Yazan: Riyaz Tambe, Kıdemli Direktör, Satış Mühendisliği, Hindistan, Zscaler
Günümüz koşullarında siber saldırıların sayısının ve karmaşıklığının katlanarak arttığını söylemek, dünyanın güneşin etrafında döndüğünü söylemek gibidir. Bu açık bir ifade olsa da çoğu BT güvenlik ekibinin her gün mücadele etmek zorunda olduğu bir gerçektir. Buna göre ThreatLabz Şifreli Saldırıların Durumu 2023 raporuYalnızca APAC, şifreli saldırı isabetlerinde yüzde 46’lık bir artış gördü; Hindistan’da ise bir önceki yıla göre yüzde 27’lik bir artış gözlemlendi.
Fidye yazılımları ve kötü amaçlı yazılımlar sıklıkla manşetlerde yer alsa da, Uzaktan Erişim Truva Atları (RAT’lar) arka planda sessizce gizleniyor ve dünya çapındaki ve Hindistan’daki kuruluşlar için önemli bir tehdit olduğunu kanıtlıyor.
Temel olarak sistemleri şifreleyerek ve fidye alarak finansal kazanç elde etmeyi amaçlayan fidye yazılımlarının aksine, RAT’lar saldırganlara ele geçirilen cihazlar üzerinde tam yetki verir. Bu onlara kullanıcı kimlik bilgileri, şifreler ve finansal bilgiler gibi hassas verileri alma izni verir.
Ek olarak, bu kötü amaçlı araçlar, saldırganlara çevrimiçi etkinlikleri izleme, göz atma geçmişlerini toplama, e-postaları ve sohbet kayıtlarını ele geçirme ve hatta istilacı gözetim için web kameralarına el koyma yetkisi verir. Bu gizli sızma bireylere, kuruluşlara ve ulusal güvenliğe yönelik ciddi bir risk teşkil ediyor ve acil müdahale gerektiriyor.
Uzaktan Erişim Truva Atlarını (RAT’lar) Doğaya Salma
Uzaktan Erişim Truva Atları veya RAT saldırıları genellikle meşru uygulamalar gibi görünen kötü amaçlı yazılımların dağıtımı yoluyla kullanıcıların aldatılmasını içerir. Bu taktiğin yakın zamanda bir örneğini gözlemledik. TehditLabz Aralık 2023’te.
Bu durumda tehdit aktörleri, Uzaktan Erişim Truva Atlarını şüphelenmeyen kullanıcılara dağıtmayı amaçlayan Skype, Google Meet ve Zoom gibi iyi bilinen video konferans platformlarını taklit eden sahte web siteleri oluşturdu. Aynı IP adresinde barındırılan ve Rusça olarak tasarlanan bu web siteleri, özellikle kullanıcıları kötü amaçlı dosyalar indirmeleri için kandırmak üzere tasarlandı.
Saldırganlar, meşru platformlara çok benzeyen, orijinal toplantı bağlantılarına çok benzeyen URL’lerle tamamlanan sahte web siteleri oluşturdu. Kullanıcılar bu sahte siteleri ziyaret ettiğinde, Android için APK veya Windows için BAT gibi dosyaları indirmeleri isteniyordu. Bu dosyalar indirildikten veya açıldıktan sonra, meşru uygulamalar gibi görünen kötü amaçlı dosyaların kurulumunu başlattılar ve böylece Uzaktan Erişim Truva Atı yazılımını kurdular.
Saldırganlar, bu RAT’ları kullanarak güvenliği ihlal edilmiş cihazlar üzerinde tam kontrol elde ederek hassas bilgilere erişmelerine, etkinlikleri izlemelerine ve veri hırsızlığı ve tuş vuruşlarını kaydetme gibi potansiyel olarak kötü niyetli eylemlerde bulunmalarına olanak tanır.
Hindistan, kötü şöhretli vakalar gibi örneklerle RAT kampanyalarının ana hedefi olmuştur. APT36 grubuÖzellikle Hindistan ve Pakistan’daki askeri veya siyasi bağlantıları olan bireyleri hedef alan ve RAT’ları yaygın olarak kullanan bir saldırı.
