Kaspersky araştırmacıları, 2009’dan beri etkin olan ve bir dizi çok taraflı kampanyayla kontaklı olduğu tespit edilen, epeyce üretken gelişmiş tehdit aktörü Lazarus’un daha evvel bilinmeyen bir kampanya yürüttüğünü belirledi. Kampanya 2020’nin başından beri ThreatNeedle isimli özel bir art kapı aracılığıyla savunma sanayisini hedefliyor. Art kapı, hassas bilgileri toplayan virüslü ağlar aracılığıyla hareket ediyor.
Lazarus, günümüzün en etkin tehdit aktörlerinden biri. 2009’dan beri etkin olduğu bilinen Lazarus, bugüne dek büyük ölçekli siber casusluk kampanyalarına, fidye yazılımı kampanyalarına ve hatta kripto para piyasasına yönelik ataklara dahil oldu. Son birkaç yıldır finans kurumlarına odaklanan Lazarus’un, 2020’nin başında savunma sanayiini gayeleri ortasına eklediği anlaşılıyor.
Kaspersky araştırmacıları, bir kurumun şüphelendiği güvenlik tehdidine müdahale için çağrıldıklarında bu kampanyadan birinci sefer haberdar oldular ve kurumun özel bir art kapının kurbanı olduğunu keşfettiler. ThreatNeedle olarak isimlendirilen bu art kapı, virüslü ağlar aracılığıyla yatay olarak hareket ediyor ve zımnî bilgilerin çalınmasını sağlıyor. Tehditten şimdiye dek bir düzineden fazla ülkede yer alan kuruluşlar etkilendi.
Tehdit birinci bulaşmasını amaçlı kimlik avı yoluyla gerçekleştiriyor. Kurum içinde hedeflenen bireye makûs hedefli kod içeren bir Word belgesi yahut şirket sunucularında barındırılan bir kontağın olduğu e-postalar gönderiliyor. E-postaların konusu ekseriyetle pandemiye dair acil güncellemelerle ilgili oluyor ve bildiriye saygın bir tıp merkezinden gönderilmiş süsü veriliyor.
Belge açıldığında, makûs hedefli kod sisteme giriyor ve dağıtım sürecinin bir sonraki etabına geçiliyor. Kampanyada kullanılan ThreatNeedle makûs emelli yazılımı, Lazarus kümesine ilişkin olan ve daha evvel kripto para şirketlerine saldırdığı görülen Manuscrypt isimli bir makûs hedefli yazılım ailesine ilişkin. ThreatNeedle sisteme kurulduktan sonra kurbana ilişkin aygıtın tam denetimini ele geçiriyor, belgeleri değiştirmekten uzaktan gönderilen komutları yürütmeye kadar her şeyi yapabiliyor.
Saldırının en enteresan tarafı, kümenin hem ofis BT ağlarından (internet erişimi olan bilgisayarları içeren ağ) hem de tesisin sonlandırılmış ağından (kritik vazife varlıklarını ve son derece hassas datalara sahip bilgisayarları içeren, internete bağlı olmayan ağ) bilgi çalma marifetine sahip olması. Şirket siyasetine nazaran bu iki ağ ortasında hiçbir bilgi aktarılmaması gerekiyor. Lakin, yöneticiler sistemleri korumak için her iki ağa da bağlanabiliyor. Lazarus bunu yönetici iş istasyonlarının denetimini ele geçirerek ve kısıtlanmış ağdaki saklı bilgileri çalmak için makus emelli bir ağ geçidi kurarak gerçekleştiriyor.
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Lazarus, tahminen de 2020’nin en faal tehdit aktörüydü. Bu durum yakın vakitte değişecek üzere görünmüyor. Bu yılın Ocak ayında Google Tehdit Tahlili Grubu, Lazarus’un güvenlik araştırmacılarını maksat almak için birebir art kapıyı kullandığını bildirdi. Gelecekte diğer ThreatNeedle taarruzları da bekliyoruz, gözümüzü dört açacağız.”
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev de şu eklemeyi yapıyor: “Lazarus yalnızca üretken değil, tıpkı vakitte son derece sofistike bir küme. Sırf ağ bölümlemesinin üstesinden gelmekle kalmadılar, tıpkı vakitte epeyce şahsileştirilmiş ve tesirli gaye kimlik avı e-postaları oluşturmak için kapsamlı araştırmalar yaptılar ve çalınan bilgileri uzaktaki sunucuya aktarmak için özel araçlar geliştirdiler. Hala uzaktan çalışmanın getirdiği zorluklarla uğraşan ve nispeten daha savunmasız olan sanayilerle, bu cins gelişmiş akınlara karşı muhafaza sağlamak için ekstra güvenlik tedbirleri almak çok değerli.”
ThreatNeedle kampanyası hakkında daha fazla bilgiyi Kaspersky ICS CERT web sitesinde bulabilirsiniz.
Kurumunuzu ThreatNeedle üzere akınlardan korumak için Kaspersky uzmanları şunları öneriyor:
- Hedefli akınların birden fazla kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, çalışanınıza temel siber güvenlik eğitimi verin.
- Kurumunuzun operasyonel teknoloji (OT) yahut kritik altyapısı varsa, kurumsal ağdan ayrılmış olduğundan yahut yetkisiz ilişkilere müsaade verilmediğinden emin olun.
- Çalışanların siber güvenlik siyasetlerinden haberdar olmasını ve bunlara uymasını sağlayın.
- SOC takımınızın en son tehdit istihbaratına (TI) erişim sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI için sunduğu erişim noktasıdır ve Kaspersky tarafından 20 yıldan uzun müddettir toplanan siber atak datalarını ve tahlilleri sağlar.
- Kaspersky Anti Targeted Attack Platform üzere, ağ seviyesinde gelişmiş tehditleri erken basamakta algılayan kurumsal nitelikte güvenlik tahlilleri kullanın.
- OT ağ trafiğinde izleme, tahlil ve tehdit algılamaya imkan tanıyan Kaspersky Industrial CyberSecurity üzere endüstriyel düğümler ve ağlar için özel olarak tasarlanmış bir tahlilden yardım alabilirsiniz.
Kaspersky ICS CERT hakkında
Kaspersky Industrial Control Systems Siber Acil Durum Müdahale Takımı (Kaspersky ICS CERT), endüstriyel işletmeleri siber taarruzlardan korumak için otomasyon sistemi satıcılarının, endüstriyel tesis sahiplerinin ve operatörlerinin ve BT güvenliği araştırmacılarının uğraşlarını koordine etmek için Kaspersky tarafından 2016 yılında başlatılan global bir projedir. Kaspersky ICS CERT, uğraşlarını temel olarak endüstriyel otomasyon sistemlerini ve Endüstriyel Objelerin İnternetini hedefleyen potansiyel ve mevcut tehditleri belirlemeye ayırır. Kaspersky ICS CERT, endüstriyel işletmeleri siber tehditlerden müdafaaya yönelik teklifler geliştiren önde gelen milletlerarası kuruluşların etkin bir üyesi ve ortağıdır.
Kaynak: (BHA) – Beyaz Haber Ajansı