APT Nedir?

  • 16 dakikada okuyabilirsiniz.
APT Nedir?

APT Nedir? sorusu en ciddi siber saldırı türlerinden birini anlamanıza, maruz kaldığınızda hızla yanıt vermenize ve riskleri en aza indirmeniz için doğru araçları ve stratejileri seçmenize yardımcı olabilir.

Gelişmiş Kalıcı Tehdit Nedir?

Gelişmiş Kalıcı Tehdit Nedir?, APT Nedir?
APT saldırıları siber korsanların bir sisteme erişim elde edip orada uzun süre fark edilmeden kalmayı başardığı, tespiti zor tehdit türleridir.

Bir şirketin karşılaşabileceği en tehlikeli siber tehditler arasında yer alan APT; gelişmiş kalıcı tehdit (Advanced Persistent Threats) anlamına gelir. APT saldırıları siber korsanların bir sisteme erişim elde edip orada uzun süre fark edilmeden kalmayı başardığı, tespiti zor tehdit türleridir.

Şirketlerin nedenini bilmediği kesintiler yaşamalarına sebep olan APT saldırıları; veri kaybı, altyapı sabotajı, hizmet kesintileri ve site devralmaları ile sonuçlanabilir. APT’ler, diğer çevrimiçi tehditlerden daha karmaşıktır. Mümkün olduğunca çok sayıda cihazı hedefleyen kötü amaçlı yazılımların aksine, gelişmiş kalıcı tehditler genellikle belirli bir hedef düşünülerek tasarlanmıştır. APT’ler çoğu zaman ünlü, önemli bir şirketin peşine düşer, hatta ülkeleri, elçilikleri, savunma ve telekomünikasyon kurumlarını hedef alırlar. Bu nedenle her ihlal; yalnızca hedefin savunmasına uyan özel bir plan geliştirilerek tasarlanır.

Çoğunlukla otomasyona dayanmayan manuel saldırılar olarak bilinen APT’ler kesinlikle vur-kaç saldırıları değildir. Amaçları sisteme zarar vermekten çok ağa erişip sistemi alarma geçirmeden verileri çıkarmak için yeterince içeride kalmaktır.

APT saldırılarının, büyük finansal etkilerle sonuçlanan birçok veri ihlaline neden olduğu bilinmektedir. Asıl endişe verici nokta, bu saldırıların karmaşık yöntemler kullanarak geleneksel güvenlik önlemlerinin bazıları tarafından fark edilmeden kalıcı olabilmeleridir.

APT saldırganları sıklıkla, giriş noktası olarak daha az korunan şirketleri kullanmak için büyük firmaların tedarik zincirindeki küçük işletmeleri hedefler. Bu nedenle her ölçekteki işletme için APT saldırılarının nasıl tespit edileceğini bilmek önemlidir.

APT Nasıl Çalışır?

APT Nasıl Çalışır?
APT saldırılarında korsanlar saldırıyı uzaktan kontrol ederek, ağdaki kritik verileri arama, bulma ve sifonlama fırsatına sahiptir.

Gelişmiş kalıcı tehditler genellikle aşamalı olarak gerçekleştirilir; ağın hacklenmesiyle başlayan süreçte hedef algılanmamaktır. Daha sonra korsanlar, en kolay erişilebilir noktaları bulmak için şirket verilerini haritalandırır ve hassas verileri toplamaya başlar.

APT saldırılarında korsanlar, bir ağa ilk erişimi sağlamak için farklı yöntemler kullanır, bu saldırılarda her seferinde tutarlı bir şekilde aynı davranışı sergileyen virüsler ve kötü amaçlı yazılımlar gibi geleneksel tehditlerde olduğu gibi genel bir yaklaşım söz konusu değildir.

Aksine, belirli bir organizasyonu hedef almak için titizlikle ve dikkatlice planlanmış tehditlerdir. Bu nedenle, gelişmiş kalıcı tehditler, hedeflenen şirketteki mevcut güvenlik önlemlerinden kaçmak için son derece özelleştirilmiş ve oldukça karmaşık bir şekilde tasarlanmış olabilirler.

