{"id":7882,"date":"2020-03-10T12:21:41","date_gmt":"2020-03-10T09:21:41","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=7882"},"modified":"2020-03-10T12:21:41","modified_gmt":"2020-03-10T09:21:41","slug":"apt-collateral-damage","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/apt-collateral-damage\/7882\/","title":{"rendered":"APT’lerden kaynaklanan istenmeyen hasarlar"},"content":{"rendered":"

\u0130nsanlar\u0131n APT\u2019lerle ili\u015fkisi genellikle casuslukla olan ili\u015fkileriyle ayn\u0131d\u0131r: Ger\u00e7ekten \u00e7ok ciddi bir sorun, ama biz s\u0131radan \u00f6l\u00fcml\u00fcleri ilgilendirmez, de\u011fil mi? Bir\u00e7o\u011fumuz telefonlar\u0131m\u0131zda \u00f6nemli end\u00fcstriyel veya devlet s\u0131rlar\u0131 ta\u015f\u0131m\u0131yoruz ve bilgisayarlar\u0131m\u0131zda gizli bilgilerle \u00e7al\u0131\u015fm\u0131yoruz, o zaman neden onlar\u0131 ilgilendirelim ki?<\/p>\n

Bu a\u00e7\u0131dan insanlar \u00e7o\u011funlukla hakl\u0131 Ortalama birinin ulus-devlet destekli bir akt\u00f6r taraf\u0131ndan hedeflenmesi \u00e7ok ola\u011fan d\u0131\u015f\u0131d\u0131r; buna ra\u011fmen yine de istenmeyen ikincil hasar olabiliriz. Kaspersky\u2019nin K\u00fcresel Ara\u015ft\u0131rma ve Analiz Ekibi\u2019nden (GReAT) Daniel Creus, yak\u0131n zamanda Barselona\u2019da bu konu hakk\u0131nda bir konu\u015fma yapt\u0131. Bu yaz\u0131, bu konu\u015fmay\u0131 h\u0131zla \u00f6zetliyor ve s\u0131radan insanlar\u0131n bir APT sald\u0131r\u0131s\u0131na kar\u015f\u0131 koyabilmesinin \u00fc\u00e7 yolunu a\u00e7\u0131kl\u0131yor.<\/p>\n

1. \u0130stenmeyen hasar senaryosu: Yanl\u0131\u015f zamanda yanl\u0131\u015f web sitesi<\/h2>\n

Daha k\u00fc\u00e7\u00fck akt\u00f6rlerle kar\u015f\u0131la\u015ft\u0131r\u0131ld\u0131\u011f\u0131nda APT\u2019ler, uzaktan watering hole sald\u0131r\u0131lar\u0131n\u0131 m\u00fcmk\u00fcn k\u0131lanlar da dahil olmak \u00fczere bir dizi s\u0131f\u0131r g\u00fcn k\u00f6t\u00fcye kullan\u0131m\u0131na yetecek maddi g\u00fcce sahip. 2019 y\u0131l\u0131nda Google Project Zero taraf\u0131ndan yap\u0131lan bir ara\u015ft\u0131rma<\/a>, bir akt\u00f6r\u00fcn hedeflerin casus yaz\u0131l\u0131mlar bula\u015ft\u0131rmak i\u00e7in 5 farkl\u0131 istismar zincirinde 14\u2019e kadar farkl\u0131 g\u00fcvenlik a\u00e7\u0131\u011f\u0131 kulland\u0131\u011f\u0131n\u0131 g\u00f6sterdi.<\/p>\n

Bu g\u00fcvenlik a\u00e7\u0131klar\u0131ndan baz\u0131lar\u0131, politika ile ilgili belirli web sitelerini ziyaret eden iOS kullan\u0131c\u0131lar\u0131na uzaktan vir\u00fcs bula\u015ft\u0131rmak i\u00e7in kullan\u0131ld\u0131. Bu ki\u015filerin telefonuna casus yaz\u0131l\u0131m bula\u015fm\u0131\u015f oldu. Mesele \u015fu ki, bu akt\u00f6r, web sitesi ziyaret\u00e7ileri aras\u0131nda ayr\u0131m yapmad\u0131; yani bu, siteyi ziyaret eden t\u00fcm iOS kullan\u0131c\u0131lar\u0131na, akt\u00f6r\u00fcn ilgisini \u00e7ekip \u00e7ekmediklerine bak\u0131lmaks\u0131z\u0131n vir\u00fcs bula\u015ft\u0131\u011f\u0131 anlam\u0131na geliyor.<\/p>\n

