APT’lerden kaynaklanan istenmeyen hasarlar

İnsanların APT’lerle ilişkisi genellikle casuslukla olan ilişkileriyle aynıdır: Gerçekten çok ciddi bir sorun, ama biz sıradan ölümlüleri ilgilendirmez, değil mi? Birçoğumuz telefonlarımızda önemli endüstriyel veya devlet sırları taşımıyoruz ve bilgisayarlarımızda gizli bilgilerle çalışmıyoruz, o zaman neden onları ilgilendirelim ki?

Bu açıdan insanlar çoğunlukla haklı Ortalama birinin ulus-devlet destekli bir aktör tarafından hedeflenmesi çok olağan dışıdır; buna rağmen yine de istenmeyen ikincil hasar olabiliriz. Kaspersky’nin Küresel Araştırma ve Analiz Ekibi’nden (GReAT) Daniel Creus, yakın zamanda Barselona’da bu konu hakkında bir konuşma yaptı. Bu yazı, bu konuşmayı hızla özetliyor ve sıradan insanların bir APT saldırısına karşı koyabilmesinin üç yolunu açıklıyor.

1. İstenmeyen hasar senaryosu: Yanlış zamanda yanlış web sitesi

Daha küçük aktörlerle karşılaştırıldığında APT’ler, uzaktan watering hole saldırılarını mümkün kılanlar da dahil olmak üzere bir dizi sıfır gün kötüye kullanımına yetecek maddi güce sahip. 2019 yılında Google Project Zero tarafından yapılan bir araştırma, bir aktörün hedeflerin casus yazılımlar bulaştırmak için 5 farklı istismar zincirinde 14’e kadar farklı güvenlik açığı kullandığını gösterdi.

Bu güvenlik açıklarından bazıları, politika ile ilgili belirli web sitelerini ziyaret eden iOS kullanıcılarına uzaktan virüs bulaştırmak için kullanıldı. Bu kişilerin telefonuna casus yazılım bulaşmış oldu. Mesele şu ki, bu aktör, web sitesi ziyaretçileri arasında ayrım yapmadı; yani bu, siteyi ziyaret eden tüm iOS kullanıcılarına, aktörün ilgisini çekip çekmediklerine bakılmaksızın virüs bulaştığı anlamına geliyor.

Üstelik bu, watering hole içeren tek APT saldırısı da değil. Örneğin, meşhur NotPetya’nın (diğer adıyla ExPetr’nın) saldırı vektörlerinden biri, bir hükümet web sitesine virüs bulaştırarak işe başladı. Kullanıcılar web sitesini ziyaret ettiğinde, kötü amaçlı yazılımlar bilgisayarlarına indirilip çalıştırılıyordu. NotPetya’nın muazzam bir istenmeyen ikincil hasar yarattığını hatırlıyorsunuzdur.

Dolayısıyla, APT’lerle ilgili sorunlardan biri şu: Tehdit oluşturan aktörler özellikle sizi hedeflemekle ilgilenmeyebilir, ancak yanlış web sitesini ziyaret ederseniz veya yanlış uygulamayı indirirseniz yine de virüs size de bulaşır ve cihazınızdaki özel bilgiler NotPetya gibi APT fidye yazılımlarına maruz kalır veya hasar görür.

2. İstenmeyen hasar senaryosu: Siber suçluların ellerindeki ciddi oyuncaklar

Diğer şeylerin yanı sıra APT’ler, genellikle diğer APT’lerin sırlarını bulmaya çalışır. Birbirlerini hackleme eğilimindedirler ve bazen düşmanlarının kullandığı araçları sızdırırlar. Diğer, daha küçük ve daha az gelişmiş aktörler bu araçları alır ve bazen kontrolden çıkan kötü amaçlı yazılımlar yaratmak için kullanırlar. Ünlü WannaCry silicisinin, Equation Group’un siber silah cephaneliğini yayınlamaya karar veren ShadowBrokers tarafından sızdırılan istismarlardan biri olan EternalBlue kullanılarak oluşturulduğunu unutmayın.

