Tehdit Aktörleri (APT): Gelişmiş Kalıcı Tehdit Grupları ve Karakteristikleri

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18

images.jpeg

Tehdit Aktörleri (APT): Gelişmiş Kalıcı Tehdit Grupları ve Karakteristikleri​

Siber saldırıların çoğu fırsatçıdır. Bir hacker interneti tarar, yaması yapılmamış bir sunucu bulur, içeri girer, veriyi çalar ve kaçar. Bu, "Vur-Kaç" taktiğidir.

Ancak APT (Gelişmiş Kalıcı Tehdit) grupları böyle çalışmaz. Onlar içeri girdiklerinde alarm çaldırmazlar. Aylar, hatta yıllar boyunca sistemde sessizce beklerler (Dwell Time). E-postaları okurlar, şifreleri toplar, ağ haritasını çıkarır ve en değerli veriyi (devlet sırrı, askeri plan, ticari patent) bulana kadar sabrederler.

Bölüm 1: APT'nin Anatomisi​

"APT" kısaltması, bu grupların çalışma mantığını mükemmel özetler:
  1. Gelişmiş (Advanced): Hazır hack araçlarını kullanmazlar. Kendi geliştirdikleri özel zararlı yazılımları, henüz kimsenin bilmediği "Zero-Day" (Sıfır Gün) açıklarını ve sofistike sosyal mühendislik tekniklerini kullanırlar.
  2. Kalıcı (Persistent): En ayırt edici özellikleridir. Güvenlik duvarınız onları engellese bile vazgeçmezler. Başka bir kapı denerler, tedarikçiniz üzerinden gelirler veya çalışanlarınızın ev bilgisayarına sızarlar. Sistemde kalıcı olmak (Persistence) için kayıt defterlerine gizlenir, meşru yazılımların içine saklanırlar.
  3. Tehdit (Threat): Bu bir bilgisayar virüsü değil, insan zekasıdır. Karşınızda mesai saatleri olan, maaş alan ve hiyerarşik bir düzende çalışan profesyonel bir organizasyon vardır.

Bölüm 2: Kim Bunlar ve Ne İstiyorlar? (Motivasyonlar)​

APT gruplarının %90'ı devlet desteklidir (State-Sponsored). Ülkeler, konvansiyonel savaş (tank, tüfek) yerine siber casusluğu daha az maliyetli ve "inkar edilebilir" buldukları için siber ordular kurarlar.

Temel motivasyonları şunlardır:
  • Siber Casusluk (Espionage): Diğer ülkelerin dış politika stratejilerini, askeri planlarını öğrenmek. (Örn: Rusya, Çin, ABD grupları).
  • Fikri Mülkiyet Hırsızlığı: Rakip ülkenin teknolojik sırlarını (uçak motoru planları, aşı formülleri) çalarak ekonomik avantaj sağlamak. (Örn: Çin menşeli gruplar).
  • Finansal Kazanç: Ambargoları delmek veya ülkeye döviz sokmak için bankaları ve kripto borsalarını soymak. (Bu konuda Kuzey Kore grupları tekdir).
  • Sabotaj ve Yıkım: Kritik altyapıları (elektrik santralleri, nükleer tesisler) devre dışı bırakmak. (Örn: İran ve Rusya grupları).

Bölüm 3: İsimlendirme Sanatı (Ayı, Panda, Kedi)​

Siber güvenlik firmaları (CrowdStrike, FireEye/Mandiant, Microsoft), takip ettikleri grupları sınıflandırmak için ilginç isimlendirme standartları kullanır. Bu isimler genellikle grubun menşei olan ülkeyi temsil eder:

  • 🐻 AYI (Bear) = Rusya: (Örn: Fancy Bear, Cozy Bear, Voodoo Bear). Agresif ve stratejik hedeflere odaklanırlar.
  • 🐼 PANDA = Çin: (Örn: Wicked Panda, Stone Panda). Genellikle fikri mülkiyet ve ticari sırlar peşindedirler.
  • 🐱 KEDİ (Kitten) = İran: (Örn: Charming Kitten, Helix Kitten). Genellikle muhalifleri izleme ve bölgesel sabotaj (petrol/gaz) odaklıdırlar.
  • 🐴 CHOLLIMA (At) = Kuzey Kore: (Örn: Lazarus, Silent Chollima). Finansal hırsızlık ve yıkıcı saldırılar.