Dikkate değer bir diğer örnek ise Keçi, AndroRAT adı verilen açık kaynaklı RAT’ın değiştirilmiş bir versiyonu. Bu kötü amaçlı yazılım, kurbanların konumları, telefon görüşmesi geçmişi ve iletişim bilgileri gibi hassas bilgileri toplamasına olanak tanıyan çeşitli veri filtreleme yeteneklerine sahiptir.
Haşere Kontrolü: Uzaktan Erişim Truva Atlarından (RAT’lar) Kurtulmak
Hindistan’da hibrit çalışma modellerinin benimsenmesiyle birlikte çevrimiçi toplantı platformlarına olan bağımlılığın artması, Uzaktan Erişim Truva Atlarını kullanan siber suçlular için ideal bir ortam yarattı. Saldırganlara ele geçirilen cihazlar üzerinde sınırsız kontrol sağlamaları, kimlik bilgileri, finansal bilgiler gibi hassas verilerin çalınmasını ve çevrimiçi etkinlikleri izleme olanağını kolaylaştırmaları nedeniyle bu kötü amaçlı araçların doğasını anlamak çok önemlidir.
Hindistan’da çevrimiçi toplantı platformlarına olan bağımlılık arttıkça bireylerin ve kuruluşların güvende kalmak için atabileceği bazı adımlar şunlardır:
- Güvenlik farkındalığının ve eğitiminin teşvik edilmesi: Kuruluşlar, çalışanları ve kullanıcıları, alışılmadık uygulama veya dosyaların indirilmesiyle ilgili riskler konusunda eğitmek için siber güvenlik farkındalık programlarının yürütülmesine öncelik vermelidir. Bu, kimlik avı dolandırıcılıklarının tehlikeleri ve sosyal mühendislik taktikleri hakkında farkındalık yaratmayı da içerir.
- Sıfır Güven güvenlik modelini benimsemek: Sıfır Güven modelini benimsemek bir kuruluşun RAT saldırılarına karşı dayanıklılığını güçlendirebilir. Bu yaklaşım kimlik doğrulamayı vurgular, saldırı yüzeyini azaltır ve olaya müdahale yeteneklerini geliştirir.
- Ağ güvenliği önlemlerinin uygulanması: Uç nokta koruması ve web filtreleme gibi güçlü ağ güvenliği önlemlerinin uygulanması, kötü amaçlı etkinlikleri etkili bir şekilde tespit edip engelleyebilir.
- Olay müdahale planlarının geliştirilmesi: Kuruluşlar, potansiyel güvenlik olaylarını derhal ele almak ve etkilerini azaltmak için kapsamlı olay müdahale planları oluşturmalıdır.
- Yazılım güncellemelerinin bakımı: İşletim sistemlerini, uygulamaları ve güvenlik yazılımlarını düzenli olarak güncellemek, güvenlik açıklarını gidermek ve güvenlik açıklarını gidermek için çok önemlidir.
Bireyler ve kuruluşlar, Uzaktan Erişim Truva Atlarıyla ilişkili riskleri anlayarak ve teknik korumaları içeren çok katmanlı bir yaklaşımı uygulayarak siber güvenlik savunmalarını güçlendirebilirler. Bu, dijital varlıkları, kurumsal çıkarları ve ulusal güvenliği önemli ihlallerden korumak için gereklidir.
Sonuç olarak, çevrimiçiyken, özellikle de tanımadığınız web siteleriyle veya indirme istemleriyle karşılaştığınızda dikkatli olmak ve dikkatli davranmak son derece önemlidir. Herhangi bir indirme düğmesine basmadan önce daima URL’yi doğrulayın ve güvenilmeyen kaynaklardan yazılım indirmekten kaçının. Bu uygulamalar, RAT saldırılarının kurbanı olmaya karşı korunmaya yardımcı olabilir.
Yasal Uyarı: Bu konuk yazısında ifade edilen görüş ve görüşler yalnızca yazar(lar)a aittir ve The Cyber Express’in resmi politikasını veya konumunu yansıtmayabilir. Yazar tarafından sağlanan her türlü içerik kendi görüşüne aittir ve herhangi bir dini, etnik grubu, kulübü, kuruluşu, şirketi, kişiyi veya herhangi bir kişiyi veya herhangi bir şeyi kötüleme amacı taşımaz.