Advanced Persistent Threats (APT) – Gelişmiş Kalıcı Tehditleri Anlamak

Advanced Persistent Threats (APT) – Gelişmiş Kalıcı Tehditleri Anlamak

Advanced Persistent Threats (APT), belirli bir hedefe yönelik, uzun süreli ve karmaşık siber saldırılardır. APT’ler, genellikle devlet destekli hacker grupları tarafından gerçekleştirilir ve genellikle yüksek değerli hedeflere yönelik istihbarat toplama veya operasyonel zarar verme amaçlıdır. APT saldırıları, kapsamlı planlama, yüksek düzeyde teknik bilgi ve sürekli erişim gerektirir.

Gelişmiş Sürekli Tehdit (GST), bir kişi veya grubun bir ağa yetkisiz erişim sağladığı ve uzun bir süre boyunca algılanamadığı bilgisayar ağı saldırısıdır. Bu tür saldırılar genel olarak ticari veya politik amaç güden devlet sponsorluğu ile yapılan saldırılar olmasına rağmen, son birkaç yıl içerisinde devlet sponsorluğunda olmayan belirli hedeflere yönelik geniş çaplı GST saldırıları da yaşanmıştır.

GST süreçleri, uzun bir süre boyunca yüksek derecede gizlilik gerektirir. “Gelişmiş” süreç, sistemdeki güvenlik açıklarından yararlanan ve kötü amaçlı yazılım kullanan karmaşık teknikler, “Sürekli” süreç, harici bir komut ve kontrol sisteminin sürekli olarak belirli bir hedeften veri izleyip çıkardığı ve “Tehdit” süreci, insan faktörünün bu saldırılara eşlik ettiği anlamına gelir.

Gelişmiş Sürekli Tehdit, genel olarak belirli bir rakibi hem kalıcı, hem de etkili bir şekilde hedefleme kabiliyeti ve niyeti olan bir grubu ifade eder. GST Terimi, siber tehditlere özellikle de hassas bilgilere erişmek için çeşitli istihbarat toplama teknikleri kullanan İnternet destekli casusluklara atıfta bulunmak için kullanılmasına rağmen geleneksel casusluk veya saldırı gibi diğer tehditler için de kullanılır. Diğer tanınmış saldırı vektörleri arasında medya saldırıları, tedarik zinciri saldırıları ve toplumsal algıya yönelik saldırılar da sayılabilir. Bu saldırıların amacı, belirli bir amaç için bir veya birden fazla bilgisayara zararlı yazılımlarla sızmak ve mümkün olan en uzun süre boyunca tespit edilmeden kalmaktır. Dosya adları gibi saldırı izleri, profesyonellerin etkilenen tüm sistemleri tespit etmesine ve sistem genelinde bir arama yapmasına yardımcı olabilir.

APT Karakteristik Özellikleri

  1. Uzun Süreli Operasyonlar: APT saldırıları, aylarca hatta yıllarca sürebilir. Bu süre zarfında saldırganlar, hedef sistemlerde kalıcılıklarını korur ve tespit edilmemeye çalışır. Uzun süreli operasyonlar, saldırganların daha fazla bilgi toplamasına ve sistemde daha derinlemesine yerleşmesine olanak tanır.

  2. Hedef Odaklı: APT’ler, belirli bir hedefin ağlarına ve sistemlerine sızmak için özel olarak tasarlanır. Hedefler genellikle devlet kurumları, büyük şirketler veya kritik altyapılar gibi yüksek değerli varlıklar olur. Saldırganlar, hedeflerini detaylı bir şekilde analiz eder ve bu hedeflere yönelik özel saldırı stratejileri geliştirir.

  3. Yüksek Karmaşıklık: APT saldırıları, genellikle birçok farklı saldırı vektörünü ve tekniklerini kullanır. Örneğin, sosyal mühendislik, zararlı yazılım, sıfırıncı gün açıkları, kimlik avı (phishing) ve daha birçok yöntem kullanılarak sistemlere sızılır ve bu sistemlerde kalıcılık sağlanır. Bu saldırıların karmaşıklığı, tespit edilmelerini ve durdurulmalarını zorlaştırır.

  4. Gizlilik: APT’ler, mümkün olduğunca uzun süre tespit edilmeden kalmak için çok gizli çalışır. Saldırganlar, genellikle düşük profilli ve yavaş ilerleyen teknikler kullanarak izlerini gizler. Ayrıca, izinsiz erişim sağladıkları sistemlerde dikkat çekmeden hareket ederler.

APT Yaşam Döngüsü

APT saldırıları genellikle aşağıdaki aşamalardan oluşan bir yaşam döngüsüne sahiptir:

  1. Keşif (Reconnaissance): Saldırganlar, hedef hakkında bilgi toplar. Bu aşama, sosyal mühendislik, açık kaynak istihbaratı (OSINT) ve diğer bilgi toplama yöntemlerini içerir. Hedef sistemin zayıf noktaları, ağ yapısı ve çalışanların bilgileri gibi kritik bilgiler toplanır.

  2. İlk Sızma (Initial Compromise): Saldırganlar, hedef sisteme giriş noktası bulur. Bu, genellikle phishing saldırıları, kötü amaçlı e-posta ekleri veya sıfırıncı gün açıkları kullanılarak yapılır. Saldırganlar, hedef sistemde bir ilk erişim noktası elde eder ve bu noktadan sisteme sızarlar.

  3. Kurulum (Establish Foothold): Saldırganlar, kalıcılığı sağlamak için zararlı yazılımları yerleştirir. Bu aşama, genellikle arka kapıların (backdoors) ve uzaktan erişim araçlarının (RATs) kurulmasını içerir. Bu araçlar, saldırganların hedef sistemde uzun süre kalmasını ve sürekli erişim sağlamasını mümkün kılar.

  4. Komuta ve Kontrol (Command and Control – C2): Saldırganlar, sistemle sürekli iletişim kurar. C2 altyapısı, saldırganların hedef sistemleri kontrol etmelerine ve veri aktarmalarına olanak tanır. Bu iletişim genellikle şifrelenmiş ve gizli yollarla yapılır.

  5. Hedef İstihbarat Toplama (Internal Reconnaissance): Saldırganlar, hedef sistemden bilgi toplar. Bu aşama, dosya sistemlerinin taranmasını, hassas verilerin belirlenmesini ve bu verilerin çıkarılmasını içerir. Saldırganlar, hedef sistemin iç yapısını ve zayıf noktalarını daha iyi anlamak için detaylı taramalar yapar.

  6. Veri Çıkarma (Data Exfiltration): Toplanan bilgiler, saldırganların kontrolündeki sistemlere aktarılır. Bu aşama, genellikle güvenli ve gizli veri aktarma yöntemlerini içerir. Saldırganlar, hassas verileri dikkat çekmeden dışarı çıkarır ve kendi sistemlerine iletir.

APT Örnekleri

  • APT28 (Fancy Bear): Rusya merkezli olduğu düşünülen bu grup, NATO ülkeleri ve diğer yüksek profilli hedeflere yönelik saldırılar gerçekleştirmiştir. Özellikle askeri ve hükümet hedeflerine yönelik saldırılarla bilinir. Grup, genellikle phishing saldırıları ve zararlı yazılım kullanarak sistemlere sızar.

  • APT29 (Cozy Bear): Yine Rusya merkezli olduğu düşünülen bu grup, ABD seçimlerine yönelik siber saldırılarla tanınır. Bu grup, genellikle gelişmiş phishing teknikleri ve zararlı yazılım kullanımıyla bilinir. Cozy Bear, uzun süreli ve gizli operasyonlarıyla tanınır.

  • APT10 (Stone Panda): Çin merkezli olduğu düşünülen bu grup, özellikle teknoloji ve havacılık sektörlerinde faaliyet gösteren şirketlere yönelik saldırılar düzenlemiştir. Grup, genellikle bulut hizmet sağlayıcılarına yönelik saldırılarıyla bilinir. APT10, siber casusluk faaliyetleriyle tanınır.

Global Siber Güvenlik Firmalarının Raporlarından Bulgular

Önde gelen siber güvenlik firmalarının raporları, siber tehditlerin doğası ve aktörlerinin motivasyonları hakkında derinlemesine bilgiler sunar. İşte bazı önemli raporlar ve bulguları:

  • FireEye M-Trends 2023: Bu rapor, APT gruplarının hedeflerinin genellikle devlet kurumları ve kritik altyapılar olduğunu ortaya koyuyor. Raporda, devlet destekli grupların %65’inin istihbarat toplama amaçlı saldırılar gerçekleştirdiği belirtiliyor. Ayrıca, bu saldırıların çoğunlukla sosyal mühendislik ve sıfırıncı gün açıkları kullanılarak yapıldığı vurgulanıyor.

  • Symantec Internet Security Threat Report (ISTR) 2023: Bu rapor, finansal motivasyonların en yaygın siber saldırı nedeni olduğunu vurguluyor. Raporda, fidye yazılımlarının %80’inin doğrudan finansal kazanç sağlamak amacıyla kullanıldığı belirtiliyor. Ayrıca, bankacılık truva atlarının ve kimlik hırsızlığının da yaygın olduğu belirtiliyor.

  • CrowdStrike Global Threat Report 2023: Bu rapor, hacktivist saldırıların %15 oranında arttığını ve bu saldırıların genellikle politik veya sosyal amaçlarla gerçekleştirildiğini gösteriyor. Raporda, özellikle COVID-19 pandemisi sırasında sağlık sektörüne yönelik saldırıların arttığına dikkat çekiliyor.

Bu yazı, APT’leri ve onların çalışma yöntemlerini derinlemesine ele alarak, okuyuculara kapsamlı bir anlayış sunmayı amaçlamaktadır. Bu tür tehditlerle mücadele etmek için gelişmiş güvenlik önlemleri ve sürekli izleme önemlidir. APT saldırılarının karmaşıklığı ve uzun süreli doğası, onları tespit etmeyi ve engellemeyi zorlaştırır. Bu nedenle, proaktif siber güvenlik stratejileri ve gelişmiş izleme çözümleri hayati öneme sahiptir. 

Kaynak : https://tr.wikipedia.org/wiki/Geli%C5%9Fmi%C5%9F_s%C3%BCrekli_tehdit

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram