.jpg)
Günümüzün dijital çağında siber güvenlik, özellikle Çin hükümetine bağlı devlet destekli siber casusluk aktörlerinin ortaya çıkmasıyla birlikte kritik bir endişe kaynağı haline geldi. Giderek daha karmaşık hale gelen saldırıları gerçekleştirmek için çeşitli sivil ve askeri gruplardan yararlanan Çin gelişmiş kalıcı tehdit (APT) grupları, önemli kaynaklarla donatılmış olup, yeteneklerini geliştirdikçe ve hedef aralıklarını genişlettikçe küresel bir tehdit oluşturuyor. Zamanla Çinli APT grupları, Google, Adobe ve Dow Chemical gibi şirketlerin yanı sıra diğer askeri, ticari, araştırma ve endüstriyel şirketlere yönelik siber casusluk saldırılarına da karıştı.
Bu saldırılar endişe verici ve önlenmesi zor olsa da, savunmacıların üstünlüğü korumak için kullanabileceği temel bir zayıflığa sahiptirler.
Siber Casusluk Araç Kutusunda Bir Araç Daha
Doğası gereği siber casusluk gizli olacak şekilde tasarlanmıştır. Amaç, hedeflenen kuruluşu veya ülkeyi izinsiz giriş konusunda uyarmadan hassas bilgilere gizlice erişmek ve bunları almaktır. Saldırılar fark edilebilir veya açık olsaydı, hedefler muhtemelen ihlali tespit edecek ve bu da saldırıyı sonlandırmak ve sistemi güvence altına almak için acil adımlar atılmasına yol açacaktı. Bu, saldırganın hedeflerine ulaşmasını engelleyecek ve hedefin halihazırda açığa çıkmış sırlardan kaynaklanan riski tanımlamasına ve yönetmesine olanak tanıyacaktır. Saldırı ne kadar gizli olursa saldırganlar sistem içinde o kadar fazla zaman harcayabilir ve böylece daha fazla veri çıkarılmasına olanak sağlanır. Gelişmiş aktörler, ortaya çıkmadan önce (eğer yakalanırlarsa) bir ağ içinde yıllarca kalabilirler. Gizli modda çalışmak aynı zamanda saldırganın anonimliğinin korunmasına da yardımcı olur; bu da intikamdan, yasal sonuçlardan veya jeopolitik etkilerden kaçınmak için çok önemlidir.
Siber casusluk araç kutusunda, özellikle Çinli APT grupları için son derece etkili bir yöntem, tedarik zinciri saldırısıdır. Burada bilgisayar korsanları, hedeflenen kuruluşun güvenilir bir üçüncü taraf tedarikçisini tehlikeye atar. Daha sonra kurbanın ağına sızmak için bu dayanaktan yararlanırlar. Bu tür organizasyonlara (genellikle son derece güvenli olan) başarılı bir şekilde sızmak, çoğu zaman gelişmiş saldırı yetenekleri gerektirir. Ancak bu erişim bir kez sağlandığında, bu saldırılara karşı savunmanın oldukça zorlu hale geldiği biliniyor. Çeşitli potansiyel hedeflere tek noktadan erişim sunarak uzun süreli, gizli erişim isteyen devlet destekli düşmanların tercih ettiği bir çalışma yöntemi haline getiriyorlar.
Storm-0558: Siber Güvenlik için Uyandırma Çağrısı
Çin merkezli tehdit aktörü Storm-0558’in son istismarı, sürekli dikkatli olunması gerektiğinin altını çiziyor. Mayıs 2023’te Microsoft araştırma ekibi, Çin tarafından desteklendiğine inanılan bir grup olan Storm-0558 tarafından gerçekleştirilen bir tedarik zinciri saldırısını açıkladı. Grup, Microsoft’un kodundaki sıfır gün güvenlik açığından yararlanarak aktörlerin geçersiz belirteçler oluşturmasına ve kullanmasına olanak tanıdı. Bu yeteneği kullanan grup, yaklaşık 25 kuruluşun e-posta verilerine yetkisiz erişim elde etmeyi başardı. Çin ile olan ilişki, grubun diğer Çinli tehdit aktörleriyle benzerlikler taşıyan operasyonel casusluk taktikleri ve yöntemlerinden ve hedeflerin niteliğinden anlaşılarak Çin’in daha geniş jeopolitik niyetlerine işaret ediyor.
Microsoft yakın zamanda Storm-0558’in faaliyetleri hakkında kapsamlı bir araştırma çalışması yayınladı. Sağlanan mevcut güvenlik ihlali göstergelerine dayanarak, güvenlik ekiplerinin proaktif olarak bu aktörün ağlarına geçmişte veya devam eden izinsiz girişine ilişkin potansiyel işaretleri araması önemle tavsiye edilir. Kullanıcı e-postalarına yetkisiz erişim, göze çarpan bir tehlike işareti görevi görür ve acil eylem gerektirir. Bilinmeyen gönderenlerden e-posta almak veya beklenmedik e-posta yönlendirmelerini gözlemlemek gibi düzensiz e-posta kalıpları da bu grubun olası bir ihlaline dair güçlü göstergelerdir. Son olarak, özellikle şifreler veya güvenlik sorularıyla ilgili olmak üzere hesap ayarlarında yapılan herhangi bir değişiklik, hesabınızın bütünlüğünün risk altında olduğu anlamına gelebilir.
Adli Veri Gölleri: Devlet Destekli Siber Casusluğu Açığa Çıkaran Dijital Ayak İzleri
Özellikle Çin’in Storm-0558 gibi devlet destekli tehdit aktörlerinden gelen siber casusluk saldırılarını önlemek zor olabilir. Ancak bu saldırıların kritik bir zayıf noktası var: Gizliliğe güvenmeleri. Operasyonlarının ve araçlarının açığa çıkmasından korktukları için adli iz bırakmayı göze alamazlar. Bunu anlamak savunmacılara belirgin bir avantaj sağlar. Kapsamlı adli kayıt ve depolama yetenekleriyle donatılmış bir ortam, bu aktörler için önemli bir risk oluşturmaktadır. Saldırganın küçük bir dikkatsizliği bile adli soruşturmayı tetikleyebilir. Zengin ve bakımlı bir adli veri gölü, doğru şekilde kullanıldığında yalnızca devam eden bir saldırıyı ortaya çıkarmakla kalmaz, aynı zamanda basamaklı bir etki de yaratır. Bir dizi araç ve yöntemin açığa çıkarılması, yalnızca ilk hedefe değil aynı zamanda diğer potansiyel hedeflere yönelik geçmiş, devam eden ve gelecekteki saldırıların tespit edilmesine yardımcı olabilir. Sonuç olarak, sağlam ve etkili bir adli veri gölü oluşturmak ve sürdürmek, Storm-0558 gibi aktörlerle mücadelede en etkili stratejilerden birini temsil etmektedir.
Dijital ortam giderek daha fazla entegre hale geldikçe, özellikle Storm-0558 gibi Çinli kuruluşların devlet destekli siber casusluk faaliyetleri önemli küresel güvenlik riskleri oluşturuyor. Bu tür karmaşık tehditleri hem açığa çıkarabilecek hem de bunlarla mücadele edebilecek potansiyel karşı önlemleri sağlayan sağlam ve etkili bir adli tıp yaklaşımının benimsenmesi son derece önemlidir.