SOCRadar Kullanarak APT Gruplarının Saldırıları Nasıl Önlenebilir?

SOCRadar, siber tehdit ve istihbarat çözümümüz ile APT saldırı gruplarından korunmanın yollarını öğrenin!

10.13.2021

SOCRadar Kullanarak APT Gruplarının Saldırıları Nasıl Önlenebilir?

1 - APT Saldırısı ve APT Grubu Nedir?

Gelişmiş kalıcı tehdit (APT), şirket verilerinize erişim elde etmek için izlenen gizli bir yöntemdir. Yüksek derecede gizlilik, beceri ve sabır gerektirir. Bu nedenle en tehlikeli siber suçlular bu yöntemi hem yüksek profilli hedeflere hem de küçük işletmelere karşı kullanır.

Cloud Adoption Practices & Priorities Survey Report'a göre, BT uzmanlarının %53'ü Gelişmiş Kalıcı Tehdit (Advanced Persistent Threat - APT) saldırılarını, kuruluşlarının karşı karşıya olduğu en önemli güvenlik sorunlarından biri olarak görüyor.

Ponemon Enstitüsü'ne göre, şaşırtıcı bir şekilde, BT yöneticilerinin yalnızca %68'i APT nin ne olduğunu biliyor. APT grupları, kuruluşunuza sızmaya çalışan en tehlikeli aktörlerden biridir.

Gelişmiş güvenlik sistemine sahip bir şirkete yönelik yürütülen siber saldırı, zaman alıcı, pahalı olduğu gibi özel bilgi ve araçlar gerektirir. Belirli bir endüstriyi veya şirketi hedefleyen çok aşamalı, iyi planlanmış ve organize saldırılara gelişmiş kalıcı tehditler (APT) denir. Bu tür saldırıları gerçekleştirmek için bilgisayar korsanları, APT grupları olarak bilinen suç grupları oluşturur. Bu gruplar, savunma yöntemlerine uyum sağlama eğiliminde olmaları ve bir sistemdeki varlıklarını aylarca hatta yıllarca sürdürebilmeleri bakımından diğer siber suçlulardan farklıdır.

Bilgisayar korsanlığı çerçevesinde düzenlenen saldırıların genel özelliklerinden biri hızlı olmalarıdır. Ancak APT'ler daha stratejik ve gizli bir yaklaşım benimser. Saldırganlar, truva atları veya kimlik avı gibi geleneksel kötü amaçlı yazılımlar aracılığıyla sisteme sızar ancak sonra gizlice dolaşıp saldırı araçlarını ağa yerleştirirken izlerini örterler.

  • APT grupları tarafından yapılan saldırılar, siber korsanlıktan daha karmaşıktır.
  • APT grupları, son derece üstün teknik altyapıya sahip yüksek nitelikli, yetenekli  üyelerden oluşur.
  • Hacker gruplarının arkasındaki motivasyon genellikle finansal veya siyasal olurken, APT gruplarının motivasyonu stratejik olabilmektedir.
  • APT grupları, genel olarak, çok daha iyi ve gelişmiş cihazlara sahip olan, mali olarak devlet tarafından desteklenebilen gruplardır. Son birkaç yıl içerisinde devlet sponsorluğunda olmayan belirli hedeflere yönelik geniş çaplı APT saldırıları da gerçekleştirilmiştir.

2 - Son Dönemlerde Yaşanan APT Grubu Saldırıları

ABD'nin geniş çaplı bir kriz yaşamasına neden olan SolarWinds saldırısının arkasında Rusya'nın destek verdiği düşünülen APT29 ekibi olduğu, İngiltere ve ABD'li resmi makamlar tarafından dile getirildi.

SolarWinds'e ait Orion adlı programın güncellemesini indirirken oluşan yazılım açığını kullanan saldırı, muhtemelen en maliyetli siber saldırı olarak WannaCry'ı gölgede bırakacaktır. Sunburst kötü amaçlı yazılımının, ilk aşamasına maruz kalan 18.000 SolarWinds müşterisi, saldırganların öncelikli hedefleri arasında olup olmadıklarını belirlemek için tehdit değerlendirmesi yapmaktadır. Microsoft, mevcut TTP’lere (taktik, teknik ve prosedür) ek ve karmaşık TTP’ler ile güvenliği ihlal edilen ve tehdit aktörlerinin stratejik olarak hedef aldığı 40'tan fazla müşteriyi belirledi.

SolarWinds ağında en az iki farklı tehdit aktörü olduğu değerlendirilmiştir. Biri, FireEye tarafından keşfedilen APT dereceli tehdit aktörüdür. Bir diğeri de, SUPERNOVA arka kapı açıklarını yayan daha az gelişmiş bir başka tehdit aktörüdür. Yapılan incelemelerden saldırının arkasında Rusya’nın olduğuna yönelik olarak ABD ve İngiltere'den 15 Nisan 2021 tarihinde açıklamalar yapıldı. Ayrıca, Rus güvenlik şirketleri yaptırım listelerine alındı.

Fransa Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI) 21 Temmuz 2021 tarihinde, ülkedeki kurumları APT31 olarak izlenen bir tehdit grubunun son saldırılarında güvenliği ihlal edilmiş yönlendiricileri kötüye kullandığı konusunda uyarmak için bir yayım yaptı.

ANSSI'ye göre, bu "büyük saldırı kampanyası" devam ediyor ve Fransa'daki birçok kuruluşu etkiledi. Kurum, kuruluşların olası saldırıları tespit etmesine yardımcı olmak için IOC'leri paylaştı.

ANSSI, "Araştırmalarımıza göre, tehdit aktörü, saldırıların yanı sıra gizli keşif gerçekleştirmek için operasyonel röle kutuları olarak güvenliği ihlal edilmiş bir ev yönlendiricisi ağını kullanıyor" dedi.

APT31 Çin Hükümeti ile de bağlantıları olan ve Zirconium, Judgment Panda ve Red Keres olarak da bilinen bir APT grubudur.

APT31, İngiltere hükümetinin Five Eyes ülkeleri (ABD, İngiltere, Yeni Zelanda, Kanada ve Avustralya), Avrupa Birliği, NATO ve Japonya'nın Microsoft Exchange sunucu saldırılarını resmi olarak Çin hükümetine bağlı bilgisayar korsanlarına atfettiği üç tehdit grubundan biri.

İngiltere, APT31'in geçen yıl Finlandiya parlamentosu da dahil olmak üzere Avrupa ülkelerinde devlet kurumlarını, siyasi figürleri, müteahhitleri ve hizmet sağlayıcıları hedef aldığını söyledi.

Bir güvenlik araştırmacısı, ANSSI tarafından paylaşılan yaklaşık 160 IP adresinin çoğunlukla Asya, Latin Amerika ve Afrika'da bulunan cihazlarla ilişkili olduğunu vurguladı. Cihazların yaklaşık üçte biri Rusya'da bulunuyor.


Microsoft'un Tehdit İstihbarat Merkezi'nde baş tehdit analisti Ben Koehl, "Zirconium'un bu eylemleri kolaylaştırmak için çok sayıda yönlendirici ağı çalıştırdığı tespit edildiği ve oluşturduğu katmanlı yapı sayesinde takip edilmeyi önlediğini dile getirmiştir.

