APT (Advanced Persistent Threat) saldırılarını anlamak onları engellemek için önemli bir adımdır. Bu yazıda APT 28 olarak adlandırılan örgütün saldırılarını ve APT tehdidinin özeti olan "ölüm zinciri" sürecine bakacağız.
Resim 1: Düşmana bakan göz (temsili)
Fireeye tarafından yayınlanan Advanced Persistent Threat
raporu Rus siber suçlular dünyasına bir pencere açıyor.
Bu yazı http://www.fireeye.com/resources/pdfs/apt28.pdf
adresinden ulaşabileceğiniz raporun ana
hatlarının ve önemli konu başlıklarının özetidir.
APT 28 olarak adlandırılan siber suç örgütünün hedefindeki
kurumlar genel olarak Rus hükümeti çıkarları ile paralellik gösteriyor.
APT 28 Gürcistan, Doğu Avrupa ve NATO Üyesi ülkelerdeki
kişileri hedef alıyor.
APT 28 tarafından kullanılan zararlı yazılımların
profesyonel bir geliştirme ortamında ve 2007’den beri sürekli iyileştirilerek
üretildiği anlaşılıyor. Yazılım analizinin yapılmasına karşı önlemlerin alınmış
olduğu görülmektedir.
Örgüt kullandığı zararlı yazılımları hedef ağ ve sistemlere
uygun olarak ayarlıyor.
2007 yılından itibaren, bu gruba ait, yakalanan zararlı
yazılım örneklerinin yarısından fazlasında geliştirme ortamının dil ayarının
Rusça olduğu anlaşılmaktadır.
APT 28 tarafından kullanılan zararlı yazılımların çok büyük
bir bölümü, Moskova çalışma günleri ve saatlerine uygun olarak Pazartesi – Cuma
günleri ve sabah 8:00 akşam 18:00 saatleri arasında derlenmiş.
Örgüt hedef aldığı kişilere ve kurumlara ilgilerini çekecek
özel olarak hazırlanmış oltalama (phishing/spearphishing) epostaları
gönderiyor.
APT28 Gürcistan İçişleri Bakanlığı’na karşı yapılan ve 2013
yılında tespit edilen bir saldırıda zararlı kod içeren ve Gürcistan’daki
ehliyet sahibi olanların listesinin olduğu bir excel dosyası kullanılmış. Zararlı
bulaştıktan sonra mia.ge.gov (İçişleri Bakanlığı uzantısı) bir eposta adresi
üzerinden ekinde ağ ve sistemler hakkında topladığı bilgilerin bulunduğu bir
eposta göndermeye çalışıyor. Böylece veriler, daha az kontrol edilen bir yol
üzerinden sızdırılıyor.
Örgütün bir başka denemesinde ise “MIA Users\Ortachala…” adresinde
bulunan bir Windows güncellemesinin yüklenmesi gerektiğini iddia etmiş.
Aşağıdaki resimde bu denemenin “sisteminizin güncellemelerinin yüklenmesi
gerekmektedir… Bu mesaj size OTD IT Support tarafından gönderilmiştir” mealinde olduğu anlaşılmaktadır.
Resim 2: Örnek oltalama saldırısı
APT 28 Gürcistan Savunma Bakanlığı’nı hedef aldığı saldırıda
ise Bakanlık ile birlikte Bakanlığıa hizmet veren bir şirket de hedef
alınmıştır. Bu saldırıda her iki grupta çalışanların doğrum günlerinin listesi
olduğu iddia edilen bir dosya ile birlikte, İçişleri Bakanlığı örneğinde
görülene benzer bir zararlı yazılım kullanılmış.
Örgüt aynı zamanda Kafkasya bölgesi hakkında haber yapan
gazetecileri de hedef almıştır. “Reason” adlı derginin Baş Editörü tarafından
gönderilmiş gibi görünen eposta ile gazetecilerden belli bir konuda görüş
bildirmeleri istenmiş. Bu epostanın ekinin de hedef sisteme “sourface” (ekşi
surat) olarak adlandırılan arka kapı yazılımını yüklediği ve bu sayede örgütün
gazetecilerin bilgisayarlarındaki bilgilere erişe bildiği görülmüştür.
Aşağıdaki ekran görüntüsünde gerçek alanadlarını taklit eden
ve APT 28 tarafından kaydedildiği düşünülen alanadlarını görüyoruz. Bunlardan
ilki İslami bir haber ajansı (kavkazcenter.com yerine kavkazcentr.info) gibi görünürken diğeri Ermenistan Silahlı
Kuvvetlerine aitmiş havası yaratıyor (mil.am yerine rnil.am).