Bölüm 4: Ünlü APT Grupları ve Vukuatları​

Siber tarih kitaplarına geçen, dünyayı sarsan bazı efsanevi grupları tanıyalım:

1. Lazarus Group (APT38) - Kuzey Kore​

Dünyanın en tehlikeli ve en açgözlü grubudur.
  • Vukuatları: 2014 Sony Pictures saldırısı (Hollywood'u hacklediler), 2016 Bangladeş Merkez Bankası soygunu (81 Milyon Dolar çaldılar) ve 2017 WannaCry fidye yazılımı salgını (tüm dünyayı kilitlediler).
  • Tarzı: Hem para çalar hem de diskleri silerek (Wiper malware) izlerini yok ederler.

2. APT29 (Cozy Bear) - Rusya (SVR Bağlantılı)​

"Hayalet" gibi hareket eden, yakalanması en zor casusluk grubudur.
  • Vukuatları: 2016 ABD Seçimlerine müdahale iddiaları ve meşhur SolarWinds saldırısı. SolarWinds vakasında, binlerce şirketin kullandığı güvenli bir yazılım güncellemesinin içine kendi kodlarını gömerek (Supply Chain Attack), Pentagon dahil yüzlerce kuruma arka kapıdan girdiler. Aylarca fark edilmediler.

3. APT1 (Unit 61398) - Çin​

Çin Halk Kurtuluş Ordusu'na bağlı olduğu ifşa edilen ilk büyük gruptur.
  • Tarzı: Yıllarca ABD'li teknoloji ve savunma şirketlerinden terabaytlarca proje dosyası çaldılar. "Gürültülü" çalışırlar ama hacimli veri hırsızlığı yaparlar.

4. Sandworm - Rusya (GRU Bağlantılı)​

Siber dünyayı fiziksel savaş alanına çeviren gruptur.
  • Vukuatları: 2015 ve 2016'da Ukrayna'nın elektrik şebekesini hackleyerek kış ortasında yüz binlerce insanı elektriksiz bıraktılar. Bu, siber saldırıların fiziksel etkisinin görüldüğü ilk büyük olaydı.

Bölüm 5: APT'lere Karşı Nasıl Savunulur?​

Karşınızda devlet destekli bir ordu varken, standart antivirüsler "çakı ile tanka saldırmak" gibidir.APT savunması şunları gerektirir:

  1. Tehdit Avcılığı (Threat Hunting): "Sistemim temiz" varsayımı yerine "Kesin içerideler, ama nerede?" paranoyasıyla, loglarda anomali aramak.
  2. Siber Tehdit İstihbaratı (CTI): Düşmanı tanımak. "Lazarus grubu şu an finans sektörüne saldırıyor, şu IP adreslerini kullanıyor" istihbaratını alıp önceden önlem almak.
  3. Sıfır Güven Mimarisi (Zero Trust): Şirket içindeki CEO'nun bilgisayarına bile güvenmemek, her erişimi doğrulamak.

Sonuç: Görünmez Savaş​

APT grupları, modern çağın soğuk savaşının askerleridir. Klavye başında, binlerce kilometre öteden bir ülkenin ekonomisini çökertebilir veya en gizli sırlarını ifşa edebilirler.

Bir siber güvenlik uzmanı için APT analizi, satranç oynamak gibidir. Karşınızdaki hamle yaptığında, siz onun 5 hamle sonrasını (hedefini) tahmin etmek zorundasınız.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst