Diğer siber tehdit aktörlerinden farklı olarak daha kapsamlı, büyük bütçeler gerektiren, uzun vadeli ve sonuçları itibariyle de daha etkili siber saldırılar gerçekleştiren ve devletlerin istihbarat birimleri tarafından da desteklenen siber tehdit aktörleri, ülkelerin ve büyük şirketlerin başına bela olmuş durumda.
Advanced Persistent Threat, kısaca APT olarak adlandırılan bu aktörler, hedefe koydukları sistemlere ilk sızmanın ardından arka kapı (backdoor) adı verilen bir zararlı yazılım çalıştırarak söz konusu sisteme tekrar giriş yapabilme imkanına kavuşurlar. Hedef ağdaki sistemlerde zararlı kodların çalıştırılmasıyla birlikte yetki artırımı (privillega escalation) sağlayarak sistemde en yüksek seviye kullanıcı yetkilerine kadar kendilerini teçhiz ederler. Sistemin savunma mekanizmaları olan Firewall Sistemleri (Güvenlik Duvarı), EDR/XDR (Endpoint/Extended Detection and Response) adı verilen büyük ölçek antivirüs yazılımları ve SIEM (Security Information and Event Management) olarak adlandırılan sistemdeki tüm log kayıtlarının analiz edildiği araçların korumasını etkisiz hale getirdikten sonra sistem içinde yanal hareketlerle ulaşılabilecek en uç noktaya ulaşmayı hedeflerler. Hedef sistemdeki dosyalara erişim sağladıktan sonra ise sistemin komuta ve kontrolünü tamamen ele geçirir ve saldırıyı neticeye ulaştırırlar.
Bu tür, gelişmiş ve kalıcı etkileri olan siber saldırıların devletler tarafından desteklendiği görüşü yaygın bir biçimde kabul görmektedir. Örneğin;
Microsoft tarafından yayınlanan Dijital Savunma Raporu’nda 2021 yılında meydana gelen devlet destekli siber saldırıların %58’inin Rusya kaynaklı olduğu bilgisine yer verildi. Ülkedeki bilgisayar korsanlarının başarı oranı bir önceki yıl %21 iken 2021 de bu oran %32’ye ulaştı. Bunda siber saldırıların Rusya ve benzer yapıdaki ülkelerde çok güçlü hukuki altyapıyla takip edilmemesi ve ciddi anlamda bu olayların üzerine gidilmemesi gösteriliyor. Siber saldırıların en çok hedef aldığı ülkenin ABD olduğu belirtilen raporda, kaydedilen en yüksek saldırı hacmi Kuzey Kore, İran ve Çin’den kaynaklandı. Güney Kore ve Türkiye de ilk kez Microsoft’un yıllık raporunda yer aldı.
Dünya kamuoyunda bilinen birçok ünlü APT grubu bulunmakta. Bunlardan ilk akla gelenlerine ve son dönemlerde gerçekleştirdikleri saldırılara kısaca değinelim.
APT29 ve Solarwinds Saldırısı
ABD’nin geniş çaplı bir kriz yaşamasına neden olan SolarWinds saldırısının arkasında Rusya’nın destek verdiği düşünülen APT29 ekibi olduğu tahmin ediliyor.
SolarWinds’e ait Orion adlı programın güncellemesini indirirken oluşan yazılım açığını kullanan saldırı, muhtemelen tarihteki en maliyetli siber saldırı olarak yukarıda değindiğimiz WannaCry saldırısını gölgede bırakacak gibi gözüküyor. ABD’nin Hazine, İç Güvenlik ve Ticaret Bakanlıkları ile Pentagon’un bazı bölümlerinin etkilendiğine inanılmasına rağmen, saldırının gerçek büyüklüğü halen tam olarak bilinmiyor. Sunburst adlı kötü amaçlı yazılım saldırısının ilk aşamasına maruz kalan 18.000 SolarWind müşterisi, saldırganların öncelikli hedefleri arasında olup olmadıklarını belirlemek için tehdit değerlendirmesi yapmaktadır. Microsoft, mevcut TTP’lere (Taktik, Teknik ve Prosedür) ek ve karmaşık TTP’ler ile güvenliği ihlal edilen ve tehdit aktörlerinin stratejik olarak hedef aldığı 40’tan fazla müşteriyi belirledi.
SolarWinds ağında en az iki farklı tehdit aktörü olduğu değerlendiriliyor. Biri, FireEye tarafından keşfedilen APT dereceli tehdit aktörüyken, diğeri ise SUPERNOVA arka kapı açıklarını yayan daha az gelişmiş bir başka tehdit aktörüdür.
APT31 Saldırıları
APT31, Çin Hükümeti ile de bağlantıları olan ve Zirconium, Judgment Panda ve Red Keres olarak da bilinen bir APT grubu. APT31, İngiltere hükümetinin Five Eyes ülkeleri (ABD, İngiltere, Yeni Zelanda, Kanada ve Avustralya), Avrupa Birliği, NATO ve Japonya’nın Microsoft Exchange sunucu saldırılarını resmi olarak Çin hükümetine bağlı bilgisayar korsanlarına atfettiği üç tehdit grubundan biri. APT31’in geçen yıl Finlandiya parlamentosu da dahil olmak üzere Avrupa ülkelerinde devlet kurumlarını, siyasi figürleri, müteahhitleri ve hizmet sağlayıcıları hedef aldığı tahmin ediliyor.
