APT İngilizcesi Advanced Persistent Threat
olan ülkemizde ise “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı”
olarak iki farklı şekilde duyulabilen özel bir saldırı türüdür.
APT’yi özel bir saldırı türü olarak sınıflandırmamdaki
neden oluşturduğu tehdidin diğerlerinden farklı olmasıdır. Bilgi güvenliği
konusunda tehdit kelimesinin risk anlamından biraz daha farklı kullanılmasında
fayda olacaktır. Bizim için tehdidi oluşturan bileşenler saldırganın
motivasyonu (gerekçesi), beceri düzeyi ve olayların tarihçesidir. Elbette,
geçmişte bir saldırı olması, tekrar saldırı olacağı veya hiç saldırı olmamış
olması bir saldırı olmayacağı anlamına gelmez ancak bizlere tehlikenin boyutu
hakkında önemli bilgiler verir.
Saldırganların motivasyonlarını anlamak için
çeşitli saldırgan profilleri ve temel motivasyonlarına, yani saldırıyı
gerçekleştirmedeki amaçlarına, bakarsak aşağıdaki durumu görürüz.
Siber suçlular: kolay ve çok para kazanma
fırsatı
Hacktivist: İdeolojik bir amaca hizmet
Hacker grupları: Ünlü olma, adını duyurma
Egemen devletler: Ulusal güvenlik ve ulusal
çıkarlar
Suç örgütleri: Belli şahısların becerilerini
veya karşılarına çıkan fırsatları değerlendirip para kazanmak
Saldırganların motivasyon düzeyini
değerlendirmek için amacı uğruna ne kadar süreyle çalışmayı göze aldığına
bakmak lazım. İlk birkaç denemeden sonra daha kolay ele geçirebilecekleri bir
hedef aramaya başlayacak siber suçlular, hacktivistler veya suç örgütlerinin
aksine APT olarak adlandırabileceğimiz saldırıları gerçekleştirecek gruplar
amaçlarına ulaşana kadar saldırmaya devam ederler.
Sürekli veya devamlı niteliklerinin yanında
APTler saldırganların teknik kabiliyetleriyle de diğer suçlardan ayrılır.
Cryptolocker gibi fidye talep eden bir yazılıma dayalı bir operasyon yürütmek
için çok derin teknik bilgiye ihtiyaç yoktur. Bu yazılımı ve yazılımı kontrol
edecek sistemler yasadışı kaynaklardan kiralanıp işletilebilir.
Tehditleri
saldırganların yeteneklerine göre sınıflandıracak olursak karşımıza şu kademeler
çıkabilir;
Basit tehdit: “wifi hackleme” ve “facebook
patlatma” seviyesinde 1-2 kaynak okumuş “meraklı”, metodoloji bilmeyen,
başlangıç seviyesi olarak nitelendirebileceğimiz saldırganlardır.
Sürekli basit tehdit (basit tehdit beceri
düzeyi + saldırgan motivasyonu)
Akıllı tehdit
Sürekli akıllı tehdit (Akıllı tehdit beceri
düzeyi + saldırgan motivasyonu): Kevin Mitnick bu seviyeye iyi bir örnek
oluşturmaktadır. İleri düzey teknik becerisi, hedef aldığı şirket veya kuruma
sızmak için yürüttüğü sosyal mühendislik çalışmalarının tamamı Kevin’i
“sürekli” bir tehdit haline getirmiştir.
İleri seviye tehdit
Sürekli ileri seviye tehdit (ileri seviye
tehdit + saldırgan motivasyonu): Rusya’nın APT28 ve Çin’in APT1 grupları
bunlara tipik örneklerdir.
APT olarak adlandırdığımız tehdit türü
(sürekli ileri seviye tehdit) en gelişmiş teknik beceri ve en yüksek seviyede
motivasyon gerektiren saldırılardır.
