Beş Göz istihbarat ittifakına bağlı siber güvenlik teşkilatları, çığır açan bir tavsiye belgesinde, Rusya’nın SVR istihbarat servisleriyle bağlantılı kötü şöhretli bir siber casusluk grubu olan APT29 tarafından kullanılan karmaşık taktikleri, teknikleri ve prosedürleri (TTP’ler) ayrıntılı olarak açıkladı.
Midnight Blizzard, Dukes veya Cosy Bear gibi çeşitli takma adlarla bilinen APT29, hükümet, sağlık hizmetleri ve askeri kuruluşlar da dahil olmak üzere çok çeşitli sektörlerde bulut tabanlı altyapıyı hedef alan bir dizi yüksek profilli siber casusluk faaliyetine karışmıştır. .
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Küresel Bir Tehdit
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ile ABD, Avustralya, Kanada ve Yeni Zelanda’daki muadillerinin ortak çalışması olan bu danışma belgesi, APT29’un oluşturduğu küresel tehdidin altını çiziyor.
Grubun faaliyetleri, dünya çapındaki istihbarat ve siber güvenlik toplulukları için önemli bir endişe kaynağı olmuştur; operasyonları yüksek düzeyde karmaşıklık ve istihbarat toplamaya net bir şekilde odaklanmıştır.
APT29’un siber casusluk taktiklerindeki evrimi, küresel siber güvenliğin değişen manzarasını yansıtıyor. Kuruluşlar bulut tabanlı sistemlere giderek daha fazla geçiş yaptıkça, APT29 stratejilerini bu ortamlardan yararlanacak şekilde uyarladı.
Öneri, grubun geleneksel şirket içi ağ saldırılarından daha karmaşık bulut hizmeti saldırılarına geçişini vurgulayarak, bulut altyapısının doğasında bulunan güvenlik açıklarından yararlanmaya yönelik stratejik bir dönüşe işaret ediyor.
Gelişmiş Taktikler Açıklandı
Bu danışma belgesi, APT29’un işleyiş şeklinin derinlemesine bir analizini sunarak, grup tarafından bulut ortamlarına sızmak için kullanılan birkaç temel taktiği açığa çıkarıyor:
- Hizmet ve Aktif Olmayan Hesabın Suiistimali: APT29, genellikle daha az korunan ve yüksek ayrıcalıklara sahip hizmet hesaplarına erişim sağlamak için kaba kuvvet ve parola püskürtme saldırılarını başarıyla kullandı. Ayrıca grup, yetkisiz erişim elde etmek için düzenli izleme ve bakım eksikliğinden yararlanarak hareketsiz hesapları hedef alıyor1.
- Bulut Tabanlı Jeton Kimlik Doğrulaması: Aktörler, kurbanların hesaplarını doğrulamak ve bunlara erişmek için şifre ihtiyacını atlayarak çalıntı erişim jetonlarını kullanıyor. Bu teknik, bulut ortamlarında1 belirteç tabanlı kimlik doğrulama mekanizmalarının güvenliğinin sağlanmasının ve izlenmesinin önemini vurgulamaktadır1.
- MFA Bypass ve Cihaz Kaydı: APT29, kurbanları birden fazla kimlik doğrulama isteğiyle bunaltmak için ‘MFA bombalaması’ gibi taktikler kullanıyor ve sonunda çok faktörlü kimlik doğrulamayı atlıyor. Ayrıca cihazlarını ele geçirilen bulut kiracılarına kaydederek kendilerini kurbanın altyapısına yerleştiriyorlar1.
- Konut Proxylerinin Kullanımı: Tespit edilmekten kaçınmak için APT29, yerleşik proxy’leri kullanır ve kötü amaçlı trafiğinin meşru yerleşik IP adreslerinden kaynaklanıyormuş gibi görünmesini sağlar. Bu taktik, IP itibarına dayalı olarak kötü amaçlı etkinliklerin tanımlanmasını ve engellenmesini zorlaştırır.
Bu rapor, herkesin erişebileceği, gerçek hayattaki gözlemlere dayanan, düşman taktikleri ve yöntemlerine ilişkin bir bilgi tabanı olan MITRE ATT&CK® çerçevesi kullanılarak hazırlanmıştır.
| Taktik | İD | Teknik | Prosedür |
|---|---|---|---|
| Kimlik Bilgisi Erişimi | T1110 | Kaba zorlama | SVR, ilk enfeksiyon vektörü olarak parola püskürtme ve kaba zorlamayı kullanır. |
| İlk Erişim | T1078.004 | Geçerli Hesaplar: Bulut Hesapları | SVR, sistem ve hareketsiz hesaplar da dahil olmak üzere bulut hizmeti hesaplarına erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanır. |
| Kimlik Bilgisi Erişimi | T1528 | Uygulama Erişim Simgesini Çalın | SVR, hesap erişimi elde ettikten sonra cihazını bulut kiracısına kaydetmeye çalışır. |
| Kimlik Bilgisi Erişimi | T1621 | Çok Faktörlü Kimlik Doğrulama İsteği Oluşturma | SVR, erişim günlüklerindeki beklenen IP adresi havuzlarıyla uyum sağlamak için konut IP aralıklarında açık proxy’ler kullanır. |
| Komuta ve kontrol | T1090.002 | Proxy: Harici Proxy | SVR, şifreleri olmayan hesaplara giriş yapmak için çalıntı erişim jetonlarını kullanıyor. |
| Kalıcılık | T1098.005 | Hesap Manipülasyonu: Cihaz Kaydı | Hesap erişimi elde ettikten sonra SVR, cihazını bulut kiracısına kaydetmeye çalışır. |
Azaltma ve Savunma Stratejileri
Tavsiye belgesi, APT29’un gelişmiş taktiklerini engellemede sağlam siber güvenlik temellerinin kritik önemini vurguluyor.
Kuruluşların çok faktörlü kimlik doğrulamayı uygulamaları, güçlü parola politikaları uygulamaları ve etkin olmayan hesapları düzenli olarak gözden geçirmeleri ve devre dışı bırakmaları teşvik edilmektedir.
Ayrıca, yetkisiz erişim riskini en aza indirmek için hizmet hesapları için en az ayrıcalık ilkelerinin benimsenmesi ve oturum belirteçlerinin izlenmesi önerilir.
Beş Göz’ün bu karmaşık bulut saldırı taktiklerini kolektif olarak APT29’a atfetmesi, devlet destekli siber casusluk gruplarının oluşturduğu kalıcı ve gelişen tehdidin açık bir hatırlatıcısıdır.
APT29’un TTP’lerine ilişkin ayrıntılı bilgiler paylaşan danışma belgesi, küresel siber güvenlik savunmalarını güçlendirmeyi ve gelecekteki uzlaşmaları önlemeyi amaçlıyor.
Sonuç olarak, danışma belgesi APT29 tarafından kullanılan gelişmiş tekniklere ışık tutuyor ve kuruluşların bulut güvenliği duruşlarını güçlendirmeleri için uygulanabilir rehberlik sağlıyor.
Siber tehditler geliştikçe, uluslararası işbirliği ve bilgi paylaşımı, APT29 gibi gelişmiş düşmanlara etkili bir şekilde karşı koymak için kritik öneme sahip olmaya devam ediyor.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.