Teknoloji

Gelişmiş tehdit grubu Lazarus, savunma endüstrisini hedef alıyor

Kampanya 2020’nin başından beri ThreatNeedle isimli özel bir art kapı aracılığıyla savunma sanayisini hedefliyor. Art kapı, hassas bilgileri toplayan virüslü ağlar aracılığıyla hareket ediyor.

Lazarus, günümüzün en etkin tehdit aktörlerinden biri. 2009’dan beri etkin olduğu bilinen Lazarus, bugüne dek büyük ölçekli siber casusluk kampanyalarına, fidye yazılımı kampanyalarına ve hatta kripto para piyasasına yönelik akınlara dahil oldu. Son birkaç yıldır finans kurumlarına odaklanan Lazarus’un, 2020’nin başında savunma sanayiini amaçları ortasına eklediği anlaşılıyor.

Kaspersky araştırmacıları, bir kurumun şüphelendiği güvenlik tehdidine müdahale için çağrıldıklarında bu kampanyadan birinci kere haberdar oldular ve kurumun özel bir art kapının kurbanı olduğunu keşfettiler. ThreatNeedle olarak isimlendirilen bu art kapı, virüslü ağlar aracılığıyla yatay olarak hareket ediyor ve zımnî bilgilerin çalınmasını sağlıyor. Tehditten şimdiye dek bir düzineden fazla ülkede yer alan kuruluşlar etkilendi.

Tehdit birinci bulaşmasını maksatlı kimlik avı yoluyla gerçekleştiriyor. Kurum içinde hedeflenen bireye berbat emelli kod içeren bir Word evrakı yahut şirket sunucularında barındırılan bir kontağın olduğu e-postalar gönderiliyor. E-postaların konusu ekseriyetle pandemiye dair acil güncellemelerle ilgili oluyor ve bildiriye saygın bir tıp merkezinden gönderilmiş süsü veriliyor.

Doküman açıldığında, berbat maksatlı kod sisteme giriyor ve dağıtım sürecinin bir sonraki basamağına geçiliyor. Kampanyada kullanılan ThreatNeedle makus maksatlı yazılımı, Lazarus kümesine ilişkin olan ve daha evvel kripto para şirketlerine saldırdığı görülen Manuscrypt isimli bir makûs maksatlı yazılım ailesine ilişkin. ThreatNeedle sisteme kurulduktan sonra kurbana ilişkin aygıtın tam denetimini ele geçiriyor, belgeleri değiştirmekten uzaktan gönderilen komutları yürütmeye kadar her şeyi yapabiliyor.

Atağın en enteresan tarafı, kümenin hem ofis BT ağlarından (internet erişimi olan bilgisayarları içeren ağ) hem de tesisin sonlandırılmış ağından (kritik misyon varlıklarını ve son derece hassas bilgilere sahip bilgisayarları içeren, internete bağlı olmayan ağ) bilgi çalma marifetine sahip olması. Şirket siyasetine nazaran bu iki ağ ortasında hiçbir bilgi aktarılmaması gerekiyor. Lakin, yöneticiler sistemleri korumak için her iki ağa da bağlanabiliyor. Lazarus bunu yönetici iş istasyonlarının denetimini ele geçirerek ve kısıtlanmış ağdaki kapalı bilgileri çalmak için berbat hedefli bir ağ geçidi kurarak gerçekleştiriyor.

İlgili Makaleler

Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Lazarus, tahminen de 2020’nin en etkin tehdit aktörüydü. Bu durum yakın vakitte değişecek üzere görünmüyor. Bu yılın Ocak ayında Google Tehdit Tahlili Takımı, Lazarus’un güvenlik araştırmacılarını amaç almak için tıpkı art kapıyı kullandığını bildirdi. Gelecekte öbür ThreatNeedle hücumları da bekliyoruz, gözümüzü dört açacağız.”

Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev de şu eklemeyi yapıyor: “Lazarus yalnızca üretken değil, birebir vakitte son derece sofistike bir küme. Sadece ağ bölümlemesinin üstesinden gelmekle kalmadılar, birebir vakitte hayli şahsileştirilmiş ve tesirli maksat kimlik avı e-postaları oluşturmak için kapsamlı araştırmalar yaptılar ve çalınan bilgileri uzaktaki sunucuya aktarmak için özel araçlar geliştirdiler. Hala uzaktan çalışmanın getirdiği zorluklarla uğraşan ve nispeten daha savunmasız olan sanayilerle, bu çeşit gelişmiş ataklara karşı muhafaza sağlamak için ekstra güvenlik tedbirleri almak çok kıymetli.”

ThreatNeedle kampanyası hakkında daha fazla bilgiyi Kaspersky ICS CERT web sitesinde bulabilirsiniz.

Kurumunuzu ThreatNeedle üzere akınlardan korumak için Kaspersky uzmanları şunları öneriyor:

  • Amaçlı atakların birden fazla kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik eğitimi verin.
  • Kurumunuzun operasyonel teknoloji (OT) yahut kritik altyapısı varsa, kurumsal ağdan ayrılmış olduğundan yahut yetkisiz irtibatlara müsaade verilmediğinden emin olun.
  • Çalışanların siber güvenlik siyasetlerinden haberdar olmasını ve bunlara uymasını sağlayın.
  • SOC grubunuzun en son tehdit istihbaratına (TI) erişim sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI için sunduğu erişim noktasıdır ve Kaspersky tarafından 20 yıldan uzun müddettir toplanan siber hücum datalarını ve tahlilleri sağlar.
  • Kaspersky Anti Targeted Attack Platform gibi, ağ seviyesinde gelişmiş tehditleri erken kademede algılayan kurumsal nitelikte güvenlik tahlilleri kullanın.
  • OT ağ trafiğinde izleme, tahlil ve tehdit algılamaya imkan tanıyan Kaspersky Industrial CyberSecurity gibi endüstriyel düğümler ve ağlar için özel olarak tasarlanmış bir tahlilden yardım alabilirsiniz.

Hibya Haber Ajansı

, Hayat > Teknoloji, Hibya Haber Ajansı,

İlgili Makaleler

Başa dön tuşu