olan ülkemizde ise “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı”
olarak iki farklı şekilde duyulabilen özel bir saldırı türüdür.
neden oluşturduğu tehdidin diğerlerinden farklı olmasıdır. Bilgi güvenliği
konusunda tehdit kelimesinin risk anlamından biraz daha farklı kullanılmasında
fayda olacaktır. Bizim için tehdidi oluşturan bileşenler saldırganın
motivasyonu (gerekçesi), beceri düzeyi ve olayların tarihçesidir. Elbette,
geçmişte bir saldırı olması, tekrar saldırı olacağı veya hiç saldırı olmamış
olması bir saldırı olmayacağı anlamına gelmez ancak bizlere tehlikenin boyutu
hakkında önemli bilgiler verir.
çeşitli saldırgan profilleri ve temel motivasyonlarına, yani saldırıyı
gerçekleştirmedeki amaçlarına, bakarsak aşağıdaki durumu görürüz.
fırsatı
çıkarlar
veya karşılarına çıkan fırsatları değerlendirip para kazanmak
değerlendirmek için amacı uğruna ne kadar süreyle çalışmayı göze aldığına
bakmak lazım. İlk birkaç denemeden sonra daha kolay ele geçirebilecekleri bir
hedef aramaya başlayacak siber suçlular, hacktivistler veya suç örgütlerinin
aksine APT olarak adlandırabileceğimiz saldırıları gerçekleştirecek gruplar
amaçlarına ulaşana kadar saldırmaya devam ederler.
Sürekli veya devamlı niteliklerinin yanında
APTler saldırganların teknik kabiliyetleriyle de diğer suçlardan ayrılır.
Cryptolocker gibi fidye talep eden bir yazılıma dayalı bir operasyon yürütmek
için çok derin teknik bilgiye ihtiyaç yoktur. Bu yazılımı ve yazılımı kontrol
edecek sistemler yasadışı kaynaklardan kiralanıp işletilebilir.
saldırganların yeteneklerine göre sınıflandıracak olursak karşımıza şu kademeler
çıkabilir;
patlatma” seviyesinde 1-2 kaynak okumuş “meraklı”, metodoloji bilmeyen,
başlangıç seviyesi olarak nitelendirebileceğimiz saldırganlardır.
düzeyi + saldırgan motivasyonu)
düzeyi + saldırgan motivasyonu): Kevin Mitnick bu seviyeye iyi bir örnek
oluşturmaktadır. İleri düzey teknik becerisi, hedef aldığı şirket veya kuruma
sızmak için yürüttüğü sosyal mühendislik çalışmalarının tamamı Kevin’i
“sürekli” bir tehdit haline getirmiştir.
tehdit + saldırgan motivasyonu): Rusya’nın APT28 ve Çin’in APT1 grupları
bunlara tipik örneklerdir.
(sürekli ileri seviye tehdit) en gelişmiş teknik beceri ve en yüksek seviyede
motivasyon gerektiren saldırılardır.
Basit tehdit sürekli olsa bile saldırganın
teknik beceri düzeyinin düşük olması nedeniyle, gerekli tedbirlerin alınması
koşuluyla, çok az durumda başarıya ulaşır. Akıllı tehditler ise teknik bilgi ve
becerisi belli bir düzeyinin üzerinde olan saldırganlarca düzenlendiği için,
özellikle sürekli olması halinde, ciddi bir tehdit oluşturmaktadır. İleri
seviye tehditler, gerekli teknik beceri seviyesi itibariyle “Akıllı” olarak
nitelendirdiğimiz tehdit grubundan çok da farklı değildir.
seviye olarak nitelendirmek için temelde 4 unsurun bulunması gerekir;
- Hedef ve saldırı ile ilgili stratejik düşünce
- Saldırılarda sistematik/askeri niteliklerde
yaklaşım - Kimlik gizleme becerisi
- Saldırganların kullanabileceği daha geniş bir
saldırı vektörü havuzu
kullanılan zararlı yazılımlar Stuxnet, Flame, Duqu veya Wiper ile sınırlı
değildir. APTlerde birden fazla saldırı vektörünün (örneğin sosyal mühendislik)
ve sıradan bir saldırgandan farklı bir yaklaşım görüyoruz. Aşağıda kısaca
özetlediğim Duqu örneğinde görüldüğü gibi saldırganlar ele geçirdikleri
sistemden veri çalmaya çalışmak yerine stratejik öneme sahip olabilecek
bilgileri toplamaya çalışmışlardır.
ismini oluşturduğu dosyaların ismini DQ ile başlatmasından almakta ve temelde
bulaştığı sistem hakkında bilgi toplamayı amaçlamaktadır. Duqu’yu yazanların
büyük ölçüde Stuxnet’in kaynak kodundan faydalanmış olabilecekleri
düşünülmektedir.
Word belgesinin içindeki kodla bulaşan Duqu sistem üzerinde bir arka kapı açar.
Yerel ağ üzerinde yayılma becerisine de sahip olan Duqu bulaştığı sistemden
aşağıdaki bilgileri sızdırır:
- Sistem bilgisi
- Klavye hareketleri
- Sistem üzerinde ve sistemden erişilen
sistemlerde kullanılan parolalar - Ekran görüntüleri
- Yerel ağdaki diğer sistemlerin bilgileri (bu özelliği
ile potansiyel Stuxnet hedeflerini belirlemekte kullanılmış olabileceği
düşünülebilir).
işlevde hacker metodolojisine benzese de yaklaşım ve “felsefe” bakımından
farklılıklar sergilemektedir. Temel olarak APT saldırganlarında gördüğümüz bazı
özellikler şunlardır;
- Ciddi hazırlık süreci
- Çok detaylı bilgi toplama aşaması
- Planlama ve uygulamada sabırlı yaklaşım
- Saldırı adımlarının sosyal bileşenleri
konusunda bilgi - Etkili olmaya öncelik vermeleri (bu anlamda
basit saldırıları da kullanırlar) - Yaratıcı düşünme yeteneği
- Asıl saldırı vektörünü gizlemeye yönelik
dikkat dağıtma çabası - Henüz yaygınlaşmamış/duyulmamış istismar
kodlarının kullanılması - Fiziksel sızma eyleminden çekinmemeleri
APT saldırıları özellikle Kamu Kurumları,
kritik altyapıları, büyük şirketleri, finans sektörünü ve telekom
operatörlerini hedef almaktadır. Hedef olabilecek bir yerde çalışıyorsanız
mevcut durumunuzu 7 adımdan oluşan ve incelenen olaylarda kullanıldığını
bildiğimiz APT metodolojisine göre değerlendirmenizde fayda vardır.