Siber korsanlar sıklıkla, ilk erişimi sağlayabilmek için kimlik avı saldırıları yoluyla erişilen çalışanların veya iş ortaklarının kimlik bilgilerini kullanır. Böylece kuruluşun sistemlerini ve verilerini haritalamalarını ve şirket verilerini boşaltmalarını sağlayacak saldırı planını hazırlamaları için yeterince uzun bir süre sistemde tespit edilmeden kalabilirler.

APT saldırılarında belirli bir ağ ihlal edildiğinde, kötü amaçlı yazılım bazı standart navigasyon sistemlerinden kolaylıkla gizlenebilir, bir sistemden diğerine geçebilir, veri toplamaya başlayabilir ve ağ etkinliğini izleyebilir. Korsanlar saldırıyı uzaktan kontrol ederek, şirketin ağında kritik verileri arama, bulma ve sifonlama fırsatına sahiptir.

Gelişmiş kalıcı tehdit geniş bir terim olduğundan böyle saldırılarda farklı aşamalara rastlanmaktadır ancak genellikle 3 temel aşamadan söz etmek mümkündür:

1. Aşama: Sızma

APT'nin Aşamaları, Sızma,
Gelişmiş kalıcı tehditler, hedeflenen şirketteki mevcut güvenlik önlemlerinden kaçmak için son derece özelleştirilmiş ve oldukça karmaşık bir şekilde tasarlanmış olabilirler.

Sızma; korsanların kimlik avı gibi bir yöntemle güvenlik açıklarını arayıp sisteme girmenin bir yolunu bulduğu, ağa erişim kazandığı aşamaya denir. Sızma sırasında yaygın olarak kullanılan taktik, eşzamanlı bir DDoS saldırısı başlatmaktır. DDoS, personelin dikkatini dağıtarak ağın ihlalini kolaylaştırır.

APT korsanları, ilk erişimi elde etmek için aşağıdakiler dahil çeşitli saldırı yöntemleri kullanır:

  • Sıfırıncı gün istismarları
  • Kimlik avı
  • Uzaktan dosya ekleme (RFI)
  • SQL enjeksiyonları
  • Siteler arası komut dosyası çalıştırma (XSS)
  • Kötü amaçlı yazılım
  • DNS tünelleme

İlk erişim sağlandıktan sonra, APT korsanları, meşru bir yazılım gibi görünmesi için genellikle maskelenmiş bir arka kapı trojanı oluşturarak sistemi uzaktan kontrol edecek dayanağı oluşturur.

2. Aşama: Genişleme

Genişleme, APT'nin aşamaları
APT saldırganları, oturum açma kimlik bilgilerinin değişmesi durumunda erişimin devamını sağlayabilmek için genellikle arka kapı trojanı kullanıldığından sistemde truva atı algılanıyorsa, bir APT saldırısının söz konusu olabileceği düşünülmelidir.

Saldırganlar sisteme giriş yaptıktan sonra, erişimlerini genişletmek, derinleştirmek ve erişimlerinin iptal edilemediğinden emin olmak isterler. Bunun için genellikle kötü amaçlı yazılımlar aracılığıyla diğer sunucular için ek şifreler toplamaya çalışırlar ya da çaldıkları orijinal parola değiştirilse bile erişimde kalabilmek için bir Truva Atı aracılığıyla gelecekteki izinsiz girişlerini garanti altına alırlar.

Saldırganlar yerlerini sağlama alıp ağ hakkında daha fazla bilgi toplamaya, ağda daha derin erişim elde edebilecekleri ve böylece ek sistemleri kontrol edebilecekleri güvenlik açıklarını bulmaya çalışırlar.

Genişleme, değerli verilere erişimi olan personeli hedefleyerek kullanıcı hiyerarşisini yükseltmeyi içerir. Bunun için Brute Force (Kaba Kuvvet Saldırısı) en sık kullanılan taktiktir.

