APT ve Ölüm Zinciri

APT (Advanced Persistent Threat) saldırılarını anlamak onları engellemek için önemli bir adımdır. Bu yazıda APT 28 olarak adlandırılan örgütün saldırılarını ve APT tehdidinin özeti olan "ölüm zinciri" sürecine bakacağız.  

Resim 1: Düşmana bakan göz (temsili)

Fireeye tarafından yayınlanan Advanced Persistent Threat raporu Rus siber suçlular dünyasına bir pencere açıyor.  

Bu yazı http://www.fireeye.com/resources/pdfs/apt28.pdf  adresinden ulaşabileceğiniz raporun ana hatlarının ve önemli konu başlıklarının özetidir.

APT 28 olarak adlandırılan siber suç örgütünün hedefindeki kurumlar genel olarak Rus hükümeti çıkarları ile paralellik gösteriyor.

APT 28 Gürcistan, Doğu Avrupa ve NATO Üyesi ülkelerdeki kişileri hedef alıyor.

APT 28 tarafından kullanılan zararlı yazılımların profesyonel bir geliştirme ortamında ve 2007’den beri sürekli iyileştirilerek üretildiği anlaşılıyor. Yazılım analizinin yapılmasına karşı önlemlerin alınmış olduğu görülmektedir.

Örgüt kullandığı zararlı yazılımları hedef ağ ve sistemlere uygun olarak ayarlıyor.

2007 yılından itibaren, bu gruba ait, yakalanan zararlı yazılım örneklerinin yarısından fazlasında geliştirme ortamının dil ayarının Rusça olduğu anlaşılmaktadır.

APT 28 tarafından kullanılan zararlı yazılımların çok büyük bir bölümü, Moskova çalışma günleri ve saatlerine uygun olarak Pazartesi – Cuma günleri ve sabah 8:00 akşam 18:00 saatleri arasında derlenmiş.

Örgüt hedef aldığı kişilere ve kurumlara ilgilerini çekecek özel olarak hazırlanmış oltalama (phishing/spearphishing) epostaları gönderiyor.

APT28 Gürcistan İçişleri Bakanlığı’na karşı yapılan ve 2013 yılında tespit edilen bir saldırıda zararlı kod içeren ve Gürcistan’daki ehliyet sahibi olanların listesinin olduğu bir excel dosyası kullanılmış. Zararlı bulaştıktan sonra mia.ge.gov (İçişleri Bakanlığı uzantısı) bir eposta adresi üzerinden ekinde ağ ve sistemler hakkında topladığı bilgilerin bulunduğu bir eposta göndermeye çalışıyor. Böylece veriler, daha az kontrol edilen bir yol üzerinden sızdırılıyor.

Örgütün bir başka denemesinde ise “MIA Users\Ortachala…” adresinde bulunan bir Windows güncellemesinin yüklenmesi gerektiğini iddia etmiş. Aşağıdaki resimde bu denemenin “sisteminizin güncellemelerinin yüklenmesi gerekmektedir… Bu mesaj size OTD IT Support tarafından gönderilmiştir” mealinde olduğu anlaşılmaktadır.

Resim 2: Örnek oltalama saldırısı 

APT 28 Gürcistan Savunma Bakanlığı’nı hedef aldığı saldırıda ise Bakanlık ile birlikte Bakanlığıa hizmet veren bir şirket de hedef alınmıştır. Bu saldırıda her iki grupta çalışanların doğrum günlerinin listesi olduğu iddia edilen bir dosya ile birlikte, İçişleri Bakanlığı örneğinde görülene benzer bir zararlı yazılım kullanılmış.

Örgüt aynı zamanda Kafkasya bölgesi hakkında haber yapan gazetecileri de hedef almıştır. “Reason” adlı derginin Baş Editörü tarafından gönderilmiş gibi görünen eposta ile gazetecilerden belli bir konuda görüş bildirmeleri istenmiş. Bu epostanın ekinin de hedef sisteme “sourface” (ekşi surat) olarak adlandırılan arka kapı yazılımını yüklediği ve bu sayede örgütün gazetecilerin bilgisayarlarındaki bilgilere erişe bildiği görülmüştür.

Aşağıdaki ekran görüntüsünde gerçek alanadlarını taklit eden ve APT 28 tarafından kaydedildiği düşünülen alanadlarını görüyoruz. Bunlardan ilki İslami bir haber ajansı (kavkazcenter.com yerine kavkazcentr.info)  gibi görünürken diğeri Ermenistan Silahlı Kuvvetlerine aitmiş havası yaratıyor (mil.am yerine rnil.am).