Stuxnet
İran’da uranyum zenginleştirme santrifüjlerini engelleyen ve ülkenin nükleer programını birkaç yıl yavaşlatan karmaşık, çok yönlü kötü amaçlı yazılımdır. Endüstriyel sistemlere karşı siber silahların kullanılması ilk kez Stuxnet saldırısı ile gerçekleşti. ABD’nin desteklediği bir saldırı olduğu tahmin edilen ve network üzerinde kendi kendine hızla yayılma yeteneğine sahip bir zararlı solucan (worm) yazılımı olan Stuxnet, uranyum zenginleştirme santrifüjlerine etki ederek dönüş hızını oldukça yüksek bir seviyeye ayarlayarak bu santrifüjleri fiziksel olarak yok ediyordu.
APT Saldırılarından Korunma Yolları
Devlet destekli gelişmiş kalıcı tehdit aktörlerinin diğer tüm siber tehditler gibi kesin olarak engellenmesi mümkün olmazken mevcut risklerin azaltılması ve kabul edilebilir seviyelere indirilmesi daha gerçekçi bir hedef olarak karşımıza çıkmaktadır. Bu kapsamda;
- Hedefli saldırıların çoğu kimlik avı (Phishing) veya diğer sosyal mühendislik (social engineering) teknikleriyle başladığından, şirketler ya da kurumlar tarafından çalışanlarına temel siber güvenlik eğitimi verilmeli ve siber güvenlik politikalarından haberdar olmaları sağlanmalıdır.
- Erişim kontrolleri sıkılaştırılarak ağa bağlı sistemlere çok faktörlü giriş yöntemleri (Multifactor Authentication – MFA) uygulanmalı ve olası veri sızıntılarına karşı koruma sağlanmalıdır.
- Siber Güvenlik ekiplerinin gelişmiş tehdit istihbaratına (Threat Intelligence -TI) erişimini ve tehdit aktörlerini aktif olarak takip etmesini sağlamak suretiyle tehditlere karşı proaktif bir müdahale stratejisi izlenmelidir.
- Oluşabilecek tehditleri ve zero-day açıklıkları olarak bilinen henüz tedbir geliştirilmemiş saldırı vektörlerini erken aşamada algılayan, ileri seviye güvenlik çözümleri kullanılmalıdır.
- Güvenlik yamaları güncel tutularak APT saldırganlarının yararlanabileceği güvenlik açıklarının sayısı azaltılmalıdır.
- Çok katmanlı güvenlik altyapısı kurularak ağdaki güvenlik boşlukları kapatılmalı; Firewall, WAF (Web Application Firewall), IPS (Intrusion Prevention System) ve SIEM’den (Security Information and Event Management) oluşan güvenlik mimarisi ile sistemde yaşanacak anomolilere ilave olarak erişim istekleri ve oturum açma işlemleri daha hızlı gözden geçirilmeli, sıra dışı davranışlar tespit edilmelidir.
- Bir “izin verilenler listesi – (whitelist)” oluşturulması ve ağdan hangi etki alanlarına ve uygulamalara erişime izin verildiğinin belirlenmesi APT saldırı yüzeyini daha da sınırlar.
Sonuç
ABD merkezli siber güvenlik kuruluşlarına göre siber saldırıların 2021 yılı sonunda küresel ekonomiye zararının 6 trilyon dolara ulaşması bekleniyor. Siber saldırıların küresel maliyetinin 2015’teki 3 trilyon dolar düzeyinden 2025’e kadar 10,5 trilyon dolara ulaşılacağı da öngörülmekte.
Berkshire Hathaway alt şirketi Business Wire, 2019’da 161 milyar dolar değere sahip olan siber güvenlik pazarının 2025 yılında 363 milyar dolara ulaşacağını tahmin ediyor. Bu güçlü öngörünün arkasında ise son yıllarda siber güvenliğe yapılan yatırımdaki artış var. Özellikle pandemi sonrası alınan önlemler kapsamında çoğu sektörün uzaktan çalışma modeline geçmesi, siber güvenliğin önemini bir kez daha ortaya koydu. İş gücünün çeşitli bölgelere dağılması ve dijital adaptasyonun hızlanmasıyla siber güvenlik, şirketler için artık bir seçenekten ziyade gereklilik haline geldi. Crunchbase verilerine göre 2020 yılında siber güvenlik sektörüne yapılan yatırım miktarı 7,8 milyar dolarla şu ana kadarki en yüksek düzeyine ulaşırken, siber güvenlik alanında faaliyet gösteren şirketlere yapılan yatırımlar da 2011’den bu yana dokuz kat arttı.
Tüm bu veriler, siber güvenliğin önemini ve tehditlerin ciddiyetini gösterirken, Corona pandemisi dönemi öncesinde yapılan hatalardan ders çıkarma yolunda ciddi emareler olduğunu da çok açık bir şekilde ortaya koyuyor. Umulur ki bu yatırımlar uzun vadeli bir güvenlik tehdidine karşı ekonomik kaygılarla uygulamaya konan yüzeysel tedbirler değil gelecekte yaşanması muhtemel daha büyük maliyet ve acıları önlemek maksadıyla atılan gerçekçi adımlar olsun. Çünkü dünya bir Corona krizini daha kaldırabilir mi, hiçbirimiz emin değiliz!