Alphv gibi gruplara yönelik başarılı baskılarına bağladı.
Mandiant’ın kıdemli tehdit istihbarat danışmanı Jamie Collier, fidye yazılımı ekosistemini bozmayı amaçlayan hükümetlerin bunun birçok düzeyine dikkat etmesi gerektiğini söyledi. “Yaptırımlar iyidir” dedi, “ancak etkili olmaları gerçekten uzun zaman alıyor, bu nedenle kolluk kuvvetleri yalnızca fidye yazılımı operatörlerini hedeflemek yerine, siber suç ekosistemindeki erişim aracılarının rolüne de eşit derecede dikkat etmeli ve onların anında sonuç almak için faaliyetler.”