Genişleme aşamasında kötü amaçlı yazılımlar, bilgisayar korsanlarının tespit edilmeden erişimi sürdürmesine izin vermek dışında aşağıdakileri yapmasına yardımcı olur:

  • Sistem kontrollerinden gizlenmek
  • Ağ segmentleri arasında gezinmek
  • Hassas verileri toplamak
  • Ağ etkinliğini izlemek
  • Mevcut girişlerin erişilemez hale gelmesi durumunda yeni giriş noktalarını tespit etmek

Bu aşamada güvenlik kontrolleri çoğunlukla tehlikenin farkında değildir ve davetsiz misafir saldırının hedefine yönelik adımları tamamlamaya başlar. Örneğin hedef veri çalmaksa, saldırganlar bilgileri paketler halinde ağın çok az trafik olan veya hiç trafik olmayan bir bölümünde depolamaya başlar.

3. Aşama: Verilerin Çıkarılması

APT'nin Aşamaları, verilerin çıkarılması
Korsanlar verileri ağ dışına taşımadan önce dosyaları yalıtıp aktarımı kolay paketler halinde konumlandırır ve bunları personelin normalde veri depolamadığı yerlere yerleştirir.

Üçüncü aşamada, veriler genellikle birden çok sunucudan toplanmıştır ve sistemden çıkarılmaya hazır olana kadar tek bir konuma depolanmıştır. Yeterince veri topladıktan sonra hırsızlar veri aktarımı için güvenlik ekibinin dikkatini dağıtmak ve sistem savunmasını meşgul etmek için başlangıçtaki gibi DDOS saldırısı gibi bir teknik kullanabilir.

APT saldırganları genellikle varlıklarını belli etmeden çıkarma işlemini tamamlamaya çalışır. Verilerin çalındığı bu son aşama eğer tespit edilmezse gelecekteki saldırılar için açık kapı bırakılmış olur.

Eğer APT saldırısının amacı bir sistemi sabote etmekse, bu son aşama farklı şekilde işler. APT korsanları, kritik işlevlerin kontrolünü ustaca ele geçirip tüm veritabanlarını yok edebilir, hatta olağanüstü durum kurtarmayı önlemek için hasar bırakabilir.

APT Nasıl Tespit Edilir?

APT korsanlarının, faaliyetlerini gizlemek için gelişmiş yöntemler kullanması nedeniyle bu tehditler kolaylıkla tespit edilemez. Ancak tipik olarak algılanmayı önlemek için özel olarak tasarlanmış olsalar da APT saldırılarının gerçekleştiğine dair belirli sistem anormallikleri gibi kanıtlar ve erken uyarı işaretleri söz konusu olabilir. APT’nin nasıl tespit edileceğini, belirtilerini öğrenmek; APT’den korunmanız için son derece önemlidir.

  • Çalınan oturum açma kimlik bilgileri, APT saldırganlarının ağ erişimi kazanmasının ana yollarından biri olduğundan garip saatlerde sunuculara sık sık giriş yapılması, devam eden bir APT saldırısına işaret edebilir. Gece geç saatler gibi normalde çalışanların ağa erişmediği zamanlarda oturum açma sayılarında artış olması bir APT saldırısının belirtisi olabilir.

  • APT saldırganları, oturum açma kimlik bilgilerinin değişmesi durumunda erişimin devamını sağlayabilmek için genellikle arka kapı trojanı kullanıldığından sistemde truva atı algılanıyorsa, bir APT saldırısı söz konusu olabilir. Truva Atı, parola değişikliklerinden etkilenmeden ve ayak izi bırakmadan sisteminize uzaktan erişim sağlayabilir, çalınan kimlik bilgilerinden bile daha büyük bir tehdit olma potansiyeline sahiptir. Dilerseniz Trojan Nedir? Trojan Virüsü Nasıl Temizlenir? adlı yazımıza göz atabilirsiniz.

  • Genellikle verilerin görünürde hiçbir sebep olmaksızın aniden taşınması, olmaması gereken bir yerde saklanması; kontrolünüz dışında harici bir sunucuya aktarılma sürecinde olduğunda geçerlidir. Bu nedenle veri paketlerinin incelenmesiyle de APT’ler tespit edilebilir. Korsanlar verileri ağ dışına taşımadan önce dosyaları yalıtıp aktarımı kolay paketler halinde konumlandırır ve bunları personelin normalde veri depolamadığı yerlere yerleştirir. Yanlış konumlarda bulunan veri dosyalarının düzenli olarak incelenmesi, taranması gerekir. Garip veri tabanı etkinliği, ani ve büyük bir veri akışı önemli bir ipucudur.

