?>

Kaspersky, APT kampanyası TunnelSnake'i ortaya çıkardı

"Söz konusu kampanyayı belirli bir aktöre bağlayamasak da APT'de kullanılan hedefler ve araçlar Çince konuşan gruplarla bağlantılı. Bu nedenle aktörün muhtemelen Çince konuştuğunu düşünüyoruz"

Yerel haber-Şirket Haber - 4 yıl önce

 Kaspersky araştırmacıları, 2019'dan beri aktif olan ve Asya ve Afrika'daki bölgesel diplomatik kuruluşları hedef alan gelişmiş kalıcı tehdit (APT) kampanyası TunnelSnake'i ortaya çıkardı.

Kaspersky açıklamasına göre, saldırganlar daha önce bilinmeyen, Moriya adında bir rootkiti kulandı. İşletim sistemi üzerinde güce sahip olan bu kötü amaçlı rootkit, tehdit aktörlerinin ağ trafiğini engellemesini ve virüs bulaşmış ana bilgisayarlara gönderilen kötü amaçlı komutları gizlemesini sağladı. Bu, saldırganların hedeflenen kuruluşların ağlarını birkaç ay boyunca gizlice kontrol etmesiyle sonuçlandı.

Saldırganlara virüs bulaşmış bir bilgisayara neredeyse sınırsız ve gizli erişim yetkisi sağlayan kötü amaçlı programlar veya yazılım araçları rootkit olarak isimlendiriliyor. Rootkitler, işletim sisteminin yapısına uyum sağlama yetenekleri nedeniyle gizlilik ve tespitten kaçabilmeleriyle biliniyor. Yıllar boyunca Microsoft tarafından sistemleri korumak için alınan önlemler sayesinde rootkit bileşenlerinin başarılı bir şekilde yerleştirilmesi ve yürütülmesi zor bir görev haline geldi. Bu nedenle çoğu Windows rootkit artık TunnelSnake gibi yüksek profilli APT saldırılarında kullanılıyor.

Kaspersky, kampanyayla ilgili yaptığı araştırmada hedeflenen ağlarda rootkit tespit etmesinin ardından ürünlerinden benzer bir dizi uyarı almaya başladı. Moriya olarak adlandırılan bu rootkit, işletim sistemi çekirdeğinin bulunan, olarak yalnızca ayrıcalıklı ve güvenilir kodun çalıştığı bir bellek bölgesi olan Windows çekirdeğinin adres alanından geçen ağ paketlerini yakalıyor ve denetliyor. Bu, kötü amaçlı yazılımın kendisine teslim edilen benzersiz kötü amaçlı paketleri işletim sisteminin ağ yığını tarafından işlenmeden önce yakalamasına izin veriyor.

Bu teknik sayesinde saldırganlar güvenlik çözümleri tarafından tespit edilmekten kaçınmayı başardı. İkinci olarak rootkit, yaygın kullanılan arka kapılardan farklı olarak komut istemek için herhangi bir sunucuya ulaşma yoluna gitmedi. Bunun yerine bunları kötü amaçlı yazılımın incelediği ağ trafiğinin büyük bir kısmıyla harmanlanmış, özel olarak işaretlenmiş paketler halinde teslim aldı. Bu teknik rootkitin komuta kontrol altyapısını sürdürme ihtiyacını ortadan kaldırmasına, analizleri engellemesine ve aktivitesini gizlemesine izin verdi.

Moriya, çoğunlukla hedeflenen organizasyon içindeki savunmasız web sunucularına yönelik saldırılar sonucunda konuşlandırıldı. Bir örnekte saldırganlar, virüslü sunucunun uzaktan kontrolüne izin veren kötü amaçlı bir kod olan China Chopper web kabuğunu sunucuya bulaştırdı. Bu web kabuğu ile elde edilen erişim sayesinde Moriya dağıtılmış oldu. Ayrıca saldırganların yerel ağdaki ana bilgisayarları taramasına, yeni hedefler bulmasına ve yanal hareket gerçekleştirmesine olanak tanıyan, rootkit ile birlikte özel olarak yapılmış veya daha önce çeşitli Çince konuşan aktörler tarafından kullanıldığı görülen çeşitli araçlara da rastlandı.

- "Kanıtlanmış bir uç nokta güvenlik çözümü kullanın"

Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Giampaolo Dedola, "Söz konusu kampanyayı belirli bir aktöre bağlayamasak da APT'de kullanılan hedefler ve araçlar Çince konuşan gruplarla bağlantılı. Bu nedenle aktörün muhtemelen Çince konuştuğunu düşünüyoruz. Ayrıca 2018 yılında bağımsız bir saldırıda kullanılan ve en az 2018'den beri aktif olan bir aktörün kullanıldığını gösteren, Moriya'nın eski bir versiyonuna da rastladık. Hedeflerin profili ve araç seti, kampanyadaki amacın casusluk olduğunu gösteriyor." ifadelerini kullandı.

Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Mark Lechtik ise, "Hedeflenen saldırılara karşı daha iyi savunma hattı kurma çabalarımıza tehdit aktörleri stratejilerini değiştirerek yanıt veriyorlar. Aktörlerin mümkün olduğunca uzun süre radarın altında kalmak için ek adımlar attıkları, yeni araç setlerine yatırım yaptıkları, daha özel, karmaşık ve tespit edilmesi zor TunnelSnake gibi kampanyaları sıkça görüyoruz. Bununla birlikte son keşfimizde de görüldüğü üzere son derece gizli araçlar da tespit edilebiliyor ve durdurulabiliyor. Bu, güvenlik tedarikçileri ve tehdit aktörleri arasında devam eden bir yarış. Bu yarışta öne geçmek için siber güvenlik topluluğu olarak birlikte çalışmamız gerekiyor." değerlendirmesinde bulundu.

Kaspersky uzmanları, şirketi gelişmiş kalıcı tehdit kampanyalarından korumak için şunları öneriyor:

"Boşlukları ve savunmasız sistemleri ortaya çıkarmak için kuruluşun bilgi teknolojileri altyapısında düzenli güvenlik denetimleri gerçekleştirin. Kaspersky Endpoint Security for Business gibi kanıtlanmış bir uç nokta güvenlik çözümü kullanın. Rootkit ve diğer yeni kötü amaçlı yazılım türlerini tespit edebilmesi için çözümü her zaman güncel tutun. Anti-APT ve EDR çözümleri kullanın. Bu tehdit keşfi ve tespiti, soruşturma ve olayların zamanında düzeltilmesini sağlayacaktır. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve onları profesyonel eğitimlerle düzenli olarak geliştirin. Yukarıdakilerin tümü Kaspersky Expert Security Framework içinde mevcuttur. Kaspersky GReAT uzmanları tarafından yakın zamanda geliştirilen Hedefli Kötü Amaçlı Yazılım Tersine Mühendislik çevrimiçi eğitimiyle en son hedeflenen tehditlerle mücadele etmek için siber güvenlik ekibinizi güçlendirin."

Kaynak: AA . dikGAZETE.com

Haftanın Öne Çıkanları

Kurtulmuş, AA'nın Filistin'in sesini dünyaya duyurduğunu ifade etti

2021-05-11 05:11 - Siyaset

Libya'da tuzaklanan mayın, EYP ve mühimmat temizliği sürüyor

2021-05-11 19:41 - Dünya

New York'ta İsrail'in Filistin işgali ve ABD'nin İsrail'e desteği protesto edildi

2021-05-15 10:21 - Dünya

Cari açık ihracatın katkısıyla yavaşladı

2021-05-11 19:56 - Gündem

Siyasilerden İsrail'in Filistinlilere yönelik saldırılarına tepki

2021-05-11 16:02 - Siyaset

İsrailli insan hakları kuruluşu B’Tselem: İsrail Gazze Şeridi'nde 'savaş suçu' işledi

2021-05-16 11:17 - Dünya

Salgın döneminde çocuklar için D vitamini önerisi

2021-05-15 12:51 - Genel

MEB, liselerdeki sınav düzenlemesine ilişkin merak edilen soruları cevapladı

2021-05-13 01:12 - Eğitim

Azerbaycan Cumhurbaşkanı Aliyev, Karabağ’ın sembol şehri Şuşa'da duygusal anlar yaşadı

2021-05-13 21:17 - Dünya

'Balık adam' Beytullah Tokyo Paralimpik Oyunları'na iddialı hazırlanıyor

2021-05-11 15:06 - Spor

İlgili Haberler
Günün Manşetleri

Guterres, 3 yıldır süren Rusya-Ukrayna Savaşı'na "Yeter artık" diyerek tepki gösterdi

20:57 - Dünya

Trump'ın Orta Doğu Özel Temsilcisi Witkoff, Gazze'de ateşkesin sürdürülmesi için bölgeye g

20:52 - Dünya

İsrail Başbakanı Netanyahu, Suriye'deki işgalin kalıcı olacağı mesajı verdi

20:47 - Dünya

Almanya'da genel seçim sonuçları belli oluyor

20:42 - Dünya

Hazine ve Maliye Bakanı Şimşek: Yüksek, kapsayıcı ve dengeli büyüme hedefimize ulaşacağız

20:02 - Ekonomi