APT Nedir?
Küresel güç mücadelesindeki savaşlarda artık yeni bir cephe olan siber savaşlar yoğun olarak yaşanmaktadır. Bu savaşlar için devletler siber ordular kurmaktadır. Devletlerin içerisinde görev yapan personellerden veya bağımsız olarak devlet tarafından dolaylı yoldan desteklenen bazı gruplar ortaya çıkmaktadır.
İşte bu gruplar, kısa adı APT olan Advanced Persistent Threat (APT) olarak adlandırılmaktadır. Türkçe kullanımı ise “Gelişmiş Sürekli Tehditler”dir. APT grupları tüm kurum-kuruluşlar, devletler için büyük bir tehlike haline gelmiştir. APT terimi ilk olarak 2006 yılında ABD Hava Kuvvetleri’nden Albay Greg Rattray tarafından kullanılmıştır.
Gelişmiş Sürekli Tehdit olarak isimlendirilmesinin sebebi, saldırı yapanların sistemlere yetkisiz erişim sağlayarak orada uzun süre kalması olarak açıklanmaktadır. Amaçları yavaş yavaş ve fark edilmeden sisteme sızarak orada olabildiğince uzun süre kalıp, maksimum miktarda veri toplamak ve operasyonun amacını gerçekleştirebilmektir.
Hedef sistem ne kadar güçlü korunursa korunsun APT’lerin birçok vektörden faydalanarak hedef sistemi ele geçirebileceği söylenebilir. Genel anlamda APT’ler sistemlere sızmak için 3 ana yöntem kullanırlar;
- İnternet üzerinden zararlı yazılım bulaştırma
- Fiziksel yol ile zararlı yazılım bulaştırma
- Dış çevreden sisteme sızma
Güçlü bir şekilde finanse edilen saldırgan, sistemi koruyan diğer araçları aşmak yerine, iç tehdit unsurlarını ve güvenli bağlantıları kullanarak bunları kendine avantaj olarak kullanır ve sızma işlemini gerçekleştirir.
Diğer bilindik saldırılara karşın APT’lerin amacı sistemlere yavaş bir şekilde sızıp orada olabildiğince fazla kalmaktır. Bir sistemden diğer sistemlere atlayarak yayılmak aynı zamanda bunu fark edilmeden yapabilmek APT’lerin genel özelliklerindendir.
Advanced Persistent Threat Nasıl Çalışır?
Bir APT saldırısı sızma ile başlar. Ardından, bir APT saldırısı varlığını genişletmeye ve değerli verilere erişimi olan çalışanları tehlikeye atmaya çalışır. Yeterli bilgi toplandıktan sonra bilgisayar korsanları çıkardıklarını bir DDoS saldırısı veya başka bir dikkat dağıtma yöntemiyle maskeler.
1. İstihbarat Toplama
Bilgisayar korsanı, ağ topolojisi, çalışanlar ve güvenlik sistemleri dahil olmak üzere hedef işletme hakkında bilgi toplayarak işe başlar. Bu bilgiler, halka açık kaynaklardan ya da sosyal mühendislik yoluyla veya işletmenim web sitesindeki güvenlik açıklarından yararlanılarak elde edilebilir.2. Giriş Noktaları ve Sızma
Bilgisayar korsanı, hedef ağa veya sisteme hedefli kimlik avı e-posta’ları, yama yapılmamış yazılım güvenlik açıklarından yararlanma veya çalınan kimlik bilgilerini kullanma gibi çeşitli yollarla erişim sağlar.3. İletişim – Komuta ve Kontrol
Bilgisayar korsanı ağın içine girdikten sonra hedef sistem üzerinde kalıcı erişim ve kontrol sağlamak için bir arka kapı veya komuta – kontrol (C2) kanalı kurar. Bilgisayar korsanı, gizli kalmak için kötü amaçlı trafiği meşru ağ trafiği gibi göstermek veya iletişimleri gizlemek için şifreleme kullanmak gibi çeşitli teknikler kullanır.4. Ayrıcalıkları Artırma