Kaynak: https://www.securityweek.com/china-linked-apt31-abuses-hacked-routers-attacks-france-warns

3- APT Saldırılarından Korunma Yolları

  • Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik eğitimi verin ve çalışanlarınızın siber güvenlik politikalarından haberdar olmasını sağlayın. Erişim kontrollerini sıkılaştırarak ve 2FA girişlerini sağlayarak olası veri sızıntılarına karşı koruma sağlanmış olacaktır.
  • Kurumunuzun operasyonel teknoloji (OT) veya kritik altyapısı varsa, kurumsal ağdan ayrılmış olduğundan veya yetkisiz bağlantılara izin verilmediğinden emin olun.
  • SOC ekibinizin gelişmiş tehdit istihbaratı ile (TI) erişimini ve tehdit aktörlerini aktif olarak takip etmesini sağlayın.
  • Oluşabilecek tehditleri ve 0-day açıklıklarını erken aşamada algılayan, atak yüzeyi yönetim güvenlik çözümleri kullanın.
  • Hedefli bir saldırının göstergesi olabilecek faaliyetleri tespit eden uç nokta çözümleri kullanın.
  • Güvenlik yamalarını güncel tutarak APT saldırganlarının yararlanabileceği güvenlik açıklarının sayısını azaltın.
  • Çok katmanlı güvenlik altyapısı kurarak ağınızdaki boşlukları kapatın. Firewall, WAF, IPS ve SIEM’den oluşmuş yapınızla sistemde yaşanacak anomolilere ilave olarak erişim isteklerini ve oturum açma işlemlerini daha hızlı gözden geçirin sıra dışı davranışları tespit edin.
  • Kuruluşun en değerli varlıklarını belirleyin: Bu şekilde kuruluş, en çekici hedefleri birçok açıdan koruyabilir.
  • Bir "izin verilenler listesi" oluşturun: Bir ağdan hangi etki alanlarına ve uygulamalara erişime izin verildiğini belirlemek, APT saldırı yüzeyini daha da sınırlar.

4 - SOCRadar'ı Kullanarak ile APT Grubu Takibi ve Korunma

APT gruplarını aktif olarak izleyin

Tehdit aktörleri ve APT grupları, hedeflerine ulaşmak için genellikle çeşitli araç ve taktikleri kullanırlar. Bu saldırganları dinamik bir şekilde anlamak ve izlemek, kolayca değiştirilebilen IOC'lerden çok daha önemli olabilecek mevcut TTP'ler hakkında iç görüler sağlar. Otomatik veri toplama, sınıflandırma, yüzey ve deep web'de yüzlerce kaynağın yapay zeka destekli analizi sayesinde SOCRadar, kötü niyetli etkinlikleri daha etkili bir şekilde tespit etmek ve önlemek için kullanım durumlarını tanımlanmasına yardımcı olarak APT gruplarının etkinliklerini MITRE ATT&CK uyumlu yapısıyla takip etmektedir.

SOCRadar Tehdit Aktörü İzleme Alanı ile devlet destekli APT gruplarının küresel operasyonlarını yürütme adına kullandıkları yeni ve gelişmekte olan araçlar ile faaliyetleri hakkında güncel bilgiler edinebilirsiniz.


Tehdit avcılığını, araştırmasını ve analizini hızlandırın

SOCRadar’ın benzersiz teknolojisinin analist gözüyle birleştirilmesi, mevcut ve gelecekteki tehditlerin profilinin çıkarılması adına derinlemesine ve eyleme geçirilebilir bir tehdit istihbaratı sağlıyor. SOCRadar tehdit analizi ile APT gruplarının aktif olarak kullandığı zararlı yazılımları incelemek için hizmet alabilirsiniz.

Tehdit beslemeleri ile olası APT grup saldırılarından korunun

SOCRadar’ın Tehdit Akışı ve IoC Yönetimi modülü, siber güvenlik ekiplerinin, kullanımı kolay kontrol panelleri tarafından yedeklenen ve  zenginleştirilmiş verilerle siber tehditleri araştırmasına yardımcı olur. Siber güvenlik uzmanları beslemeleri özelleştirebilir ve son tehditlere karşı güncel kalabilir, tehlike göstergelerini (IoC'ler) arayabilir ve şirket sistemlerine entegre edilebilir.

Tespit Edilen Son Güvenlik Açıkları

TÜM HABERLERİ GÖSTER