Devlet destekli korsanlar birbirlerinden çalıyor ve kopya çekiyor

Hatasız tehdit istihbaratı yapabilmek için belirli bir tehdit aktörüne işaret eden izlerin ve aletlerin tespit edilebilmesi gerekir. Bu sayede araştırmacılar farklı saldırganların amaçlarını, hedeflerini ve davranışlarına daha iyi anlayabilir ve şirketlere risk seviyelerini belirlemek konusunda yardımcı olabilir. Tehdit aktörleri birbirlerini hackleyip, birbirlerinin aletlerini altyapılarını ve Hatta kurbanlarını kullanmaya başlayınca uzmanların da işi giderek zorlaşıyor.

Kaspersky Lab’a göre, bu tür saldırıları yabancı veya daha az yetkin tehdit aktörlerini hedef alan ulus-devlet destekli grupların düzenliyor olması ihtimali yüksek. BT güvenliği araştırmacılarının bu tür saldırıları fark edebilmesi, istihbaratlarını bu bağlamda sunabilmeleri için önem teşkil ediyor.

Sözkonusu türdeki saldırıların sunduğu fırsatları detaylıca inceleyen araştırmacılar, iki ana yaklaşım tespit etti: pasif ve aktif. Pasif saldırılar, örneğin kurbanlar ile komuta ve kontrol sunucuları arasındaki trafiğe erişerek diğer grubun verilerini ele geçirmeyi içeriyor ve tespit edilmeleri neredeyse imkansız oluyor. Aktif yaklaşım ise diğer bir tehdit aktörünün kötü amaçlı altyapısına sızmayı içeriyor.

Aktif yaklaşımda tespit edilme riskinin daha büyük olmasına karşılık; saldırgana düzenli bir şekilde bilgi elde etme, hedefi ile kurbanlarını gözleme ve potansiyel olarak işin içine kendi yazılımlarını sokma veya kurbanı adına saldırılar düzenleme fırsatı verdiği için, vadettiği fayda da daha fazla oluyor. Aktif saldırıların başarısı büyük oranda hedefinin operasyonel güvenlikte hatalar yapmasına bağlı oluyor.

GReAT, bu tür aktif saldırıların halihazırda yapılıyor olduğuna işaret eden belirli bazı tehdit aktörlerini araştırırken bir dizi garip ve beklenmedik ize rastladı. Örneğin:
Diğer grubun komuta ve kontrol altyapısına arka kapı kurmak
Hacklenen web sitelerini paylaşmak
Proxy (vekil) yoluyla hedefleme
Hacklenen bir ağa arka kapı kurmak, saldırganlara diğer grubun faaliyetleri içerisinde sürekli olarak bulunma fırsatı veriyor. Kaspersky Lab araştırmacıları, bu amaçla kurulmuş gibi görünen iki adet arka kapı buldu.

Bunlardan ilki 2013 yılında, Asya kıtasındaki aktivist ve kuruluşları hedefleyen Çince bir kampanya olan NetTravelertarafından kullanılan bir sunucuyu analiz ederken bulunmuştu. İkincisi ise 2014'te, Rusça konuşan ve 2010 yılından bu yana sanayi sektörünü hedef alan bir tehdit aktörü olan Crouching Yeti (Energetic Bear olarak da bilinir) tarafından hacklenmiş bir web sitesi incelenirken bulundu. Araştırmacılar, komuta ve kontrol ağını kontrol eden panelin, Çin'deki bir IP adresine işaret eden bir etiketle kısa bir süreliğine değiştirildiğini fark etti (büyük olasılıkla bir “sahte bayrak”). Araştırmacılar bunun da başka bir gruba ait bir arka kapı olduğuna inanıyor, fakat bunun kim olabileceğine dair bir işaret bulunmuyor.

Kaspersky Lab araştırmacıları 2016 yılında, Korece kullanan DarkHotel tarafından ele geçirilmiş olan bir web sitesinin aynı zamanda, (ekibin ScarCruftadını verdiği) hedefli saldırılar düzenleyen ve daha çok Rus, Çinli ve Güney Koreli kuruluşları hedef alan bir grup için exploit kodları barındırdığını fark etti. DarkHotel operasyonu Nisan 2016’ya dayanırken, ScarCruft saldırıları bundan bir ay sonra düzenlenmişti. Bu da ScarCruft’un, kendi saldırılarını düzenlemeden önce DarkHotel saldırılarını gözlemlemiş olabileceğini gösteriyor.

Belirli bir bölge veya sanayi sektöründe düzenli olarak faaliyet gösteren bir gruba sızmak, saldırganlara kurbanlarının özel uzmanlığından faydalanarak masraflardan kısma ve hedefleme konusunda iyileştirme yapma fırsatı sunuyor.

Bazı tehdit aktörleri, kurbanları çalmak yerine onlara ortak oluyor. Bu, iki gruptan birinin yakalanabilme ihtimali sebebiyle riskli bir yaklaşım, çünkü yapılacak adli araştırmalar diğer grubu da ele verecektir. Kasım 2014’te, Kaspersky Lab, Ortadoğu’da bulunan bir araştırma enstitüsüne ait (Magnet of Threatsolarak bilinen) bir sunucunun, aynı zamanda (İngilizce konuşan) Regin ve Equation Group, (Rusça konuşan) Turla ve ItaDuke, (Fransızca konuşan) Animal Farm ve (İspanyolca konuşan) Careto adlı tehdit aktörleri için yazılımlar barındırdığını bildirmişti. Hatta, Equation Group’un keşfedilmesi bu sunucu sayesinde olmuştu.

“Atıf konusu genellikle çok zor bir iş, çünkü ipuçları az oluyor ve kolaylıkla manipüle edilebiliyor. Şimdi bir de saldırgan grupların birbirini hacklemesi durumunu hesaba katmak gerekiyor. Birbirlerinin araçlarından, kurbanlarından ve altyapılarından faydalanan grupların sayısı arttıkça, bizim gibi tehdit avcılarının da işi zorlaşacak. Verdiğimiz örnekler bu tür şeylerin çoktan yapılmaya başlandığını gösteriyor ve bu da tehdit istihbaratı araştırmacılarının ileri yetkinlikteki saldırganları incelerken bakış açılarını değiştirmeleri gerektiğini gösteriyor” diyor Kaspersky Lab Küresel Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Juan Andres Guerrero-Saade.