Siber Saldırılar Değişiyor: At İzi İt İzine Karıştı

Bazı devletlerin siber saldırı becerilerini her geçen gün geliştirdiğini biliyoruz. Genelde siber saldırılar ile ilgili haberler “X APT grubu Y ülkesinin savunma bakanlığına sızdı” şeklinde çıkar. Bu sefer ise bir APT grubunun bir diğer APT grubunu hedef aldığını görüyoruz.

APT (Advanced Persistent Threat – Gelişmiş sürekli saldırı) grupları teknik becerileri yüksek ve önemli kaynaklara sahip siber saldırı gruplarıdır. Son olayda bu alanda faaliyet gösteren 2 önemli grubun karşı karşıya geldiğini görüyoruz.

Siber Saldırılar Şekil Değiştiriyor: Rus APT grubu Turla, İranlı OilRig’i hedef aldı.  

Grupları yakından izleyen Symantec tarafından yayımlanan bilgiye göre Turla grubu Orta Doğu’daki bazı hedeflere yönelik saldırıları gerçekleştirmek için İran’lı OilRig grubu tarafından kullanılan altyapıdan faydalandı. Grupların arasında bir işbirliği imkansız olmasa bile, buna dair henüz bir ize rastlanmamış olması bu olayın APT grupları arasında yaşanan bir saldırının sonucu olabileceğini düşündürüyor.

Yayımlanan belgede; Turla’nın ele geçirdiği sistemleri sadece hedeflere karşı kullanmakla kalmayıp, aynı zamanda İranlı grubun sistemlerine sızmak için bir basamak olarak kullanmış olabileceğine de dikkat çekiliyor.

Daha önce EternalBlue gibi çok önemli istismar kodlarının Amerikan istihbarat örgütü NSA’ye ait bir sunucudan çalındığı olayını hatırlatan gelişme, gözlerden uzak yaşanan bir savaş gerçekliğini de gözler önüne seriyor.

Nasıl anlaşıldı?

APT gruplarının belli operasyonel özellikleri vardır. Her yiğidin bir yoğurt yiyişi vardır derler, her APT grubunun da tercih ettiği bazı yöntemler olduğunu görüyoruz. Kimisi sosyal mühendislik yönünü geliştirmişken, kimisi de sıfır gün açıklarını kullanarak doğrudan sistemleri hedef alır. Bu olayda İranlı grup tarafından kullanılan bir sistemden kaynaklanan saldırının içerisinde Rus grup tarafından tercih edilen bir unsurun bulunmuş olması en önemli ipuçlarından birisi olarak kabul edilebilir. Rus APT grubu Turla, bizlerin de sızma testlerde kullandığı ve yaygın olarak bilinen Mimikatz aracının kodunu değiştirip kullandığı daha önceki olaylardan biliniyordu. Bu aracın şimdiye kadar OilRig’e atfedilen herhangi bir saldırıda kullanılmamış olması rastlandı değil. Olayda OilRig’i hedef alabilecek Mimikatz varyantı ise 2 yıl önce İngiltere’de tespit edilen saldırılarda kullanılmıştı.

Olayın akışına baktığımızda ise bazı konular biraz daha netleşebilir: Saldırının yaşandığı 11 Ocak günü, hedef ağda 1 sisteme Turla (Ruslar) tarafından sızıldığı görülmüş. 12 Ocak’ta ise aynı hedef ağda başka bir sisteme OilRig (İranlılar) tarafından kullanıldığı bilinen bir altyapı kullanılarak sızıldığı tespit edilmiş. İşlerin ilginçleşmeye başladığı nokta ise, 12 Ocak tarihinden itibaren OilRig komuta sunucusundan Turla’ya ait bir zararlının dağıtılmaya başlanmış olması.

Yeni araçlar

İnceleme sırasında Turla grubunun yeni araçlar geliştirdiği ve son saldırılarda bunları kullandığı da ortaya çıkmış. Saldırıların ülkemizde de kamu, Telekom ve eğitim sektörlerinden kuruluşları hedef alması nedeniyle OilRig altyapısını kullanan Turla konusunda ayrıca dikkatli olmakta fayda var.

Bu gelişme saldırı analizi sırasında aslında kim tarafından hedef alındığımızı anlamamızı da zorlaştıracak. İranlı bir grup tarafından kullanıldığını bildiğimiz bir komuta sunucusuna rastlarsak bu İran mıdır? İran sunucusunu ele geçirmiş Ruslar mıdır? Yoksa bu iki grup işbirliği içerisinde midir? Zor sorular, neredeyse imkansız cevaplar.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*