  • Hash saldırıları genellikle geçişli depolama veya parola verilerinin tutulduğu bellek üzerinde hedeflenir. Bu, korsanlara yeni kimlik doğrulama oturumları oluşturma fırsatı vereceğinden böyle durumlar tespit edildiğinde mutlaka araştırılmalıdır.

  • Hedefli kimlik avı e-postaları, potansiyel bir APT’nin en belirgin işaretidir. APT korsanlarının, hassas verilere ulaşma umuduyla bu tür e-postaları üst düzey çalışanlara gönderdiği de bilinmektedir.

APT Nasıl Önlenir?

APT Nasıl Tespit Edilir?, APT Nasıl Önlenir?
APT hacker grupları; savunma, finansal hizmetler, hukuk, sanayi, telekom alanlarında çeşitli şirketleri hedefler. Hedeflenen kuruma göre değişse de çoğunlukla amaç veri ihlali, casusluk ve sabotajdır.

Gelişmiş kalıcı tehditlerle ilgili acı gerçek, %100 etkili olacak tek bir çözüm olmamasıdır. Virüsten koruma programları gibi standart güvenlik önlemleri tek başına bir şirketi çok yönlü bir saldırı türü olan APT’den etkili bir şekilde koruyamaz. APT algılama ve APT’den korunma; ağ yöneticileri, güvenlik ekipleri ve tüm kullanıcılar arasında işbirliği ve birden fazla savunma taktiği uygulanmasını gerektirir. Bu nedenle, bir arada kullanıldığında APT korumasına yönelik güvenliği sağlamlaştıracak taktikleri şu şekilde sıralayabiliriz:

  • Trafiği İzleme

    Arka kapı kurulumlarını önlemek, çalınmak üzere olan verilerin çıkarılmasını engellemek ve şüpheli kullanıcıları belirlemek için trafiğin izlenmesi olağandışı davranışları tespit etmeye yardımcı olur. Dosya paylaşımlarının izlenmesi ve sunucuların güvenliği için sunucu izleme araçlarının kullanımı önerilir.

  • WAF

    Gelişmiş kalıcı tehditlere karşı ilk savunma katmanı görevi görecek doğru güvenlik duvarı yapısını seçmek önemlidir. Ağın ucunda bir web uygulaması güvenlik duvarı (WAF) kullanarak sunuculara gelen tüm trafik filtrelenmelidir. WAF, APT’nin sızma aşamasında tipik saldırı türleri olan RFI ve SQL enjeksiyonu saldırılarını önler. Firewall Nedir? adlı yazımızdan detayları okuyabilirsiniz.
  • Whitelist

    Beyaz liste olarak da bilinen whitelist, bir ağdan hangi alan adlarına ve uygulamalara erişilebileceğini kontrol etme yöntemidir. Beyaz listeye alma, siber saldırı tehdidini en aza indirerek APT’lerin başarı oranını düşürür. Whitelist Nedir? adlı yazımızda da değindiğimiz gibi
    beyaz listenin işe yaraması için bir ekibin kabul edilebilir alan adlarını ve uygulamaları dikkatlice seçmesi gerekir. Kullanıcıların her zaman tüm uygulamaların en son sürümünü çalıştırması önemli olduğundan, katı güncelleme politikaları da gereklidir.
  • Sıkı Erişim Kontrolleri

    Çalışanlar genellikle bir güvenlik sisteminin en savunmasız noktası olduğundan; APT korsanları, savunma önlemlerini atlamak için çalışanları kolay bir geçit haline getirmeye çalışır.

