Flare’e göre, ilk erişim aracıları (IAB’ler) NATO üyesi devletlerdeki varlıkları giderek daha fazla hedef alıyor, bu da kalıcı ve coğrafi olarak çeşitlilik gösteren bir siber tehdit ortamına işaret ediyor.
IAB’ler, hedef odaklı kimlik avı, yamalanmamış güvenlik açıklarından yararlanma ve sızdırılmış ve çalınmış kimlik bilgilerinden yararlanma dahil olmak üzere çeşitli teknikler yoluyla sistemlere sızar ve yetkisiz erişim elde eder; temel amaç bu ortamlarda kalıcılık oluşturmaktır. Hırsız günlüklerinden sızdırılan kimlik bilgileri ve çerezler, IAB’lerin ilk erişim elde etmesi için yaygın bir vektör olabilir.
Flare, Rusça bilgisayar korsanlığı forumlarındaki yüzlerce IAB gönderisini analiz etti ve 31 NATO ülkesinden 21’inde yakın zamandaki faaliyetleri keşfetti; bu, IAB’lerin ulusal güvenliğe ve ekonomik istikrara yönelik oluşturduğu geniş erişimi ve tutarlı potansiyel tehdidi doğruladı.
ABD savunma sektörü hedefli siber saldırılarda artışa tanık oluyor
Raporun temel bulgularından biri, tehdit aktörlerinin NATO üye ülkelerindeki kritik altyapı sektörlerini hedeflemeyi tercih etmesidir; bu sektörlerin stratejik değeri, IAB’lerin siber suç pazarında daha yüksek fiyatlar talep etmesine olanak tanıyor. Raporda ayrıca IAB gönderilerinin anonimleştirilmiş yapısı ve tehdit aktörlerinin hassas ayrıntıları gizlemek için gösterdikleri dikkatli çabalar da vurgulanıyor; bu da mağdurların tespitinde zorluk yaratıyor.
Analiz, ABD savunma sektörüne yönelik hedefli siber saldırılara yönelik açık bir eğilime ve ABD savunma yüklenicilerine erişim için daha yüksek bir fiyat noktasına işaret ediyor. Bu, bu hedeflerin yüksek değerini yansıtıyor ve tehdit aktörlerinin savunmayla ilgili sistemlere sızmanın önemli etkisinin farkında olduklarını gösteriyor.
ABD savunma yüklenicilerine erişim, anında satın alma için ortalama 5.750 $ olarak fiyatlandırılırken, diğer tüm endüstriler için (aykırı değerler çıkarıldıktan sonra) ortalama 1.489 $’dır. Bu eşitsizlik, tehdit aktörlerinin son derece hassas ortamlara potansiyel erişim için yüksek bir bedel ödemeye istekli olduklarını gösteriyor.
NATO ülke altyapısının ortalama yıldırım fiyatı, tüm listelerde 2.742 dolarken, 6.396 dolardı. Aykırı değerleri ortadan kaldırmak için Çeyrekler Arası Aralık (IQR) yöntemini kullanan kritik altyapı için ortalama satış fiyatı hala yüksekti: kritik olmayan altyapı için 1.420 $’a karşılık 1.782 $.
Ulus devletler siber suç gruplarını kullanıyor
Bazı tehdit aktörlerinin kritik altyapı sektörlerinde belirgin bir yoğunlaşması mevcut. “Roblette” ve “Sandocan” gibi aktörler bu alanlara orantısız bir odaklanma sergiliyor ve siber suçluların potansiyel olarak daha yüksek mali kazançlar ve daha büyük etkiler için stratejik hedefleme yaptıklarını öne sürüyor.
Exploit gibi forumlardaki satıcıların, kurbanların kimliklerini tespit etmekten kaçınmak için genellikle hassas ayrıntıları gizleyen temkinli yaklaşımı, siber suçlular, araştırmacılar ve kolluk kuvvetleri arasında süregelen kedi-fare oyununun bir örneğidir.
Bunun tersine, yaygın kimlik avı ve sosyal mühendislik kampanyalarından kaynaklanan ve kimlik bilgileri doldurma veya parola püskürtme gibi taktiklerle sağlanan diğer olaylar tesadüfi gibi görünüyor.
Flare Pazarlama Başkan Yardımcısı Eric Clay, “Jeopolitik artık siber suçlardan ayrı tutulmuyor” dedi. “Küresel gerilimler arttıkça, ulus devletlerin hedeflerine ulaşmak için siber suç gruplarından doğrudan yararlanabileceği bir yayılma gördük.”
Potansiyel tehlikeleri tespit etmek için kuruluşların Exploit gibi forumları aktif olarak izlemesi çok önemlidir. IAB ilanlarının anonimleştirilmiş yapısı ve satıcıların ihtiyatlılığı göz önüne alındığında, kesin bir mağdurun belirlenmesi genellikle zordur.