Bilgisayar korsanı, daha değerli bilgi ve sistemlere erişim elde etmek için hedef sistemdeki ayrıcalıklarını yükseltmeye çalışır. Bu, yama uygulanmamış güvenlik açıklarından yararlanılarak çalınan kimlik bilgileri kullanılarak veya sosyal mühendislik saldırıları ile başarılabilir.5. Yanal Hareket
Bilgisayar korsanı, hedef ağ boyunca yanal olarak hareket ederek farklı sistemleri keşfeder ve daha değerli hedefler bulur. Bu, bilgisayar korsanının tespit edilmekten kaçmasına ve ağ üzerinde kontrolü elinde tutmasına yardımcı olur.6. Kalıcılığı Koruma
Bilgisayar korsanı, genellikle güvenlik sistemleri tarafından tespit edilmekten kaçınmak için araç ve tekniklerini periyodik olarak güncelleyerek hedef ağ üzerinde erişim ve kontrol sağlamaya devam eder.7. Verileri Sızdırma
Son olarak, bilgisayar korsanı hassas verileri hedef ağ veya sistemden sızdırır. Veriler çalınabilir, karanlık ağda satılabilir veya başka kötü amaçlar için kullanılabilir.APT saldırılarının tamamlanması aylar hatta yıllar alabilir ve bir işletmenin itibarına ve mali durumuna önemli ölçüde zarar verebilir.
Bir APT Saldırısının Özellikleri
Aşağıdakiler, bir APT saldırısının ortak özelliklerinden bazılarıdır:1. Hedef
APT saldırıları, belirli bir işletmeye veya sektöre odaklanır. Bilgisayar korsanları, istismar edilebilecek güvenlik açıklarını ve zayıflıkları belirlemek için hedefin sistemlerini, çalışanlarını ve altyapısını araştırmak için zaman harcar.2. Gizlilik
APT saldırıları, uzun süre tespit edilmeyecek şekilde tasarlanmıştır. Bilgisayar korsanları, gizli kalmak ve tespit edilmekten kaçınmak için rootkit’ler, arka kapılar ve komuta ve kontrol (C2) sunucuları gibi gelişmiş teknikler kullanır.3. Kalıcılık
APT saldırıları tek seferlik bir olay değildir. Hedef ağa kalıcı olarak sızmak ve kontrolünü sürdürmek için tasarlanmıştır. Bilgisayar korsanları, uzun bir süre tespit edilmeden kalmak için yanal hareket, veri hırsızlığı ve ısrar gibi taktiklerin bir kombinasyonunu kullanabilir.4. Gelişmiş Teknikler
APT saldırıları, geleneksel güvenlik önlemlerini atlamak ve hedef ağa erişim elde etmek için sosyal mühendislik, sıfır gün istismarları ve özel kötü amaçlı yazılımlar gibi gelişmiş teknikler kullanır.5. Koordine ve Organize
APT saldırıları genellikle koordineli ve organize bir şekilde birlikte çalışan bir grup yüksek vasıflı bilgisayar korsanı tarafından gerçekleştirilir. Grup içinde belirli roller ve sorumluluklar olabilir ve bu kişiler birbirleriyle iletişim kurmak için şifreli iletişim kanalları kullanabilir.6. Veri Hırsızlığı
APT saldırıları, hassas verileri hedef ağdan çalmak için tasarlanmıştır. Bilgisayar korsanları, verilerin çalınmasını gizlemek ve tespit edilmekten kaçınmak için steganografi, şifreleme ve karartma gibi gelişmiş teknikler kullanır.7. Uzun Vadeli Etki
Başarılı bir APT saldırısının hedef işletme için uzun vadeli sonuçları olabilir. Bu, mali kayba, itibarın zarar görmesine ve fikri mülkiyet kaybına neden olabilir.APT Saldırılarının Arkasında Kim Var?
APT saldırılarının amacı mutlaka mali değildir. APT’ler çoğunlukla istihbaratla ilgili olduğu için en çok ülkelerin kendi siber askeri veya bilgisayar korsanı kuruluşları tarafından gerçekleştirilen saldırı türleridir. Bu, ulus-devlet saldırganlarının ve devlet destekli grupların çoğunlukla APT saldırıları gerçekleştirdikleri anlamına gelir.
Bununla birlikte, son zamanlarda diğer iyi finanse edilmiş ve kaynaklara sahip bilgisayar korsanı gruplarının APT saldırıları gerçekleştiği görülmektedir. Bu bilgisayar korsanı grupları ya devlet kurumları adına çalışacak (muhtemelen kazançlı bir fiyat karşılığında) ya da büyük şirketler veya devlet daireleri hakkında casusluk yapmak için başka nedenleri olabilecek büyük şirketler tarafından yapılabilir.
APT Saldırıları İçin En Çok Kim Risk Altındadır?
Hükümetler, devlet kurumları ve kritik bir altyapıya sahip olan şirketler, APT saldırılarının en çok hedef aldığı kitledir. Ancak, barındırdıkları veri miktarı ve en hassas verilerinin değeri nedeniyle büyük şirket ve işletmeler de ana hedefler arasındadır.
Geçtiğimiz birkaç yılda, APT saldırıları orta ölçekli işletmeler, büyük tedarik zinciri ve altyapı sağlayıcıları (SolarWinds’te gördüğümüz gibi) gibi her türlü kuruluşu etkilemiştir ve bu trendin 2022 ve sonrasında da devam etmesi muhtemeldir. Bunun nedeni, APT saldırılarını gerçekleştirmenin artık daha kolay olması ve hacker gruplarının bu tür saldırıları gerçekleştirmek için daha fazla kaynağa sahip olmasıdır.
Geçtiğimiz birkaç yılda, APT saldırıları orta ölçekli işletmeler, büyük tedarik zinciri ve altyapı sağlayıcıları (SolarWinds’te gördüğümüz gibi) gibi her türlü kuruluşu etkilemiştir ve bu trendin 2022 ve sonrasında da devam etmesi muhtemeldir. Bunun nedeni, APT saldırılarını gerçekleştirmenin artık daha kolay olması ve hacker gruplarının bu tür saldırıları gerçekleştirmek için daha fazla kaynağa sahip olmasıdır.
APT Saldırılarına Karşı Nasıl Korunursunuz?
Gelişmiş Kalıcı Tehdit (APT) saldırılarına karşı koruma sağlamak için çok katmanlı bir güvenlik yaklaşımı gerekir. İşletmelerin APT saldırılarına karşı korunmasına yardımcı olabilecek bazı önlemler aşağıdakileri içerir:
1. Güvenlik farkındalığı eğitimi
APT saldırılarına karşı korunmanın en etkili yollarından biri, çalışanları, bilgisayar korsanlarının bir ağa erişim elde etmek için kullandıkları kimlik avı e-posta’larını ve diğer sosyal mühendislik taktiklerini tanıma konusunda eğitmektir.2. Ağ segmentasyonu
Bir ağı segmentlere ayırmak, bir APT saldırısının yayılmasını kontrol altına almaya yardımcı olabilir. Bir ağı daha küçük parçalara bölerek, bir bilgisayar korsanının erişimi belirli bir alanla sınırlandırılabilir ve bu da bilgisayar korsanlarının ağ boyunca yatay olarak hareket etmesini engeller.3. Erişim kontrolü
Hassas veri ve sistemlere erişimi sadece ihtiyacı olan kişilerle sınırlamak, APT saldırısı riskini azaltmaya yardımcı olur. Erişim kontrolü, iki faktörlü kimlik doğrulama ve güçlü parola politikaları uygulama gibi önlemleri içerebilir.4. Düzenli yama uygulama
Sistem ve yazılımları en son güvenlik yamalarıyla güncel tutmak, bilgisayar korsanlarının bilinen güvenlik açıklarından yararlanmalarını önlemeye yardımcı olur.5. Uç nokta koruması
Virüsten koruma yazılımı, güvenlik duvarları ve izinsiz giriş tespit sistemleri gibi uç nokta koruma çözümleri, uç noktada APT saldırılarının algılanmasına ve önlenmesine yardımcı olur.6. Ağ izleme
Ağ trafiğinin sürekli izlenmesi, şüpheli etkinliğin ve potansiyel bir APT saldırısının göstergelerinin saptanmasına yardımcı olur.6. Olay yanıt planlaması
İşletmelerin, olası bir APT saldırısına yanıt vermek için saldırıyı kontrol altına alma, hafifletme ve paydaşlarla iletişim kurma prosedürleri dahil olmak üzere bir planı olmalıdır.İşletmeler, bu önlemleri uygulayarak bir APT saldırısının kurbanı olma risklerini önemli ölçüde azaltabilir. Fakat, APT saldırılarının son derece karmaşık olduğunu, sürekli geliştiğini ve işletmelerin bilgisayar korsanlarının önünde geçebilmek için sürekli tetikte kalması gerektiğini bilmesi gerekir.