    Bir işletmeyi kötü niyetli kişilerden korumanın en iyi yöntemi Sıfır Güven (Zero Trust) ilkesine bağlı kalmaktır. Sıfır Güven taktiği her hesabın erişim düzeyini sınırlar ve bir kullanıcının yalnızca görevini gerçekleştirmek için ihtiyaç duyduğu kaynaklara erişimi olmasını sağlar. Böylece çalışanlara ait hesapların güvenliği ihlal edilse de davetsiz misafirin ağda hareket etmesi sınırlanmış olur. Ayrıcalıklı hesaplara ise, özel olarak odaklanmanız önerilir. Yönetici hesaplarında herhangi bir değişiklik olup olmadığı izlenmelidir. Oluşturulan her yeni hesap kontrol edilmelidir.
  • Antivirüs Yazılımları ve Saldırı Önleme Sistemleri

    APT saldırılarına hazırlıklı olmak için kötü amaçlı yazılımları, truva atlarını ve virüsleri algılayabilen, önleyebilen en güncel yazılımlara ve ağınızı herhangi bir kötü amaçlı kod için izleyen izinsiz giriş önleme sistemlerine (IPS) sahip olmanız çok önemlidir.
  • İki faktörlü kimlik doğrulama (2FA)

    2FA, kullanıcıların ağın hassas alanlarına erişirken ikinci bir doğrulama biçiminden geçmesini gerektirir. Her kaynakta ek bir güvenlik katmanının olması, sistemde hareket eden davetsiz misafirleri yavaşlatacaktır.
  • Güncellemeler

    Sistemi güncel tutmak, bir APT saldırısını önlemede hayati önem taşır. Ağ yazılımının son güvenlik güncellemelerine sahip olduğundan emin olmak, zayıf nokta ve uyumluluk sorunları olasılığını azaltır.
  • Çalışanların Eğitilmesi

    Kimlik avı dolandırıcılıkları, bir APT saldırısı için olağan bir giriş noktasıdır. Çalışanlar; kimlik avı girişimlerini tanımaları ve bunlarla karşılaştıklarında ne yapmaları gerektiğini öğrenmeleri için eğitilmelidir. APT ve diğer siber tehdit türleri hakkında en güncel tespit ve korunma bilgileri düzenli aralıklarla bu eğitimlerde aktarılmalıdır.
  • E-Posta Koruması

    E-postalar sık kullanımı nedeniyle işletmelerin savunma hattını zayıflatabilecek bileşenler arasındadır. Bu yüzden, e-postalarınız için spam ve kötü amaçlı yazılım korumasını etkinleştirmeniz önerilir. Kimlik avı saldırılarının başarı oranını düşüren e-posta filtreleme, APT sızma girişimlerini durdurabilir. Güçlü e-posta güvenliği uygulamaları kullanarak gelen kutularını kötü amaçlı etkinliklerden koruyabilirsiniz.
  • Arka Kapılar için Düzenli Taramalar

    APT korsanlarının, yasadışı erişim elde ettikten sonra ağ üzerinde bıraktığı arka kapılar düzenli olarak taranarak kaldırılmalıdır. Bu taramalar, mevcut APT girişimlerini durdurmak ve gelecekteki APT girişimlerini önlemek için etkili bir yöntemdir.
  • VPN: APT korsanlarının ağınıza kolay erişim sağlamasının önlemeye yönelik araçlar arasında yer alır. VPN Nedir? Nasıl Çalışır? adlı yazımızdan avantajlarını ve dezavantajlarını öğrenebilirsiniz.

APT Tespit Edildiğinde Yapılması Gerekenler

APT Tespit Edildiğinde Yapılması Gerekenler, Ünlü APT Saldırıları, En Güncel APT Saldırıları
Virüsten koruma programları gibi standart güvenlik önlemleri tek başına bir şirketi çok yönlü bir saldırı türü olan APT’den etkili bir şekilde koruyamaz.

Bir APT saldırısı tespit edildiğinde, hızlı hareket etmek önemlidir çünkü verileriniz henüz çalınmamış olabilir.

