Yıllar boyunca, kişisel bilgisayarlardan ve akıllı cihazlardan, Nesnelerin İnterneti (IoT) içindeki giderek genişleyen bağlı cihazlar dizisine kadar her şeyi hedef alan bir dizi siber saldırıya tanık olduk. Ancak siber tehditlerin manzarası, bilgisayar korsanlarının kullandığı yöntemlerdeki endişe verici değişimle birlikte önemli ölçüde gelişti. Bu tür yöntemlerden biri, tehdit aktörlerinin yalnızca hedefin iç sistemlerini değil, aynı zamanda komşularının Wi-Fi ağları gibi dış unsurları da yetkisiz erişim elde etmek için tehlikeye attığı saldırıların giderek daha karmaşık hale gelmesidir.
Saldırı metodolojisindeki bu değişimin en önemli örneği, Rus istihbarat teşkilatlarıyla bağlantılı tanınmış bir tehdit aktörü olan Fancy Bear’dır. APT28 veya Forest Blizzard olarak da anılan bu grup, en az Şubat 2022’den bu yana bu yeni saldırı stratejisi biçimi altında faaliyet gösteriyor. Özellikle dikkat çekici olan şey, ilk doğrulanan kurbanlarının Ukrayna’da bulunan hem kamu hem de özel kuruluşlar olmasıydı. Rusya ile gergin jeopolitik ilişkiler.
Aslında Fancy Bear’ın erişim alanı Ukrayna’nın ötesinde çok daha geniştir. Saygın bir tehdit istihbarat platformu olan Volexity’ye göre, Rusya bağlantılı aynı grup artık operasyonlarını ABD’deki kuruluşları hedef alacak şekilde genişletti. Volexity, bu gelişmiş kalıcı tehdit (APT) aktörlerinin izlenmesinde ön saflarda yer almış ve onların taktikleri ve kampanyaları hakkında ayrıntılı bilgiler sağlamıştır. Fancy Bear’ın oluşturduğu tehditlerin karmaşıklığı ve ölçeği göz önüne alındığında Volexity, Rus tehdit aktörlerini yakın gözetim altında tuttu ve onları günümüzde faaliyet gösteren en aktif ve tehlikeli gruplardan biri olarak gördü.
Bu yakınlığa dayalı saldırıların ardındaki strateji, özünde aldatıcı derecede basittir: Fancy Bear, genellikle aynı coğrafi bölgede, hatta aynı bina veya komplekste, birincil bir hedefin yakınında bulunan birden fazla kuruluşa yönelik bir saldırı zinciri başlatır. Bu “zincirleme” yaklaşımında, saldırgan ilk olarak yakındaki bir organizasyonun (A) güvenliğini tehlikeye atar ve ardından bu dayanağı başka bir organizasyona (B) sızmak için kullanır. Saldırganlar buradan üçüncü bir organizasyonu (C) tehlikeye atmaya devam eder ve sonunda bu ara ihlallerden elde edilen kimlik bilgilerini ve erişimi kullanarak birincil hedefe son saldırılarını başlatır.
Volexity araştırmacıları, bu tür saldırıların başarısının büyük ölçüde hedef kuruluşlarda uygulanan güvenlik önlemlerine bağlı olduğuna dikkat çekti. Özellikle, bu kimlik bilgisi doldurma saldırılarının, kurban kuruluşlar Çok Faktörlü Kimlik Doğrulama (MFA) kullanmadığında başarı şansı daha yüksektir. Ek bir güvenlik katmanı olarak MFA olmadan, saldırganlar çalınan veya tahmin edilen kimlik bilgilerinden çok daha kolay şekilde yararlanabilir, böylece başarılı bir sızma olasılığı artar.
Wi-Fi ağlarına saldırma kavramı tamamen yeni olmasa da, yerel bir alandaki ağların güvenliğini ihlal ederek hedefli bir saldırı başlatmaya yönelik bu özel taktik, yeni ve endişe verici bir gelişmedir. Şimdiye kadar hiçbir devlet destekli tehdit aktörü, özellikle de Fancy Bear’ın kaynaklarına ve ölçeğine sahip olan bir aktör, bu tür yakınlık temelli saldırılarla açıkça ilişkilendirilmemişti. Bu yaklaşım, yalnızca birincil hedefi değil, aynı zamanda nihai hedefe ulaşmak için potansiyel olarak basamak taşı olarak kullanılabilecek çevredeki işletme veya kurum ağını da içerdiğinden, kuruluşların savunma yapması gereken yeni bir karmaşıklık ve zorluk katmanı ekler.
Fancy Bear, ağlara sızmak ve hassas verileri çalmak için çeşitli araç ve teknikleri kullanma konusunda uzun bir geçmişe sahiptir. Sıfır gün saldırıları, gelişmiş kötü amaçlı yazılımlar ve hedef odaklı kimlik avı kampanyaları kullanmalarıyla tanınan grup, geçmişte bir dizi yüksek profilli siber saldırıya karışmıştı. Önceki istismarları arasında, 2016 ABD başkanlık seçimleri sırasında Demokratik Ulusal Komite’nin (DNC) e-posta sunucularının ihlali yer alıyor; bu olay, demokratik süreçlere dış müdahale konusunda yaygın endişelere yol açmıştı. Kurbanları, Fransa’nın TV5Monde medya kuruluşunun, Beyaz Saray’ın, NATO üye ülkelerinin ve hatta Fransa Cumhurbaşkanı Emmanuel Macron’un başkanlık e-posta sunucularının e-posta sunucularının hacklenmesi dahil olmak üzere birçok ülke ve sektöre yayıldı.
En Yakın Komşu saldırılarının yeni dalgası, siber savaş taktiklerinde tehlikeli bir tırmanışı temsil ediyor; çünkü devlet destekli aktörlerin hedeflerine sızmak ve kritik bilgileri çıkarmak için ne kadar ileri gitmeye istekli olduklarını gösteriyor. Ayrıca kuruluşların, özellikle ağ erişimi ve kimlik doğrulama yöntemleri söz konusu olduğunda, daha güçlü güvenlik protokolleri uygulama ihtiyacını da vurguluyor. Bu saldırıların artan karmaşıklığı, gelişen tehditlere ayak uydurmak için siber güvenlik savunmalarının sürekli olarak güncellenmesi ve iyileştirilmesinin önemini güçlendiriyor.
Özetle, Fancy Bear’ın en son taktikleri, siber tehditlerin gerçekleştirilme biçimindeki değişimi gösteriyor. Tehdit aktörleri artık yalnızca hedef kuruluşun kendisine odaklanmak yerine, bir saldırı zincirini kolaylaştırmak için yakındaki ağlardan yararlanıyor. Sonuç olarak, hem büyük hem de küçük kuruluşların, giderek daha karmaşık hale gelen bu saldırıların kurbanı olma riskini en aza indirmek için Çok Faktörlü Kimlik Doğrulama ve ağ bölümlendirme gibi önlemleri içeren kapsamlı güvenlik stratejilerini benimsemeleri zorunludur.
Reklam