Resim 3: Oltalama için kullanılan örnek alanadları
Polonya, Letonya ve Estonya gibi Doğu Avrupa ülkelerinin de
APT 28 tarafından hedef alındı tespit edilmiştir. Bu ülkelerde Bakanlıkların
yanında A.B.D. ve diğer Avrupa ülkeleri ile ortak tatbikat ve çalışma
gruplarına dahil olan kişilerin de özel olarak hedef alındığı görülmüştür.
NATO ve OSCE (Organization for Security and Cooperation in
Europe) gibi Avrupa ve Küresel güvenlik örgütlerinin ve bu örgüt içerisinde
çeşitli görevler üstlenen kişilerin de hedef alındığı görülmektedir. Bu amaçla
APT 28 tarafından alınan alanadlarından bazılar aşağıda görülmektedir.
Resim 4: NATO ve OSCE'ye özel hazırlanmış alanadları
Bazı alanadların, EuroNaval 2014, EUROSATORY 2014,
Farnborough Airshow 2014 ve Counter Terror Expo gibi güvenlik ve savunma fuarı
alanadlarına benzetilmiş olması örgütün bu fuara katılanların ve ziyaret
edenleri de hedef aldığını göstermektedir.
APT 28 tarafından hedef alındığı düşünülen bazı Kurumlar ise
şunlardır;
- Norveç Ordusu
- Meksika hükümeti
- Pakistan Deniz Kuvvetleri
- Avrupa Birliği Komisyonu
- Dünya Bankası
- OPEC
- Hizb ut-Tahir
- Macaristan Hükümeti
- Özbekistan Dışişleri Bakanlığı
- Türkiye’deki Askeri Ataşelikler
APT 28 saldırılarında gözlemlenen genel adımlar
aşağıdakilerdir
- Hedefe özel hazırlanmış oltalama epostası gönderilir
- Zararlı yazılım içeren dosya açılır
- Zararlı yazılım çalışır
- “SOURFACE” olarak adlandırılan gelişmiş zararlı yazılım indirilir
Rapor kullanılan zararlı yazılımların biraz daha ayrıntılı
ele alınmasıyla bitiyor. (bkz. Bundan sonra yazdıklarım raporda yok)
Saldırılara “cool” isimler takmaya meraklı Amerikalı
meslektaşlarım bu saldırılarda görülen yönteme “Ölüm Zinciri” (Kill Chain)
adını takmışlardır. Hedefin kandırılarak bir eposta ekini açmasıyla başlayan
zincir bilginin sızdırılmasına kadar uzanıyor.
Aşağıdaki 6 adım hem Türkiye’de hem de Uluslararası güvenlik
ihlali olaylarında gördüğüm tipik “ölüm zinciri” akışını özetliyor.
Resim 5: "Ölüm Zinciri" adımları
Bu tür bir saldırının başarıya ulaşması için zincirin
tamamlanması ve her aşamanın başarıyla geçilmesi gerekiyor. Saldırının istismar
ettiği asıl zafiyet insan olduğu için engellemesi en zor saldırı türü olduğunu
kabul etmek lazım. Öte yandan zincirin her hangi bir adımda kırılması veya bir
sonraki aşamaya geçememesi saldırının kısmen veya tamamen etkisiz hale
gelmesini sağlar.
Ölüm zincirini kırabileceğimiz 3 önemli nokta var; ilk
aşama, iç ağ içerisindeki yatay hareketler ve verinin dışarıya sızdırılması. Bu
adımlarda başarısız olan bir saldırının örgüte faydası olmayacaktır.
İlk aşamada, personelin gelen epostanın ekini açmaması veya
eposta içerisindeki bağlantıya tıklamaması önemlidir. Bunu engellemek için de
bilinen en etkili yol bilgi güvenliği farkındalık eğitimleridir.
Saldırganların iç ağ içerisinde hareketlerini kısıtlayacak
yapının kurulması için bir miktar yatırım gerektiği doğrudur ancak işin
temelinde VLAN ayrımı yapmak, istemciler arası trafiğin denetlenmesi gibi önemli
noktalar vardır.
Verilerin sızdırılmasının engellenmesi kurumdan çıkan
trafiğin denetlenmesi ile mümkündür.
Türkiye’nin stratejik konumu ve NATO üyesi olmasından dolayı
APT 28 olarak adlandırılan örgütün burada faaliyet göstermediğini düşünmek
büyük hata olur.
Bu nedenle üzerime düşeni yapıp Kamu Kurumlarına (mail
uzantısı mil.tr ve gov.tr olanlar) ve savunma sanayi şirketlerine ücretsiz olarak bilgi
güvenliği farkındalık eğitimi vermek istiyorum.
Eğitim sonucunda personel ve
yöneticiler oltalama saldırılarının gerçekte ne kadar tehlikeli olduğunu
anlayıp kendilerine gelen epostalar konusunda daha dikkatli olacaklar.
Kurum
bünyesinde eğitimi ayarlamak için benimle iletişime geçmeniz yeterlidir.