  1. Sisteminizin yalnızca bir bölümünün güvenliğinin ihlal edildiğini düşünüyorsanız, onu diğer her şeyden yalıtarak başlamalı ve bundan sonra erişimi kaldırmaya çalışmalısınız.
  2. APT’nin nasıl oluştuğunu anlayamazsanız tekrarlamasını durduramazsınız. Sistem olay günlüklerini analiz etmeniz ve saldırganın erişim elde etmek için kullandığı yolu bulmaya çalışmanız önerilir. Hasarı değerlendirmeniz de önemlidir çünkü sisteminizde hangi verilerin depolandığına bağlı olarak, bir APT’nin neden olduğu hasar sandığınızdan daha uzun vadeli etkilere sahip olabilir.
  3. Müşterilerin veya çalışanların kişisel bilgileri ihlal edildiyse, bu kişileri bilgilendirmenin yasal ve etik yükümlülüğü olduğu göz önünde bulundurulmalıdır, itibarınız açısından da bu önemlidir.

Ünlü APT Saldırıları

Dünya çapında çok sayıda siber güvenlik şirketi, hack aktivistlerini ve eSuçluların saldırılarını mercek altına alma konusunda ciddi çalışmalara imza atmaktadır. Bu çalışmalarda genelde saldırı isimleri saldırının yapıldığı bölge ile ilişkilendirilen hayvanların isimlerinden seçilir. Örneğin, BEAR’ı Rusya, PANDA’yı Çin, KITTEN’ı İran’daki siber saldırıların isimlerinde görebilirsiniz. SPIDER ise çoğunlukla bir bölge ile sınırlı olmayan tehditler için kullanılır.

APT 27 (Goblin Panda)
İlk olarak 2013 yılında birden fazla sektörde ticari operasyonları olan büyük bir teknoloji şirketinin ağına saldırdığı zaman tespit edilmiştir.
APT28 (Fancy Bear)
Bilgisayarlar ve cep telefonları gibi cihazlara erişim sağlamak için kimlik avı mesajları ve yasal olanlara benzeyen web sitelerini kullanır.
APT32 (Ocean Buffalo)
Vietnam merkezli ve 2012’den bu yana aktif olan bir APT türüdür. Birden fazla sektörde özel şirketlere izinsiz girişler gerçekleştirmekte ve yabancı hükümetleri, muhalifleri ve gazetecileri hedef almaktadır.
Ghostnet
100’den fazla ülkede hükümet ve elçilik bilgisayarlarını tehlikeye atmak için kötü amaçlı yazılım içeren hedef odaklı kimlik avı e-postaları kullanmıştır. Saldırganlar, bilgisayarların kameralarını ve mikrofonlarını uzaktan açıp siber casusluk için kullanmayı amaçlamıştır.
Stuxnet
İran nükleer programında kullanılan cihazlara nüfuz etmedeki başarısıyla bilinen, bu kötü amaçlı yazılımın amacı, nükleer zenginleştirme işlemleri için kullanılan santrifüjlerin ayarlarını, rotor hızlarını yükselterek ve düşürerek makineleri tahrip etmekti. 200.000’den fazla bilgisayara bulaştığı ve İran’ın Natanz nükleer tesisinde yaklaşık 1.000 santrifüjü yok ettiği biliniyor.
Sykipot
Saldırganlar, 2006-2013 yılları arasında ABD ve İngiltere kuruluşlarına karşı APT saldırıları başlatmak için Acrobat ve Adobe Reader güvenlik açıklarından yararlanmıştır.

En Güncel APT Saldırıları

Cybersecuritynews‘in 2021 APT saldırıları listesinde;

  • Japonya’yı tehdit eden A41APT vakası (31 Ocak),
  • Pakistan ve diğer Güney Asya bölgelerini hedefleyen Confucius APT Android casus yazılımı (17 Şubat),
  • Kimlik avı saldırıları ile ABD ve İsrail tıbbi araştırma personelini etkileyen BadBlood: TA453 (30 Mart) vakası gibi çok sayıda tehdit yer almaktadır.