Advanced Persistent Threat Örnekleri (APT Grupları)
Yıllar boyunca Gelişmiş Kalıcı Tehdit (APT) saldırılarının birkaç popüler örneği olmuştur. Bunlar aşağıdaki şekildedir:
1. Operation Aurora
Operation Aurora, 2009-2010’da Google, Adobe ve Juniper Networks dahil olmak üzere birçok büyük şirketi hedef alan bir siber saldırıydı. Devlet destekli olduğuna inanılan bilgisayar korsanları, hedeflenen şirketlerin ağlarına erişmek ve fikri mülkiyeti çalmak için sıfırıncı gün açıkları ve sosyal mühendislik taktiklerinin bir kombinasyonunu kullandı.2. Stuxnet
Bir APT’nin ilk ve tarihsel olarak en belirgin örneklerinden biri, İran’ın nükleer programını hedef almak için tasarlanmış olan Stuxnet’tir. Stuxnet, 2010 yılında keşfedilmiş olmasına rağmen 2005 yılından beri geliştirilme aşamasında olduğu düşünülmektedir.Stuxnet keşfedildiğinde, İran’da 14’ten fazla endüstriyel sitenin yazılımına bulaşan 500 kilobaytlık bir bilgisayar solucanıydı. Microsoft Windows makinelerini hedef aldı ve kendi kendine yayıldı. Sonuç olarak İran nükleer santrifüjlerinin neredeyse beşte birini kaybetti.
3. Sony Pictures hack
2014 yılında Sony Pictures, hassas çalışan verilerinin ve yayınlanmamış filmlerin çalınmasıyla sonuçlanan büyük bir siber saldırıya maruz kaldı. Kuzey Koreli olduklarına inanılan bilgisayar korsanları, saldırıyı gerçekleştirmek için özel kötü amaçlı yazılım, sosyal mühendislik ve yıkıcı taktiklerin bir kombinasyonunu kullandı.4. Operation Cloud Hopper
Operation Cloud Hopper, müşterilerinin ağlarına erişim elde etmek için birkaç büyük BT hizmeti şirketini hedef alan bir siber casusluk kampanyasıydı. Devlet destekli olduğuna inanılan bilgisayar korsanları, saldırıyı gerçekleştirmek için hedef odaklı kimlik avı, arka kapılar ve özel kötü amaçlı yazılımların bir kombinasyonunu kullandı.5. SolarWinds hack
2020’nin sonlarında, birkaç ABD devlet kurumu ve şirketinin, bir tedarik zinciri saldırısının parçası olarak ihlal edildiği keşfedildi. Rus devlet destekli bilgisayar korsanları olduğuna inanılan bu kişiler, büyük bir BT yönetim yazılımı sağlayıcısı olan SolarWinds’in yazılım tedarik zincirine sızdı ve bunu hedeflerine özel kötü amaçlı yazılım dağıtmak için kullandı.Yukarıdakiler, APT saldırılarının sadece birkaç popüler örneğidir. APT saldırıları, her büyüklükteki işletme için ciddi bir tehdit olmaya devam etmektedir. Bu yüzden işletmelerin her zaman tetikte kalması ve bu saldırılara karşı korunmak için sağlam güvenlik önlemleri uygulaması gerekir.
Kaynaklar
kaynak
Son düzenleme: