2019’un üçüncü çeyreğinde gerçekleşen gelişmiş kalıcı tehdit (APT) faaliyetleri arasında Orta Doğu ve Güney Kore’yi hedef alan veya bu bölgelerden yayılan bir dizi operasyon yer aldı. Faaliyetlerin çoğu siber casusluk veya maddi kazanca odaklanırken en az bir operasyonun yanlış bilgi yayma amacı taşıdığı belirlendi…
Kaspersky araştırmacıları 2019’un ikinci çeyreğinde Orta Doğu’da ilginç faaliyetler gözlemledi. Bunlar arasında kod, altyapı, grup ve kurban bilgileri gibi varlıkların internete sızdırılması yer aldı. Bu faaliyetlerin ardında Farsça konuşan kişilerden oluşan OilRig ve MuddyWater gibi tehdit gruplarının olduğuna inanılıyor. Sızıntılar farklı kaynaklardan gelse de hepsi birkaç hafta arayla ortaya çıktı. “RANA Enstitüsü” adlı bir kurumla ilgili bilgileri açığa çıkaran üçüncü sızıntı, “Hidden Reality” adlı bir İran sitesinde yayınlandı. Kaspersky araştırmacıları kullanılan malzemeler, altyapı ve web sitesi üzerinde yaptığı analizde, bu sızıntının Hades tehdit grubuyla ilişkili olabileceği sonucuna vardı. 2018 Kış Olimpiyatları’nı hedef alan OlympicDestroyer vakasının ardındaki grup olan Hades, ayrıca geçmişte ExPetr tehdidi ve 2017’de Emmanuel Macron’un Fransa’da başkanlık seçimi kampanyası sırasında sızdırılan e-postalar gibi yanlış bilgilendirme operasyonlarında başroldeydi.
2019’in ikinci çeyreğinde öne çıkan APT faaliyetleri şunlar oldu:
• Rusça konuşan kişilerden oluşan gruplar yeni araçlar geliştirmeye ve yeni operasyonlar yapmaya devam ediyor. Örneğin, Zebrocy adlı grup Mart ayından bu yana ilgisini Pakistan/Hindistan olaylarına, yetkililerine, diplomatlarına ve askeri kurumlarına çevirmiş durumda. Grup ayrıca Orta Asya’daki ülkelerin yerel ve uzak ağlarına sürekli olarak erişebiliyor. Turla grubunun saldırıları da sürekli gelişen araçlarla sürüyor. Bunlar arasında, OilRig’e ait altyapının ele geçirilmesi, en çok öne çıkan vaka oldu.
• Kore bölgesiyle ilgili faaliyetler yoğunluğunu korurken Güneydoğu Asya’nın geri kalanı ise daha önceki çeyreklere göre daha sessizdi. Dikkat çeken operasyonlar arasında Lazarus adlı grubun Güney Kore’deki bir mobil oyun şirketini hedef alan saldırısı, Lazarus’un BlueNoroff adlı alt grubunun kripto para yazılımını ve Bangladeş’teki bir bankayı hedef alan saldırıları yer aldı.
• Araştırmacılar ayrıca, Çince konuşan kişilerden oluşan APT grubu SixLittleMonkeys’in Microcoin Trojan’in yeni bir sürümü ile Kaspersky’nin HawkEye adını verdiği bir uzaktan erişim aracını kullanarak Orta Asya’daki devlet kurumlarını hedef aldığını gözlemledi.
Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Vicente Diaz, “2019’un ikinci çeyreği tehdit alanının ne kadar karmaşık bir hal aldığını ve hiçbir şeyin göründüğü gibi olmadığını gösteriyor. Bir tehdit grubunun daha küçük bir gruba ait altyapıyı ele geçirmesine ve başka bir grubun da bir dizi sızıntıyla yanlış bilgi yayarak, açığa çıkan bilgilerin güvenilirliğini sarsıp para kazanmaya çalıştığına şahit olduk. Güvenlik sektörü, aldatmacaları fark edip gerçeğe ulaşmak ve güvenilir tehdit istihbaratı elde etmek için giderek büyüyen zorluklarla mücadele ediyor. Her şeyi göremediğimizi ve henüz radarımıza girmeyen veya tamamen anlayamadığımız faaliyetler olabileceğini hatırlatmakta fayda var. Bu nedenle bilindik ve bilinmedik tehditlere karşı korunmak herkes için büyük önem taşıyor” dedi.
2. çeyrek APT Eğilimleri raporu Kaspersky’nin yalnızca abonelerine sunduğu tehdit istihbaratı raporlarının bir özetini sunuyor. Raporda ayrıca araştırmalara ve zararlı yazılım avına yardımcı olacak Sızma Belirtileri (IOC) verileri ve YARA kuralları yer alıyor.
#Kaspersky, #Ortadoğu
Son Yorumlar