NotPetya/ExPetr, Bad Rabbit, EternalRocks ve diğerleri de dahil olmak üzere birçok başka tehdit de EternalBlue istismarına dayanıyordu. Sızan bir kötüye kullanım, bir dizi büyük salgını ve yüz binlerce bilgisayarı etkiledi ve dünyadaki çok sayıda işletmenin ve devlet kurumunun işleyişini bozdu.

Özetle, sıradan insanların APT’lerle ilgili karşılaştığı ikinci sorun, tehditkar aktörlerin gerçekten tehlikeli araçlar yaratması ve bazen bunları koruyamaması. Sonuç olarak bu tehlikeli şeyler, onları kullanmakta tereddüt etmeyen, bazen çok sayıda masum insanı etkileyen, çeşitli yetkinlik derecelerindeki siber suçluların eline geçebiliyor.

3. İstenmeyen hasar senaryosu: Toplanan verilerin sızması

Yukarıda belirttiğimiz gibi, APT’erin arkasındaki aktörler birbirlerini hackleme eğilimindedir. Yağmaladıkları şeyler bazen sadece araçlar olmaz; düşmanlarının bu araçları kullanarak topladıkları bilgileri de yayınlayabilirler. Örneğin, meşhur siber casusluk aracı ZooPark tarafından toplanan veriler, bu şekilde halka açık hale getirilmişti.

Geçtiğimiz iki yıl içinde 13 kadar takip programı satıcısının, korunmasız, halka açık bir Web sunucusunda çevrimiçi olarak topladıkları bilgiler hacklendi veya korumasız bırakıldı. Sızıntılar daha ciddi aktörleri de etkiler; kötü şöhretli FinFisher’ın yaratıcıları da saldırıya uğradı; daha önce gözetleme araçları geliştiren çok daha kötü şöhretli Hacking Takımı da hacklendi.

Yani, üçüncü bir sorun daha var: Bir APT’nin ortalama kullanıcılarla hiçbir ilgisi olmasa ve bilgilerini yalnızca onlara karşı kullanmadan stoklasa bile, bu APT veri sızdırdığı takdirde, küçük balıklar bu bilgileri zorla almak veya özel verileri ele geçirmek için bu bilgilere memnuniyetle atlarlar: Kredi Kart numaraları ve belge taramalarından, iletişim bilgileri ve fotoğraflara kadar her şeyi ele geçirmeye çalışırlar.

APT’lerden nasıl korunabiliriz?

APT’ler ortalama bir kötü amaçlı yazılımdan önemli ölçüde daha karmaşık olsa da, yaygın tehditlere karşı kullandığımız tekniklerin aynıları, APT’lere karşı korunmaya da yardımcı olur.

• Android telefonlara üçüncü taraf kaynaklardan uygulama yüklenmesini devre dışı bırakın. Gerçekten Google Play dışından güvenilir bir uygulama yüklemeniz gerekiyorsa, bir kez izin verin, ancak işiniz bittiğinde ayarı değiştirmeyi unutmayın.
• Cihazınıza yüklediğiniz uygulamaların izinlerini düzenli olarak kontrol edin ve belirli bir uygulama için gerekli olmadığını düşündüğünüz izinleri iptal edin. Bir uygulamanın yüklemeden önce kullandığı izinlerin listesini kontrol etmeyi de ihmal etmeyin Listeyi Google Play’de bulabilirsiniz.
• Şüpheli web sitelerini ziyaret etmekten ve tamamen güvenmediğiniz kaynaklardan gelen bağlantıları tıklamaktan kaçının. Tanımadığınız kişiler size iyi niyetli bağlantılar ve uygulamalar göndermez. Bazı APT’ler meşru web sitelerini de enfekte edebilir, ancak çoğu eski usül kimlik avını esas alır.
• Cihaza yüklenmek veya indirilmek üzere olan her şeyi tarayan; her bağlantıyı ve her paketi kontrol eden güvenilir bir güvenlik çözümü kullanın. Bunu son bir savunma hattı olarak düşünün: Kötü amaçlı bir aktör sizi kandırsa veya cihazınıza giriş yapmak için bir güvenlik açığından faydalansa bile, güvenlik çözümü sizi korur.