Basit tehdit sürekli olsa bile saldırganın
teknik beceri düzeyinin düşük olması nedeniyle, gerekli tedbirlerin alınması
koşuluyla, çok az durumda başarıya ulaşır. Akıllı tehditler ise teknik bilgi ve
becerisi belli bir düzeyinin üzerinde olan saldırganlarca düzenlendiği için,
özellikle sürekli olması halinde, ciddi bir tehdit oluşturmaktadır. İleri
seviye tehditler, gerekli teknik beceri seviyesi itibariyle “Akıllı” olarak
nitelendirdiğimiz tehdit grubundan çok da farklı değildir.
Bir tehdidi ileri
seviye olarak nitelendirmek için temelde 4 unsurun bulunması gerekir;
- Hedef ve saldırı ile ilgili stratejik düşünce
- Saldırılarda sistematik/askeri niteliklerde yaklaşım
- Kimlik gizleme becerisi
- Saldırganların kullanabileceği daha geniş bir saldırı vektörü havuzu
APT olarak adlandırabileceğimiz saldırılarda
kullanılan zararlı yazılımlar Stuxnet, Flame, Duqu veya Wiper ile sınırlı
değildir. APTlerde birden fazla saldırı vektörünün (örneğin sosyal mühendislik)
ve sıradan bir saldırgandan farklı bir yaklaşım görüyoruz. Aşağıda kısaca
özetlediğim Duqu örneğinde görüldüğü gibi saldırganlar ele geçirdikleri
sistemden veri çalmaya çalışmak yerine stratejik öneme sahip olabilecek
bilgileri toplamaya çalışmışlardır.
Duqu ilk olarak 2011 yılında tespit edilmiştir
ismini oluşturduğu dosyaların ismini DQ ile başlatmasından almakta ve temelde
bulaştığı sistem hakkında bilgi toplamayı amaçlamaktadır. Duqu’yu yazanların
büyük ölçüde Stuxnet’in kaynak kodundan faydalanmış olabilecekleri
düşünülmektedir.
Hedef sisteme eposta ekinde gönderilen bir
Word belgesinin içindeki kodla bulaşan Duqu sistem üzerinde bir arka kapı açar.
Yerel ağ üzerinde yayılma becerisine de sahip olan Duqu bulaştığı sistemden
aşağıdaki bilgileri sızdırır:
- Sistem bilgisi
- Klavye hareketleri
- Sistem üzerinde ve sistemden erişilen sistemlerde kullanılan parolalar
- Ekran görüntüleri
- Yerel ağdaki diğer sistemlerin bilgileri (bu özelliği ile potansiyel Stuxnet hedeflerini belirlemekte kullanılmış olabileceği düşünülebilir).
APT saldırılarının metodolojisi temel bir kaç
işlevde hacker metodolojisine benzese de yaklaşım ve “felsefe” bakımından
farklılıklar sergilemektedir. Temel olarak APT saldırganlarında gördüğümüz bazı
özellikler şunlardır;
- Ciddi hazırlık süreci
- Çok detaylı bilgi toplama aşaması
- Planlama ve uygulamada sabırlı yaklaşım
- Saldırı adımlarının sosyal bileşenleri konusunda bilgi
- Etkili olmaya öncelik vermeleri (bu anlamda basit saldırıları da kullanırlar)
- Yaratıcı düşünme yeteneği
- Asıl saldırı vektörünü gizlemeye yönelik dikkat dağıtma çabası
- Henüz yaygınlaşmamış/duyulmamış istismar kodlarının kullanılması
- Fiziksel sızma eyleminden çekinmemeleri
APT saldırıları özellikle Kamu Kurumları,
kritik altyapıları, büyük şirketleri, finans sektörünü ve telekom
operatörlerini hedef almaktadır. Hedef olabilecek bir yerde çalışıyorsanız
mevcut durumunuzu 7 adımdan oluşan ve incelenen olaylarda kullanıldığını
bildiğimiz APT metodolojisine göre değerlendirmenizde fayda vardır.
No comments:
Post a Comment