[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, bu makalede yazarlar tarafından sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez. Bu blog, Georgia Eyalet Üniversitesi’nde Profesör olan David Maimon ile ortaklaşa yazılmıştır.
Web sitesi tahrifatı
Web siteleri ticari operasyonların merkezinde yer alır ancak aynı zamanda çeşitli siber saldırıların da hedefidir. Kötü niyetli bilgisayar korsanları, web sitelerini tehlikeye atmanın birkaç yolunu bulmuşlardır; en yaygın saldırı vektörü SQL enjeksiyonudur: web sitesini barındıran sunucuya yetkisiz erişim elde etmek için kötü amaçlı SQL kodu enjekte etme eylemi. Bilgisayar korsanı, sunucuya girdikten sonra hedef kuruluşun web sitesini tehlikeye atabilir ve orijinal içeriği kendi seçtikleri içerikle değiştirerek onu tahrip edebilir. Bu suç eylemi, web sitesi tahrifatı olarak adlandırılır. Geçmişteki web sitesi tahrifatlarının örnekleri için Şekil 1’e bakın.
Şekil 1. Geçmişteki web sitesi tahrifatlarına örnekler.
Bir web sitesine zarar verme eylemi önemsiz görünse de, mağdur edilen varlıklar için yıkıcı olabilir. Örneğin, bir e-ticaret sitesi kamuya açık bir şekilde tehlikeye girerse, doğrudan ve dolaylı mali kayıp yaşarlar. Doğrudan kayıplar, web sitesi tehlikeye atılmamış olsaydı elde edilecek gelir miktarı ve hasarlı siteyi onarmak için harcanan zaman ve para ile ölçülebilir. Dolaylı kayıplar, itibar zedelenmesi nedeniyle oluşur. Potansiyel müşteriler, varlıklarını koruma konusunda yetersiz olarak gösterilen ve algılanan bir kuruluşa bankacılık bilgilerini vermekten caydırılabilir.
Tehdit aktörleri
Çoğu bilgisayar korsanlığı biçiminin aksine, web sitesi tahrifatının halka açık bir bileşeni vardır. Saldırganlar, web sitelerini tehlikeye atma konusundaki başarılarından dolayı övgü almaya heveslidirler ve genel sosyal medya (örn. Facebook, Twitter, Youtube, vb.) dahil olmak üzere çeşitli platformlardaki istismarları hakkında övünmek ve belirli siteleri hacklemekle ünlüdürler. Bilgisayar korsanlarının başarılı tahrifatları bildirdiği en popüler platform . Platform kullanıcıları saldırılarının kanıtlarını yükler ve saldırı sitenin yöneticileri tarafından doğrulandıktan sonra kalıcı olarak arşivde barındırılır ve Zone-H’nin web sayfasında görüntülenebilir. Zone-H, dünyadaki en büyük bilgisayar korsanlığı arşividir: 160.000’den fazla benzersiz aktif kullanıcıyla Zone-H tarafından şimdiye kadar 15 milyondan fazla saldırı doğrulanmıştır. Şekil 2’de gösterildiği gibi arşiv, bilgisayar korsanlarının takma adını, saldırıya uğrayan web sitesinin alan adını ve tahrifat içeriğinin bir görüntüsünü (Şekil 1’de gösterilen görüntülere benzeyen) içerir.
Şekil 2. Zone-H: Dünyanın en büyük hack arşivi.
