“FireEye, dünyadaki en büyük özel siber istihbarat toplama operasyonlarından birini işletmektedir.
Mandiant araştırmalarımız sayesinde saldırılara maruz kalanlara dair elde edilen istihbaratlar, global MVX bulutumuzdan elde edilen ve makine ile üretilen istihbaratlar ve dünya çapında bulunan FireEye iSIGHT analistlerimizden gelen iki taraflı istihbaratlardan oluşan kapsamlı bir saldırı belirleme stratejimiz mevcuttur.”
Aşağıdaki tahminler FireEye iSIGHT Intelligence, Mandiant ve FireEye Labs ekiplerimizdeki üst düzey uzmanlardan gelmektedir. Mandiant, kuruluşların gelişmiş siber güvenlik tehditlerine karşı önlem alma ve bu tehditleri proaktif şekilde önlemesini sağlama konusunda lider konumundadır. FireEye iSIGHT Intelligence ekibi; küresel işletmelere saldırganların motivasyonu ve niyeti, uygulamaları ve teknik göstergeleri, kullandıkları zararlı yazılımlar ve kullandıkları güvenlik açıkları hakkında zengin bir içerik bilgisi sağlayan istihbaratlar üretir. Bunun yanında FireEye Labs, FireEye’ın onlarca ülkede bulunan milyonlarca şebeke ve uç nokta sensörü tarafından tespit edilen tehditleri sürekli olarak izleyen ve analiz eden tehdit araştırma ve analiz bölümüdür.
Saldırıları düzenleyenler
Yama ile düzeltilmemiş açıkları da saldırılarında kullanmaya devam edecektir. Hızla hareket ederek, sistemlerini ve ağlarını güncellemeyeceğini düşündükleri hedeflere karşı yüksek etkili güvenlik açıkları içeren saldırılar gerçekleştireceklerdir. Kuruluşlar ve kullanıcılar, uygulama ve ağ katmanı güncellemeleri de dâhil olmak üzere yamaları hızla uygulamaya çalışmalıdır. Yeni kuruluş çözümleri tüm değişikliklere hızlı şekilde uyarlanabilecek ve güvenlik ekiplerinin gerektiğinde kolayca güncelleyebileceği şekilde tasarlanmalıdır.
Kimse Yalnız Değildir, Herkes Birbirine Bağlıdır
EternalPetya (NotPetya), WannaCry ve BADRABBIT gibi yakın zamanda gördüğümüz geniş çaplı saldırılar kuruluşlara, doğrudan bir hedef olmasalar dahi bağlı altyapı nedeniyle dolaylı olarak etkilenebileceklerini gösterdi.
EternalPetya öncelikle Ukrayna’daki kuruluşları hedef alıyordu. Ukrayna’nın kritik öneme sahip altyapısının işleyişini zayıflatmayı amaçlayan gelecekteki siber operasyonlar, komşu ülkelere ve bölgede faaliyet gösteren işletmelere önemli oranda dolaylı zarar verebilir. EternalPetya, jeopolitik amaçlı siber saldırıların ilgili ülke ve komşu bölgelerde ciddi ekonomik zarara neden olabileceğini gösteren bir örnek olarak görülmelidir.
Kuruluşlar görünürlükle mücadeleye devam ederken ciddi ekonomik kayıplara neden olan bu tip olayları 2018 yılında da görmeye devam edeceğiz. Ayrıca, bu saldırılardan etkilenen kuruluşlar Genel Veri Koruma Yönetmeliği gibi yasalara uymadıkları gerekçesiyle ilerleyen zamanlarda cezalarla karşılaşabilir ve buna bağlı olarak ilgili kuruluşların sigorta primleri artabilir ve marka değerinde kayıp gibi risklerle de karşı karşıya kalınabilir.
Siber Saldırılara Karşı Bilinçlenme, Daha Karmaşık Saldırıların Planlanmasına Neden Oluyor
EMEA’daki ulus devletlerin müdahale kabiliyetlerinin, 2017 yılı boyunca çeşitli olduğu düşünülüyordu ancak yılın sonuna gelinirken bu ulus devletlerin yasal önleme şirketlerinden sıfır gün erişimi satın alarak müdahale olanaklarını geliştirmeye çalıştıkları görülmüştü. Bu akımın 2018 yılında da devam ederek, Avrupa çapında daha gelişmiş müdahalelere yol açacağını düşünüyoruz. Ayrıca, geçmişte görüldüğü gibi ulus devletler bu araçlarını sızıntılar, zayıf operasyon güvenliği ya da açıklar nedeniyle sonunda kaybedeceğinden ulus devletlerin dışında özellikle hızlı şekilde para kazanmaya çalışan siber suçlular gibi bu alanda gelişmeye başlayan gruplar da görebiliriz.
Dijital Cenevre Sözleşmesi’nin 2018’de Gerçekleşmesi Zor Görünüyor
2018’e yaklaşırken, siber suçlular ve ulusların desteklediği bilgisayar korsanları, yakalanma riski çok az olacak veya hiç olmayacak şekilde çalışmaya devam edecektir. Dijital bir Cenevre Sözleşmesine yönelik daha güçlü bir talep olmasına rağmen, 2018’de bunun olması muhtemel görünmüyor. Ülkeler siber alanda etkileşim kuralları belirlemelidir, ancak böyle bir anlaşmayı etkileyecek olan politikalar, bu sözleşmenin 2018 yılında gerçekleşmesini, imkânsız kılmasa bile, zor hale getirecektir. Bu nedenle, saldırganları ve bunlara ev sahipliği yapan ve/veya destekleyen ulusları da gündeme getirme konusu 2018’de önemli bir rol oynamaya devam edecektir.
Nesnelerin İnternetinde (IoT) Güvenlik Açıklarından Kaynaklanan Saldırılarda Artış
Zayıf şifreleri ele geçirerek CCTV kameraları ve modemleri büyük bir botnete yönlendiren kötü amaçlı bir yazılım olan ünlü Mirai’nin dâhil edildiği saldırılar dışında, 2017 yılında birçok Nesnelerin İnterneti (IoT) saldırısıyla karşılaştık. IoT cihazlarındaki açıkları kullanarak erişim sağlayan ve yayılan kötü amaçlı bir yazılım olan Reaper, bu saldırılardan biridir.
Bu tip saldırıların sonuçlarından biri de bu saldırıları düzenleyenlerin, genellikle web sayfası, oyun ve diğer internet hizmetlerini kesintiye uğratarak sonlandırmayı amaçlayan Dağınık Hizmet Reddi (Denial of Service – DDoS) saldırıları gibi büyük çaplı saldırılar gerçekleştirmek amacıyla güvenlik açığı bulunan milyonlarca IoT cihazını veri tabanlarına kaydedebilmesidir.
Bağlı cihazların sayısının sürekli arttığı göz önüne alındığında bu saldırıları yapanların yeni bulunan güvenlik açıklarından çok hızlı bir şekilde yararlanmaya çalışacakları söylenebilir. Önümüzdeki yıl büyük olasılıkla IoT tabanlı botnetlerde ciddi bir gelişme göreceğiz ve bununla birlikte saldırganların belirli IoT cihazlarını (akıllı buzdolapları ve ev otomasyonu gibi) fidye yazılımı kullanarak hedef aldığı olaylara da tanık olabiliriz. Ayrıca, işletme düzeyinde IoT cihazlarını hedef alan daha fazla saldırı da görebiliriz.
Çeşitli Saklanma Tekniklerini İçeren Çok Vektörlü Kimlik Avı Saldırıları
PDF dosyalarını kullanan geleneksel kimlik avı saldırılarında genellikle içerisinde gömülü bir URL bulunan bir PDF eki kullanılır. Alıcı PDF’te bulunan bu URL’e tıkladığında kimlik avı yapılan siteye yönlendirilir. Şu anda birçok e-posta teknolojisi PDF dosyasına gömülü olan URL’leri belirleyerek bunları alabilmekte ve analiz için gönderebilmektedir. Ancak saldırganlar da bu değişime ayak uydurmaktadır.
İçerisinde başka bir PDF’e bağlantı bulunan orijinal bir PDF dosyası kullanmak bu değişime ayak uydurmanın bir örneği olabilir. Bahsedilen ikinci PDF dosyasının içerisinde kimlik avı sayfasına yönlendiren URL bulunmaktadır ve böylece kullanıcıyı saldırılara maruz bırakabilmektedir.
Saldırganların kullandığı tekniklerden bir diğeri de URL gizlemedir. Saldırganların URL doğrulama teknolojilerinde kullanılan ön filtrelerden gizlenmek üzere tasarlanan şifreli (örneğin hex tabanlı) URL’ler oluşturulduğu saldırılara şahit olduk. Bu alanda yaygın olan başka bir trend de HTTP dışı protokollerin kullanılmasıdır. Kimlik avı saldırıları, güvenlik teknolojilerinden gizlenmek için kullanılabilecek FTP gibi HTTP olmayan protokollere yönelmektedir. Daha çok hedefli saldırılarda kullanıldığı için bu trendin 2018 yılında artmasını bekliyoruz.
Kimlik avı saldırılarında
“HTTPS” alan adlarının kullanımında artış gözlemlenmiştir ve bu durumun 2018 yılında da devam edeceği düşünülüyor. Ağustos 2017’nin başından Kasım 2017’nin başlarına kadar HTTPS içeren kimlik avı saldırılarında yüzde 186’lık bir artış gözlemlendi.
Bahsedilen bu alanlar, saldırılarda kullanılabilecek güvenlik açığı bulunan yasal web siteleri (WordPress web siteleri gibi) olabileceği gibi yeni alınmış alanlar veya kimlik avı web sitelerine yönlendiren kısaltılmış URL’ler de olabilir.
Yakın zamanlarda, kriptografik protokoller ve algoritmalarda bulunan güvenlik açıklarını hedef alan saldırılar gözlemlenmişti ve bu eğilim büyük ihtimalle önümüzdeki yıl da devam edecek. 2018 yılına girerken, yaygın olarak kullanılan kriptografik protokoller ve algoritmalarda (özellikle SSL / TLS) belirtilen açıkların sayısında artış bekliyoruz.
2018’de eski standartlardan bazılarının da geri dönmesini bekliyoruz. Kimlik avı saldırılarının dışında sosyal mühendislik saldırıları da kötü amaçlı yazılımların dağıtımı için kullanılmaya devam edecektir. Saldırganların kötü niyetli reklamlarla kullanıcıları cezbetmek için yeni yöntemler bulacağı da göz önünde bulundurulmalıdır. Jeopolitik iklim dikkate alındığında, izleme yazılımı ve izinsiz erişimlerin kullanımıyla gerçekleştirilen bilgi hırsızlığının da devam edeceğini öngörebiliriz. Ayrıca hızla yayılabilen solucanlar ve diğer ticari kötü yazılımları da 2018 yılında görebiliriz.
Siyasi Amaçlı Siber Aktivite
Siber alanda mesajları hızlı şekilde yayma kabiliyeti 2018’de Avrupa çapında siyasi amaçlı siber faaliyetlerin sayısını artıracaktır. Sahte haberler, bilgi sızdırmalar ve diğer verilerin yayınlanması bazı bölgelerde siyasi iklimin değişmesine neden olabilir, bu da bazı adayların ve siyasi partilerin diğerlerine karşı haksız duruma düşmesine yol açabilir.
2017’de Avrupa’da özellikle Fransa ve Almanya’da bazı seçimler sırasında ve sonrasında siber saldırıların meydana geldiğini gösteren raporlar mevcuttur. Daha yakın zamanda, özellikle İspanya ve Katalonya bölgesindeki gerginlik üzerine odaklanarak Güney Avrupa bölgesinde istihbarat operasyonlarının yürütüldüğüne dair göstergeler ortaya çıkmıştır. Ayrıca, 2017 yılının ikinci yarısında NATO ve AB gibi ittifaklar da sürekli hedef alınmıştır.
Bölgede ve komşu ülkelerde gerginlik arttıkça bu tür faaliyetlerin 2018 yılında da süreceğini düşünüyoruz. İstihbarat operasyonlarını düzenleyen grupların ve diğer siyasi amaçlı siber saldırıların hedef alabileceğini düşündüğümüz EMEA bölgesinde, gelecek yıl birçok seçim gerçekleşecek.
#gelecek, #siberguvenlik, #güvenlik, #fireye, #guncel
Son Yorumlar