\u00dcstelik bu, watering hole i\u00e7eren tek APT sald\u0131r\u0131s\u0131 da de\u011fil. \u00d6rne\u011fin, me\u015fhur NotPetya\u2019n\u0131n (di\u011fer ad\u0131yla ExPetr\u2019n\u0131n)<\/a> sald\u0131r\u0131 vekt\u00f6rlerinden biri, bir h\u00fck\u00fcmet web sitesine vir\u00fcs bula\u015ft\u0131rarak i\u015fe ba\u015flad\u0131. Kullan\u0131c\u0131lar web sitesini ziyaret etti\u011finde, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar bilgisayarlar\u0131na indirilip \u00e7al\u0131\u015ft\u0131r\u0131l\u0131yordu. NotPetya\u2019n\u0131n muazzam bir istenmeyen ikincil hasar yaratt\u0131\u011f\u0131n\u0131 hat\u0131rl\u0131yorsunuzdur.<\/p>\n

Dolay\u0131s\u0131yla, APT\u2019lerle ilgili sorunlardan biri \u015fu: Tehdit olu\u015fturan akt\u00f6rler \u00f6zellikle sizi hedeflemekle ilgilenmeyebilir, ancak yanl\u0131\u015f web sitesini ziyaret ederseniz veya yanl\u0131\u015f uygulamay\u0131 indirirseniz yine de vir\u00fcs size de bula\u015f\u0131r ve cihaz\u0131n\u0131zdaki \u00f6zel bilgiler NotPetya gibi APT fidye yaz\u0131l\u0131mlar\u0131na maruz kal\u0131r veya hasar g\u00f6r\u00fcr.<\/p>\n

2. \u0130stenmeyen hasar senaryosu: Siber su\u00e7lular\u0131n ellerindeki ciddi oyuncaklar<\/h2>\n

Di\u011fer \u015feylerin yan\u0131 s\u0131ra APT\u2019ler, genellikle di\u011fer APT\u2019lerin s\u0131rlar\u0131n\u0131 bulmaya \u00e7al\u0131\u015f\u0131r. Birbirlerini hackleme e\u011filimindedirler ve bazen d\u00fc\u015fmanlar\u0131n\u0131n kulland\u0131\u011f\u0131 ara\u00e7lar\u0131 s\u0131zd\u0131r\u0131rlar. Di\u011fer, daha k\u00fc\u00e7\u00fck ve daha az geli\u015fmi\u015f akt\u00f6rler bu ara\u00e7lar\u0131 al\u0131r ve bazen kontrolden \u00e7\u0131kan k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar yaratmak i\u00e7in kullan\u0131rlar. \u00dcnl\u00fc WannaCry silicisinin<\/a>, Equation Group\u2019un siber silah cephaneli\u011fini yay\u0131nlamaya karar veren ShadowBrokers taraf\u0131ndan s\u0131zd\u0131r\u0131lan istismarlardan biri olan EternalBlue kullan\u0131larak olu\u015fturuldu\u011funu unutmay\u0131n.<\/p>\n

NotPetya\/ExPetr, Bad Rabbit<\/a>, EternalRocks ve di\u011ferleri de dahil olmak \u00fczere bir\u00e7ok ba\u015fka tehdit de EternalBlue istismar\u0131na dayan\u0131yordu. S\u0131zan bir k\u00f6t\u00fcye kullan\u0131m, bir dizi b\u00fcy\u00fck salg\u0131n\u0131 ve y\u00fcz binlerce bilgisayar\u0131 etkiledi ve d\u00fcnyadaki \u00e7ok say\u0131da i\u015fletmenin ve devlet kurumunun i\u015fleyi\u015fini bozdu.<\/p>\n