Resim 3: Oltalama için kullanılan örnek alanadları

Polonya, Letonya ve Estonya gibi Doğu Avrupa ülkelerinin de APT 28 tarafından hedef alındı tespit edilmiştir. Bu ülkelerde Bakanlıkların yanında A.B.D. ve diğer Avrupa ülkeleri ile ortak tatbikat ve çalışma gruplarına dahil olan kişilerin de özel olarak hedef alındığı görülmüştür.

NATO ve OSCE (Organization for Security and Cooperation in Europe) gibi Avrupa ve Küresel güvenlik örgütlerinin ve bu örgüt içerisinde çeşitli görevler üstlenen kişilerin de hedef alındığı görülmektedir. Bu amaçla APT 28 tarafından alınan alanadlarından bazılar aşağıda görülmektedir.

Resim 4: NATO ve OSCE'ye özel hazırlanmış alanadları

Bazı alanadların, EuroNaval 2014, EUROSATORY 2014, Farnborough Airshow 2014 ve Counter Terror Expo gibi güvenlik ve savunma fuarı alanadlarına benzetilmiş olması örgütün bu fuara katılanların ve ziyaret edenleri de hedef aldığını göstermektedir.

APT 28 tarafından hedef alındığı düşünülen bazı Kurumlar ise şunlardır;

• Norveç Ordusu
• Meksika hükümeti
• Pakistan Deniz Kuvvetleri
• Avrupa Birliği Komisyonu
• Dünya Bankası
• OPEC
• Hizb ut-Tahir
• Macaristan Hükümeti
• Özbekistan Dışişleri Bakanlığı
• Türkiye’deki Askeri Ataşelikler

APT 28 saldırılarında gözlemlenen genel adımlar aşağıdakilerdir

1. Hedefe özel hazırlanmış oltalama epostası gönderilir
2. Zararlı yazılım içeren dosya açılır
3. Zararlı yazılım çalışır
4. “SOURFACE” olarak adlandırılan gelişmiş zararlı yazılım indirilir

Rapor kullanılan zararlı yazılımların biraz daha ayrıntılı ele alınmasıyla bitiyor. (bkz. Bundan sonra yazdıklarım raporda yok)

Saldırılara “cool” isimler takmaya meraklı Amerikalı meslektaşlarım bu saldırılarda görülen yönteme “Ölüm Zinciri” (Kill Chain) adını takmışlardır. Hedefin kandırılarak bir eposta ekini açmasıyla başlayan zincir bilginin sızdırılmasına kadar uzanıyor.

Aşağıdaki 6 adım hem Türkiye’de hem de Uluslararası güvenlik ihlali olaylarında gördüğüm tipik “ölüm zinciri” akışını özetliyor.

Resim 5: "Ölüm Zinciri" adımları

Bu tür bir saldırının başarıya ulaşması için zincirin tamamlanması ve her aşamanın başarıyla geçilmesi gerekiyor. Saldırının istismar ettiği asıl zafiyet insan olduğu için engellemesi en zor saldırı türü olduğunu kabul etmek lazım. Öte yandan zincirin her hangi bir adımda kırılması veya bir sonraki aşamaya geçememesi saldırının kısmen veya tamamen etkisiz hale gelmesini sağlar.

Ölüm zincirini kırabileceğimiz 3 önemli nokta var; ilk aşama, iç ağ içerisindeki yatay hareketler ve verinin dışarıya sızdırılması. Bu adımlarda başarısız olan bir saldırının örgüte faydası olmayacaktır.

İlk aşamada, personelin gelen epostanın ekini açmaması veya eposta içerisindeki bağlantıya tıklamaması önemlidir. Bunu engellemek için de bilinen en etkili yol bilgi güvenliği farkındalık eğitimleridir.

Saldırganların iç ağ içerisinde hareketlerini kısıtlayacak yapının kurulması için bir miktar yatırım gerektiği doğrudur ancak işin temelinde VLAN ayrımı yapmak, istemciler arası trafiğin denetlenmesi gibi önemli noktalar vardır.

Verilerin sızdırılmasının engellenmesi kurumdan çıkan trafiğin denetlenmesi ile mümkündür.

Türkiye’nin stratejik konumu ve NATO üyesi olmasından dolayı APT 28 olarak adlandırılan örgütün burada faaliyet göstermediğini düşünmek büyük hata olur. 

Bu nedenle üzerime düşeni yapıp Kamu Kurumlarına (mail uzantısı mil.tr ve gov.tr olanlar) ve savunma sanayi şirketlerine ücretsiz olarak bilgi güvenliği farkındalık eğitimi vermek istiyorum.

Eğitim sonucunda personel ve yöneticiler oltalama saldırılarının gerçekte ne kadar tehlikeli olduğunu anlayıp kendilerine gelen epostalar konusunda daha dikkatli olacaklar. 

Kurum bünyesinde eğitimi ayarlamak için benimle iletişime geçmeniz yeterlidir.