Ayrıca Kaspersky’nin, gelişmiş kalıcı tehdit (APT) etkinliklerine dair 2021 yılının ilk çeyreğindeki raporuna göre;

  • Aralık ayında, Kuzey Amerika, Avrupa, Orta Doğu ve Asya’daki birçok büyük şirket ve devlet kurumu da dahil olmak üzere 18.000’den fazla SolarWinds müşterisinin ağlarında Sunburst adlı özel bir arka kapının konuşlandırıldığı ortaya çıkmıştır.
  • 2 Mart’ta Microsoft, HAFNIUM adlı, Microsoft Exchange sıfırıncı gün güvenlik açıklarının istismar edildiği yeni bir APT saldırısı bildirmiştir. Avrupa ve Amerika Birleşik Devletleri’ndeki sunucularda gözlenen ve sunuculardan bazılarının, farklı saldırganlar tarafından birçok kez hedef alındığı saldırılar, APT saldırılarının artık birden fazla grup tarafından kullanılabileceğini de göstermiştir.
  • 24 Şubat’ta Ukrayna Ulusal Güvenlik Savunma Konseyi (NSDC), kötü niyetli belgeleri Ukrayna kamu yetkililerine dağıtmak için ulusal belge dolaşım sistemini (SEI EB) istismar eden bir tehdit konusunda kamuoyunu uyarmıştır. Kaspersky bu saldırıyı Gamaredon saldırıları ile bağdaştırmaktadır.
  • Kısa süre önce, telekomünikasyon veya havacılık şirketleri gibi yüksek profilli Tunus’lu kuruluşları hedefleyen bir faaliyet Lyceum/Hexane tehdit grubuna atfedilmiştir.
  • Ferocious Kitten, 2015’ten beri Farsça konuşan kişilere karşı aktif olan ve merkezi İran’da olan bir APT grubudur. Kullandığı kötü amaçlı yazılım MarkiRAT olarak adlandırılmaktadır. Tuş vuruşlarını ve pano içeriğini kaydetmek, dosya indirme ve yüklemeleri sağlamak ve kurbanın cihazında rastgele komutlar yürütmek için kullanılmaktadır. Kalıcılık yöntemi olarak Telegram ve Chrome uygulamalarını ele geçirmeyi amaçlayan varyantları olduğu biliniyor.

  • Lazarus grubunun dünya çapındaki güvenlik araştırmacılarını hedefleyen saldırısı, tarayıcılardaki sıfırıncı gün güvenlik açıklarından yararlanmıştır.
  • Karkadann, Ekim 2020’den bu yana Orta Doğu’daki devlet kurumlarını ve haber kuruluşlarını hedef alan bir diğer APT tehdidir.
  • Kimsuky grubunun da Güney Koreli bir hisse senedi alım satım uygulamasında kötü amaçlı yazılımını dağıtmak için yeni bir yöntem benimsediği keşfedilmiştir.
  • 25 Ocak’ta Google Tehdit Analizi Grubu (TAG), Kuzey Kore ile ilgili bir tehdit aktörünün güvenlik araştırmacılarını hedef aldığını duyurmuştur. Sosyal medya aracılığıyla güvenlik araştırmacılarıyla iletişime geçerek güvenliği ihlal edilmiş bir Visual Studio proje dosyası teslim eden saldırgan onları bloglarına çekip bir tür Chrome istismarı yüklemeyi başarmıştır. Blogdaki birkaç altyapının, Lazarus grubunun ThreatNeedle kümesi hakkında daha önce Karspersky’nin yayınladığı raporla örtüştüğü doğrulanabiliyor.
  • Ayrıca, raporda Kazuar, EdwardsPheasant, MuddyWater, CookieTime, TurtlePower, Dropping Elephant (Patchwork, Chinastrats), BroStealer gibi çok sayıda tehdidin de adı geçiyor.

Özet

APT (Gelişmiş Kalıcı Tehdit); korsanların gizli devlet ve şirket verileri için sürekli erişime sahip olmalarını sağladığından son derece tehlikeli bir siber saldırı türüdür. APT hacker grupları; savunma, finansal hizmetler, hukuk, sanayi, telekom alanlarında çeşitli şirketleri hedefler. Hedeflenen kuruma göre değişse de çoğunlukla amaç veri ihlali, casusluk ve sabotajdır.

APT tespit edilmesi kolay olmamasına rağmen uygun önlemler alındığında etkili bir şekilde önlenebildiğinden, APT Nedir? sorusu ülkelerin ve şirketlerin siber güvenlik tehditlerine karşı hazırlıklı olmaları açısından kritiktir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir