Asya Kritik Altyapısına Yönelik Kapsamlı Siber Tehdit Analizi
Siber güvenlik dünyası, son dönemde Asya kıtasındaki yüksek değerli kuruluşları hedef alan, uzun soluklu ve sofistike bir siber casusluk faaliyetini mercek altına aldı. Palo Alto Networks Unit 42 tarafından yürütülen detaylı analizler, bu saldırıların arkasında daha önce belgelenmemiş bir tehdit aktivite grubunun olduğunu ortaya çıkardı. Bu grup, özellikle havacılık, enerji, hükümet kurumları, kolluk kuvvetleri, ilaç, teknoloji ve telekomünikasyon gibi ulusal güvenliği doğrudan etkileyen kritik sektörleri hedef alıyor.
Saldırı Zincirinde Kullanılan Temel Teknikler
Saldırganların operasyonel yöntemleri, güncel güvenlik açıklarından ve yaygın olarak bilinen post-exploit araçlarından faydalandığını gösteriyor. Tehdit aktörlerinin ilk erişimi sağlamak için sıklıkla **web sunucusu güvenlik açıklarını** kullandığı belirlendi. Bu, saldırganların dışarıdan erişilebilir sistemlere sızmak için bilinen zafiyetleri aktif olarak taradığını ve istismar ettiğini işaret ediyor.
İlk erişimin ardından, grubun hareket kabiliyetini artırmak ve ağ içinde yatay hareket sağlamak için kritik araçlara başvurduğu gözlemlendi:
- Mimikatz Kullanımı: Elde edilen ilk erişimle, saldırganlar sistem belleğinden parolaları, hash'leri ve Kerberos biletlerini çıkarmak için endüstrinin en bilinen araçlarından biri olan Mimikatz'ı devreye soktu. Bu, kimlik bilgilerinin ele geçirilmesi ve ağ içinde ayrıcalık yükseltilmesi için temel bir adımdı.
- Hedef Odaklılık: Saldırganların, yalnızca teknik altyapıyı değil, aynı zamanda veri bütünlüğünü ve operasyonel sürekliliği tehlikeye atacak kurumları seçmesi, bu faaliyetin ardındaki motivasyonun istihbarat toplama veya sabotaj olabileceğini düşündürüyor.
- Yıllara Yayılan Kampanya: Bu aktivitenin tek seferlik bir girişimden ziyade, yıllardır süregelen tutarlı bir stratejinin parçası olması, grubun derinlemesine bilgi birikimine ve uzun vadeli hedeflere sahip olduğunu kanıtlamaktadır.
BT Güvenliği İçin Çıkarımlar
Bu tür gelişmiş tehditlere karşı koymak, sadece yama yönetimine odaklanmaktan öteye geçmeyi gerektirir. Kritik altyapı operatörleri, özellikle dışa dönük web sunucularının güvenliğini sürekli denetlemeli ve sıfır gün açığına karşı proaktif savunma mekanizmaları kurmalıdır. Ayrıca, Mimikatz gibi araçların kullanımını tespit edebilecek gelişmiş uç nokta algılama ve yanıt (EDR) çözümlerinin konuşlandırılması hayati önem taşır. Bellek içi kimlik avı girişimlerine karşı LAPS (Local Administrator Password Solution) gibi önlemlerin uygulanması, saldırganların ele geçirdiği kimlik bilgilerini kullanma yeteneğini önemli ölçüde kısıtlayacaktır. Kurumsal siber dayanıklılığı artırmak, sürekli izleme ve tehdit istihbaratı entegrasyonu ile mümkündür.