Bilgisayar korsanları, çevrimiçi kimliklerinin itibarını ve durumunu güçlendirmek için platformlar arasında aynı takma adı kullanma eğilimindedir; bu, sırasıyla saldırı ve saldırganla ilgili dijital eserlerin ve tehdit istihbaratının toplanmasına olanak tanır. Gerçekten de, başarılı tahriflerini Zone-H’ye bildiren aktif kötü niyetli bilgisayar korsanları hakkında 2017’den beri sistematik olarak veri topluyoruz ve bunu yaparken, bu yeraltı topluluğuna ışık tutan birkaç ilginç bulguyu ortaya çıkardık. Örneğin, Hollywood’un yalnız aktör klişesinin tam tersine, takımlar oluşturan ve işbirliği ve dostluk yoluyla becerilerini geliştiren birini gözlemledik. Bilgisayar korsanlarının saldırı sıklığında da farklılıklar bulduk: Bazı bilgisayar korsanları son derece üretkendir ve kalıcı tehditler olarak sınıflandırılabilirken, diğerleri ortadan kaybolmadan önce yalnızca birkaç saldırı gerçekleştirir. Bu bulgular bu çalışma için motivasyon kaynağı olmuştur.
Suç yörüngeleri
Son zamanlarda, hangi yeni bilgisayar korsanlarının suç kariyerlerinin başlangıcında kalıcı tehdit haline geleceğini tahmin edebilen bir analitik model oluşturduk. Çalışma, Zone-H arşivinde 241 yeni hacker tespit edilerek başladı. Daha sonra, bu bilgisayar korsanlarının her birini, ifşa edilen ilk web sitesi tahrifatlarından sonra bir yıl (52 hafta) boyunca izledik. Toplam saldırı sayısını kaydettik, tahrifatlarından içerik çıkardık ve analiz ettik ve bir dizi sosyal medyadan ve bilgisayar korsanlığı sitesinden açık kaynaklı istihbarat topladık. Toplamda, çalışmamızdaki 241 bilgisayar korsanı, bilgisayar korsanlığı kariyerlerinin ilk yılında 39.428 web sitesini tahrif etti. Örneğimizin %73’ünü bir sosyal medya sitesinde belirledik ve %50’sinin tahrifatlarını diğer bilgisayar korsanlığı arşivlerine de bildirdiğini gördük. Son olarak, her yeni bilgisayar korsanının ilk tahrifatının içeriğini çıkardık ve analiz ettik ve bilgisayar korsanlarının %39’unun bir bilgisayar korsanlığı ekibiyle ilişkisi olduğunu belirttiğini, %12’sinin siyasi içerik yayınladığını ve %34’ünün iletişim bilgilerini doğrudan güvenliği ihlal edilmiş sitede bıraktığını gördük.
Yörüngeleri çizmek için, örneğimizdeki bilgisayar korsanlarının her birinin, ilk tahriflerini takip eden 52 hafta boyunca her hafta en az bir web sitesini tahrif edip etmediğini belirlemek için önce veri setini ayrıştırmamız gerekti. Tamamlandıktan sonra, benzersiz suç yörüngelerinin var olup olmadığını ve kaç tane olduğunu belirlemek için gizli grup tabanlı yörünge modellemesi kullandık. Sonuçlar Şekil 3’te gösterilmektedir. Yeni bilgisayar korsanlarının dört kalıptan birini izlediğini bulduk: düşük tehdit (%28,8), doğal olarak ısrarcı (%23,9), artan üretkenlik (%25,8) ve sürekli tehdit (%21,5). Düşük tehdit (mavi çizgi) olarak sınıflandırılan bilgisayar korsanları, çok az tahrifat gerçekleştirir ve ilk saldırılarından sonraki bir yıl içinde saldırı sıklıklarını artırmazlar. Doğal olarak inatçı (kırmızı çizgi) olarak etiketlenenler, kariyerlerine hızla başlar, ancak bu kısa ömürlüdür. Tersine, giderek daha üretken (yeşil hat) olarak sınıflandırılanlar, suç kariyerlerinde ilerledikçe daha fazla saldırı düzenlerler. Son olarak, kalıcı tehdit olarak kabul edilenler (sarı çizgi) kariyerlerine hızla başlar ve üretken kalır. Bildiğimiz kadarıyla, yeni kötü niyetli bilgisayar korsanlarının yörüngelerini ilk belirleyen biziz.
Şekil 3. Yeni kötü niyetli bilgisayar korsanlarının bir yıllık gidişatı.
Yörüngeleri çizdikten sonra, yeni bir bilgisayar korsanının suç kariyerinin gelişimini tahmin etmek için açık kaynak istihbaratının ve dijital eserlerin kullanılıp kullanılamayacağını belirlemek için bir dizi regresyon modeli kullandık. Beklentimizin aksine, siyasi güdümlü bilgisayar korsanlarının doğal olarak vazgeçme olasılıklarının arttığını gördük. Bu bilgisayar korsanları, kariyerlerinin başlangıcında çok sayıda saldırı gerçekleştirebilse de, bu kısa ömürlüdür. Hevesli yeni bilgisayar korsanlarının amaçlarını basitçe gözden kaybettiklerinden veya sıkıldıklarından şüpheleniyoruz. Tersine, iletişim bilgilerini doğrudan güvenliği ihlal edilmiş siteye gönderen yeni bilgisayar korsanlarının doğal olarak vazgeçme olasılığı daha düşüktür. Sanal bir suç mahallini iletişim bilgileriyle etiketlemek cesur bir harekettir. Bu bilgisayar korsanlarının, cesaretleri için ödüllendirildiklerinden ve bilgisayar korsanlığı topluluğuna dahil olduklarından ve burada akranlarıyla birlikte web sitelerini tahrif etmeye devam ettiklerinden şüpheleniyoruz.
Kimin kalıcı bir tehdit haline geleceğini tahmin ederken farklı modeller ortaya çıktı. Sosyal medya etkileşiminin ve tahrif faaliyetini diğer platformlara bildirmenin kalıcı bir tehdit olma ihtimalini artırdığını bulduk. Bu, bağlılığa indirgenebilir: Markalarını birden fazla platformda yayınlayarak oluşturmaya kararlı olan bilgisayar korsanları, markalarını sürekli ve sık sık tahrif faaliyetleri yoluyla oluşturmaya da kararlıdır. En ilginç ama aynı zamanda sezgisel modeller, kimin giderek daha üretken hale geleceğini tahmin ederken ortaya çıkıyor. Diğer platformlara rapor veren bilgisayar korsanlarının ve ekip katılımının, kariyerlerinde ilerledikçe daha fazla saldırıda bulunduğunu gösterir. Bir bilgisayar korsanlığı ekibine katılmak, yeni bir bilgisayar korsanı için değerli bir eğitim deneyimidir. Acemi bir bilgisayar korsanı yeni beceriler öğrenirken, yeteneklerini daha fazla web sitesini tahrif ederek göstermeleri şaşırtıcı değildir.
Birlikte ele alındığında, bu bulgular proaktif siber güvenlik çözümlerinin geliştirilmesine ilişkin fikir vermektedir. Açık kaynak istihbaratının, hangi bilgisayar korsanlarının kalıcı tehdit haline geleceğini tahmin etmek için kullanılabileceğini gösteriyoruz. Yüksek riskli bilgisayar korsanlarını belirledikten sonra, bir sonraki mantıklı adımın, yeteneklerini daha yapıcı bir şeye yönlendirmeyi amaçlayan erken müdahale programları başlatmak olduğuna inanıyoruz. Siber güvenlik pozisyonları için genç bilgisayar korsanlarını işe almak, aynı anda kalıcı tehdit aktörlerini denklemden çıkarırken aynı zamanda ulusun beceri açığını doldurarak daha güvenli bir siber alan yaratabilir.
teşekkürler
Bu çalışma, Kanıta Dayalı Siber Güvenlik Araştırma Laboratuvarı’nın birkaç üyesiyle birlikte yürütüldü. Hacking projesine sürekli katılımları için Cameron Hoffman ve Robert Perkins’e teşekkür ediyoruz. Araştırma ekibimiz ve bu proje hakkında daha fazla bilgi için adresini ziyaret edin. Daha ileri siber güvenlik araştırmaları için Twitter’da takip edin.
reklam