Kaspersky Lab’in Anti-Hedefli Saldırı Platformu, Eylül 2015’te müşterisi bir kuruluşun ağında yer alan olağandışı bir özelliği işaretledi
Bu, araştımacıları devlet kuruluşları arasındaki her bir kurbanına bir dizi özgün araç ile saldırarak geleneksel risk göstergelerini işe yaramaz hale getiren, ulus-devletlerin tehdidi ProjectSauron’a yöneltti. Saldırıların amacı daha çok siber-casusluk gibi görünüyordu.
ProjectSauron özellikle şifreli haberleşmelere erişim sağlamakla ilgileniyor. Bir dizi özgün araç ve teknikle çalışan gelişmiş bir modüler siber-casusluk platformu kullanarak bu haberleşmeleri ele geçiriyor. ProjectSauron’in taktiklerinin en dikkat çekici özelliği ise belirli kalıplardan dikkatli bir şekilde kaçınması: ProjectSauron altyapısını ve implantlarını her bir hedefe göre özelleştiriyor ve onları bir daha asla kullanmıyor. Çalıntı verilerin tahliyesini sağlayan yasal e-posta kanalları ve DNS gibi çoklu yollar ile birlikte bu yaklaşım, ProjectSauron’in hedef ağlar üzerinde gizli ve uzun vadeli casusluk operasyonları yürütebilmesini sağlıyor.
ProjectSauron, gizli kalabilmek adına Duqu, Flame, Equation ve Reign’in de aralarında bulunduğu diğer aşırı gelişmiş aktörlerin en yenilikçi tekniklerinden bazılarını kullanarak ve taktiklerini geliştirerek; onlardan öğrenmeye büyük çaba sarf eden tecrübeli ve geleneksel bir aktör izlenimi vermekte.
Önemli Özellikler
İlgi çekici ProjectSauron araçları ve teknikleri şunlar:
- Benzersiz ayak izi: Farklı dosya adları ve boyutlarına sahip ve her bir hedef için özel olarak üretilmiş çekirdek implantlar – bu özellik tespit edilmeyi oldukça zorlaştırıyor çünkü aynı temel risk göstergeleri, başka herhangi bir hedef için küçük değerlere sahip olacaktır.
- Bellek üzerinde çalışması: Çekirdek implantlar yasal yazılım güncelleme kodlarından yararlanır ve arka kapı görevi görürler. Tamamen bellek üzerinde, yeni modüller indirir veya saldırgandan gelen komutları çalıştırırlar.
- Şifreli haberleşmelere yönelik eğilimi: ProjectSauron, aktif olarak nadir ve özel ağ şifreleme yazılımına ait bilgi arar. Bu istemci-sunucu yazılımı, birçok hedef kuruluş tarafından haberleşmeleri, ses, e-posta ve belge alışverişlerini güvence altına almak için yaygın olarak kullanılmakta. Saldırganlar şifreleme yazılımına ait bileşenler, anahtarlar, yapılandırma dosyaları ile birlikte ağlar arasındaki şifreli mesajları aktaran sunucuların yerleri ile özellikle ilgileniyor.
- Kod tabanlı esneklik: ProjectSauron aktörü, üst düzey LUA kodları ile düzenlenen bir dizi düşük seviye araç kullanmakta. Kötü amaçlı yazılımlarda LUA bileşenleri oldukça nadiren kullanılır – bunlar daha önce sadece Flame ve Animal Farm saldırılarında tespit edildi.
- Air-gap’leri atlaması: ProjectSauron, internet bağlantısından izole edilmiş (air-gapped) ağların üzerinden atlamak için özel olarak hazırlanmış USB sürücülerini kullanır. Bu USB sürücüleri çalıntı verilerin gizlendiği gizli bölmeler taşırlar.
- Çoklu tahliye mekanizmaları: ProjectSauron veri tahliyesi için, kurbandan çalınan verinin günlük trafik içerisinde saklanabildiği DNS ve e-posta gibi yasal kanalların da dahil olduğu birtakım yollar kullanır.
Coğrafya/kurban profili
Bugüne kadar Rusya, İran ve Ruanda’da bulunan 30 kurban kuruluş tespit edildi ayrıca İtalya kurbanlardan olabilir. Kaspersky Lab, daha pek çok kuruluşun, ülke ve bölgenin etkilenme olasılığı bulunduğuna inanıyor.
Analizler sonucunda, hedeflenen kuruluşların genel olarak devlet hizmetlerinde önemli rol oynadıkları görülmüş. Bu kuruluşlar arasında:
- Hükümet,
- Ordu,
- Bilimsel araştırma merkezleri,
- Telekom operatörleri,
- Finansal kuruluşlar bulunuyor.
Adli analiz, ProjectSauron’in Haziran 2011’den beri faaliyette olduğunu ve 2016’da halen aktif olduğunu belirtiyor. Kurban ağlara girmek için ProjectSauron’in kullandığı ilk enfeksiyon vektörü ise bilinmemekte.
Kaspersky Lab Baş Güvenlik Araştırmacısı Vitaly Kamluk, “Birtakım hedeflenmiş saldırılar artık düşük maliyetli, kolay temin edilebilen araçlara dayalı çalışır. Buna karşılık ProjectSauron ev yapımı, güvenilir ve özelleştirilebilir kodlara dayalı olarak çalışanlardandır. Diğer büyük tehdit aktörlerinin devrim niteliğindeki tekniklerini kullanmasına ek olarak; kontrol sunucusu, şifreleme anahtarları ve bunlar gibi özgün göstergeleri sadece bir seferliğine kullanması daha çok yenidir. Böylesi tehditlere karşı dayanabilmenin tek yolu, kurumsal iş akışında en ufak anomaliyi bile izleyen sensörler zincirine dayalı; ortada hiçbir şey yokken bile belirli kalıpların peşine düşecek adli analiz ve tehdit zekasıyla zenginleştirilmiş birçok güvenlik katmanını devreye sokmaktır” dedi.
Operasyonun maliyeti, karmaşıklığı, devamlılığı ve nihai hedefi: bir ulus devletin desteklediği veya dahil olduğu, devletle bağlantılı kuruluşlardan gizli bilgileri çalmak.
Kaspersky Lab güvenlik uzmanları, kuruluşlara BT ağlarını ve uç noktalarını kapsamlı bir denetimden geçirmelerini ve şu tedbirleri uygulamalarını tavsiye ediyor:
- Yeni veya mevcut uç nokta korumasının yanına bir de anti-hedefli saldırı çözümü getirin. Uç nokta koruması kendi başına yeni nesil tehdit aktörlerine karşı yeterli değildir.
- Kullandığınız teknoloji bir anomali saptarsa uzmanlardan yardım alın. En gelişmiş güvenlik çözümleri, saldırıları gerçekleştikleri sırada bile fark edebilir ve bazen sadece güvenlik uzmanları büyük saldırıları etkili bir biçimde engelleyebilir, hafifletebilir ve analiz edebilir.
- Yukarıdakileri tehdit zekası servisleriyle birlikte temin edin: Bu, güvenlik ekiplerini tehditlerin, saldırı trendlerinin ve dikkat edilecek işaretlerin geçirdiği güncel evrimler hakkında bilgilendirir.
- Birçok büyük saldırı bir spear-phishing ile veya çalışanlara yönelik diğer yollarla başladığından, personelin sorumlu siber davranış sergilediğinden ve bunu anladığından emin olun.
#ÜstDüzeyCasuslukPlatformu #KasperskyLab #ProjectSauron #ITNetwork #ITNetworkDergisi
Son Yorumlar