Kaspersky araştırmacıları 2009’dan beri faal olan ve bir dizi çok taraflı kampanyayla ilişkili olduğu tespit trabzon escort edilen epey üretken gelişmiş tehdit aktörü Lazarus’un daha evvel bilinmeyen bir kampanya yürüttüğünü belirledi Kampanya 2020’nin başından beri ThreatNeedle isimli özel bir art kapı aracılığıyla savunma sanayisini hedefliyor Art kapı tunceli escort hassas bilgileri toplayan virüslü ağlar aracılığıyla hareket ediyor
Lazarus günümüzün en etkin tehdit aktörlerinden biri 2009’dan beri etkin olduğu bilinen Lazarus bugüne dek büyük ölçekli siber casusluk kampanyalarına fidye yazılımı zonguldak escort kampanyalarına ve hatta kripto para piyasasına yönelik ataklara dahil oldu Son birkaç yıldır finans kurumlarına odaklanan Lazarus un 2020’nin başında savunma sanayiini gayeleri ortasına eklediği anlaşılıyor
Kaspersky araştırmacıları bir kurumun şüphelendiği güvenlik tehdidine müdahale için çağrıldıklarında bu kampanyadan birinci sefer haberdar oldular ve kurumun özel bir art kapının kurbanı olduğunu keşfettiler ThreatNeedle olarak isimlendirilen bu art kapı virüslü ağlar aracılığıyla yatay olarak hareket ediyor ve bâtın bilgilerin çalınmasını sağlıyor Tehditten şimdiye dek bir düzineden fazla ülkede yer alan kuruluşlar etkilendi
Tehdit birinci bulaşmasını maksatlı kimlik avı yoluyla gerçekleştiriyor Kurum içinde hedeflenen bireye makûs gayeli kod içeren bir Word evrakı yahut şirket sunucularında barındırılan bir irtibatın olduğu e postalar gönderiliyor E postaların konusu çoklukla pandemiye dair acil güncellemelerle ilgili oluyor ve iletiye saygın bir tıp merkezinden gönderilmiş süsü veriliyor
Belge açıldığında berbat emelli kod sisteme giriyor ve dağıtım sürecinin bir sonraki etabına geçiliyor Kampanyada kullanılan ThreatNeedle makûs hedefli yazılımı Lazarus kümesine ilişkin olan ve daha evvel kripto para şirketlerine saldırdığı görülen Manuscrypt isimli bir berbat emelli yazılım ailesine ilişkin ThreatNeedle sisteme kurulduktan sonra kurbana ilişkin aygıtın tam denetimini ele geçiriyor evrakları değiştirmekten uzaktan gönderilen komutları yürütmeye kadar her şeyi yapabiliyor
Saldırının en enteresan tarafı kümenin hem ofis BT ağlarından internet erişimi olan bilgisayarları içeren ağ hem de tesisin sonlandırılmış ağından kritik vazife varlıklarını ve son derece hassas bilgilere sahip bilgisayarları içeren internete bağlı olmayan ağ data çalma hünerine sahip olması Şirket siyasetine nazaran bu iki ağ ortasında hiçbir bilgi aktarılmaması gerekiyor Lakin yöneticiler sistemleri korumak için her iki ağa da bağlanabiliyor Lazarus bunu yönetici iş istasyonlarının denetimini ele geçirerek ve kısıtlanmış ağdaki kapalı bilgileri çalmak için makûs maksatlı bir ağ geçidi kurarak gerçekleştiriyor
Kaspersky Global Araştırma ve Tahlil Takımı GReAT Kıdemli Güvenlik Araştırmacısı Seongsu Park şunları söylüyor Lazarus tahminen de 2020’nin en etkin tehdit aktörüydü Bu durum yakın vakitte değişecek üzere görünmüyor Bu yılın Ocak ayında Google Tehdit Tahlili Takımı Lazarus’un güvenlik araştırmacılarını amaç almak için birebir art kapıyı kullandığını bildirdi Gelecekte öteki ThreatNeedle taarruzları da bekliyoruz gözümüzü dört açacağız
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev de şu eklemeyi yapıyor Lazarus yalnızca üretken değil tıpkı vakitte son derece sofistike bir küme Sırf ağ bölümlemesinin üstesinden gelmekle kalmadılar birebir vakitte hayli şahsileştirilmiş ve tesirli maksat kimlik avı e postaları oluşturmak için kapsamlı araştırmalar yaptılar ve çalınan bilgileri uzaktaki sunucuya aktarmak için özel araçlar geliştirdiler Hala uzaktan çalışmanın getirdiği zorluklarla uğraşan ve nispeten daha savunmasız olan sanayilerle bu tıp gelişmiş hücumlara karşı muhafaza sağlamak için ekstra güvenlik tedbirleri almak çok değerli
ThreatNeedle kampanyası hakkında daha fazla bilgiyi Kaspersky ICS CERT web site sinde bulabilirsiniz
Kurumunuzu ThreatNeedle üzere hücumlardan korumak için Kaspersky uzmanları şunları öneriyor
- Hedefli akınların birden fazla kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığından işçinize temel siber güvenlik eğitimi verin.
- Kurumunuzun operasyonel teknoloji OT yahut kritik altyapısı varsa kurumsal ağdan ayrılmış olduğundan yahut yetkisiz kontaklara müsaade verilmediğinden emin olun
- Çalışanların siber güvenlik siyasetlerinden haberdar olmasını ve bunlara uymasını sağlayın
- SOC grubunuzun en son tehdit istihbaratına TI erişim sağlayın Kaspersky Tehdit İstihbarat Portalı, şirketin TI için sunduğu erişim noktasıdır ve Kaspersky tarafından 20 yıldan uzun müddettir toplanan siber atak datalarını ve tahlilleri sağlar.
- Kaspersky Anti Targeted Attack Platform üzere, ağ seviyesinde gelişmiş tehditleri erken basamakta algılayan kurumsal nitelikte güvenlik tahlilleri kullanın.
- OT ağ trafiğinde izleme tahlil ve tehdit algılamaya imkan tanıyan Kaspersky Industrial CyberSecurity üzere endüstriyel düğümler ve ağlar için özel olarak tasarlanmış bir tahlilden yardım alabilirsiniz.
Kaspersky ICS CERT hakkında
Kaspersky Industrial Control Systems Siber Acil Durum Müdahale Takımı Kaspersky ICS CERT endüstriyel işletmeleri siber hücumlardan korumak için otomasyon sistemi satıcılarının endüstriyel tesis sahiplerinin ve operatörlerinin ve BT güvenliği araştırmacılarının eforlarını koordine etmek için Kaspersky tarafından 2016 yılında başlatılan global bir projedir Kaspersky ICS CERT uğraşlarını temel olarak endüstriyel otomasyon sistemlerini ve Endüstriyel Objelerin İnternetini hedefleyen potansiyel ve mevcut tehditleri belirlemeye ayırır Kaspersky ICS CERT endüstriyel işletmeleri siber tehditlerden muhafazaya yönelik teklifler geliştiren önde gelen memleketler arası kuruluşların faal bir üyesi ve ortağıdır
Kaynak BHA Beyaz Haber Ajansı