\u00d6zetle, s\u0131radan insanlar\u0131n APT\u2019lerle ilgili kar\u015f\u0131la\u015ft\u0131\u011f\u0131 ikinci sorun, tehditkar akt\u00f6rlerin ger\u00e7ekten tehlikeli ara\u00e7lar yaratmas\u0131 ve bazen bunlar\u0131 koruyamamas\u0131. Sonu\u00e7 olarak bu tehlikeli \u015feyler, onlar\u0131 kullanmakta teredd\u00fct etmeyen, bazen \u00e7ok say\u0131da masum insan\u0131 etkileyen, \u00e7e\u015fitli yetkinlik derecelerindeki siber su\u00e7lular\u0131n eline ge\u00e7ebiliyor.<\/p>\n

3. \u0130stenmeyen hasar senaryosu: Toplanan verilerin s\u0131zmas\u0131<\/h2>\n

Yukar\u0131da belirtti\u011fimiz gibi, APT\u2019erin arkas\u0131ndaki akt\u00f6rler birbirlerini hackleme e\u011filimindedir. Ya\u011fmalad\u0131klar\u0131 \u015feyler bazen sadece ara\u00e7lar olmaz; d\u00fc\u015fmanlar\u0131n\u0131n bu ara\u00e7lar\u0131 kullanarak toplad\u0131klar\u0131 bilgileri de yay\u0131nlayabilirler. \u00d6rne\u011fin, me\u015fhur siber casusluk arac\u0131 ZooPark<\/a> taraf\u0131ndan toplanan veriler, bu \u015fekilde halka a\u00e7\u0131k hale getirilmi\u015fti.<\/p>\n

Ge\u00e7ti\u011fimiz iki y\u0131l i\u00e7inde 13 kadar takip program\u0131 sat\u0131c\u0131s\u0131n\u0131n, korunmas\u0131z, halka a\u00e7\u0131k bir Web sunucusunda \u00e7evrimi\u00e7i olarak toplad\u0131klar\u0131 bilgiler hacklendi veya korumas\u0131z b\u0131rak\u0131ld\u0131. S\u0131z\u0131nt\u0131lar daha ciddi akt\u00f6rleri de etkiler; k\u00f6t\u00fc \u015f\u00f6hretli FinFisher\u2019\u0131n yarat\u0131c\u0131lar\u0131 da sald\u0131r\u0131ya u\u011frad\u0131<\/a>; daha \u00f6nce g\u00f6zetleme ara\u00e7lar\u0131 geli\u015ftiren \u00e7ok daha k\u00f6t\u00fc \u015f\u00f6hretli Hacking Tak\u0131m\u0131<\/a> da hacklendi.<\/p>\n

Yani, \u00fc\u00e7\u00fcnc\u00fc bir sorun daha var: Bir APT\u2019nin ortalama kullan\u0131c\u0131larla hi\u00e7bir ilgisi olmasa ve bilgilerini yaln\u0131zca onlara kar\u015f\u0131 kullanmadan stoklasa bile, bu APT veri s\u0131zd\u0131rd\u0131\u011f\u0131 takdirde, k\u00fc\u00e7\u00fck bal\u0131klar bu bilgileri zorla almak veya \u00f6zel verileri ele ge\u00e7irmek i\u00e7in bu bilgilere memnuniyetle atlarlar: Kredi Kart numaralar\u0131 ve belge taramalar\u0131ndan, ileti\u015fim bilgileri ve foto\u011fraflara kadar her \u015feyi ele ge\u00e7irmeye \u00e7al\u0131\u015f\u0131rlar.<\/p>\n\n

APT\u2019lerden nas\u0131l korunabiliriz?<\/h2>\n

APT\u2019ler ortalama bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mdan \u00f6nemli \u00f6l\u00e7\u00fcde daha karma\u015f\u0131k olsa da, yayg\u0131n tehditlere kar\u015f\u0131 kulland\u0131\u011f\u0131m\u0131z tekniklerin ayn\u0131lar\u0131, APT\u2019lere kar\u015f\u0131 korunmaya da yard\u0131mc\u0131 olur.<\/p>\n