Yaygın siber suçlular bir tehdittir, buna şüphe yok – yatak odası bilgisayar korsanlarından fidye yazılımı gruplarına kadar siber suçlular çok fazla hasara neden oluyor. Ancak hem kullanılan araçlar hem de yaygın siber suçluların oluşturduğu tehdit, ünlü bilgisayar korsanlığı grupları ve devlet destekli gruplar gibi daha profesyonel gruplar tarafından kullanılan araçlara kıyasla yetersiz kalıyor.
Aslında, bu araçların tespit edilmesi ve bunlara karşı önlem alınması neredeyse imkansız olabilir. BVP47 buna bir örnektir. Bu makalede, devlet destekli bu güçlü kötü amaçlı yazılımın yıllardır nasıl sessizce dolaştığını, kendini nasıl bu kadar akıllıca gizlediğini özetleyeceğiz ve bunun kurumsal siber güvenlik için ne anlama geldiğini açıklayacağız.
BVP47’nin arkasındaki arka plan hikayesi
Uzun bir hikaye, bir casus romanına uygun. Bu yılın başlarında, Pangu Lab adlı bir Çinli siber güvenlik araştırma grubu, araştırma grubunun BVP47 olarak adlandırmaya karar verdiği bir kötü amaçlı kodu kapsayan 56 sayfalık derinlemesine bir rapor yayınladı (çünkü BVP koddaki en yaygın dizeydi ve 47 şifreleme algoritmasının 0x47 sayısal değerini kullanması koşuluyla).
Rapor, kötü amaçlı yazılım koduna derinlemesine bir dalış da dahil olmak üzere kapsamlı bir teknik açıklama ile gerçekten derinlemesine. Pangu Lab’in kodu, büyük olasılıkla Çin hükümet departmanı olan bir kuruluşta bilgisayar güvenliğinin durumuna ilişkin 2013 yılındaki bir araştırma sırasında bulduğunu ortaya koyuyor – ancak grubun raporu yayınlamak için neden şimdiye kadar beklediği belirtilmedi.
Önemli bir faktör olarak, rapor BVP47’yi “Denklem Grubu” ile ilişkilendiriyor ve bu grup da Birleşik Devletler Ulusal Güvenlik Ajansı’ndaki (NSA) Özel Erişim Operasyonları Birimi’ne bağlı. Pangu Lab, The Shadow Brokers (TSB) grubu tarafından yayınlanan bir dizi dosya içinde BVP47’yi tetikleyebilecek özel bir anahtar bulduğu için bu sonuca vardı. TSB, bu dosya dökümünü Denklem Grubuna bağladı ve bu da bizi NSA’ya geri götürüyor. Bir türlü uyduramadınız ve bu bir sinema filmi için uygun bir hikaye.
BVP47 pratikte nasıl çalışır?
Ama hikayenin casusa karşı casus unsuru hakkında bu kadarı yeter. BVP47 siber güvenlik için ne anlama geliyor? Özünde, hedef ağ sistemine çok akıllı ve çok iyi gizlenmiş bir arka kapı olarak çalışır, bu da onu çalıştıran tarafın verilere yetkisiz erişim elde etmesini ve bunu tespit edilmeden yapmasını sağlar.
Araç, kısmen, çoğu sistem yöneticisinin aramayacağı istismar davranışına dayanan birkaç karmaşık hileye sahiptir – çünkü hiç kimse herhangi bir teknoloji aracının böyle davranacağını düşünmemiştir. Kimsenin bakmayı düşünmeyeceği bir yerde gizli bir iletişim kanalı kurarak bulaşıcı yoluna başlar: TCP SYN paketleri.
Özellikle sinsi bir dönüşte, BVP47, diğer servisler tarafından kullanılan aynı ağ portunu dinleme yeteneğine sahiptir ve bu, yapılması çok zor bir şeydir. Başka bir deyişle, bir bağlantı noktası kullanan standart bir hizmet ile bu bağlantı noktasını kullanan BVP47 arasında ayrım yapmak zor olduğundan, tespit edilmesi son derece zor olabilir.
Bu saldırı hattına karşı savunmanın zorluğu
Yine bir başka bükülmede, araç çalıştığı ortamı düzenli olarak test eder ve yol boyunca izlerini siler, bulunacak hiçbir iz kalmadığından emin olmak için kendi süreçlerini ve ağ etkinliğini gizler.
Ayrıca BVP47, iletişim ve veri sızması için birden çok şifreleme katmanında birden çok şifreleme yöntemi kullanır. Devlet destekli gruplar da dahil olmak üzere gelişmiş kalıcı tehdit grupları tarafından kullanılan en üst düzey araçlar için tipiktir.
Kombinasyon halinde ele alındığında, en zeki siber güvenlik savunmalarından bile kaçabilen inanılmaz derecede karmaşık davranışlar anlamına gelir. Güvenlik duvarları, gelişmiş tehdit koruması ve benzerlerinin en yetenekli karışımı, BVP47 gibi araçları durdurmada hala başarısız olabilir. Bu arka kapılar, cepleri derin devlet aktörlerinin bunları geliştirmek için kullanabilecekleri kaynaklar nedeniyle çok güçlü.
Her zaman olduğu gibi, iyi uygulama en iyi seçeneğinizdir
Bu, elbette, siber güvenlik ekiplerinin pes etmesi ve vazgeçmesi gerektiği anlamına gelmiyor. Bir aktörün BVP47 gibi bir aracı kullanmasını en azından zorlaştırabilecek bir dizi etkinlik vardır. Sıkı izleme, uzaktaki bir davetsiz misafiri hala yakalayabileceğinden, farkındalık ve tespit faaliyetleri izlenmeye değerdir. Benzer şekilde, bal küpleri, saldırganları kendilerini gösterebilecekleri zararsız bir hedefe çekebilir.
Ancak, büyük miktarda koruma sağlayan basit, ilk ilkeler yaklaşımı vardır. BVP47 gibi karmaşık araçlar bile, bir dayanak kazanmak için yamasız yazılımlara güvenir. Bu nedenle, güvendiğiniz işletim sistemine ve uygulamalara tutarlı bir şekilde yama eklemek, ilk bağlantı noktanızdır.
Kendi başına bir yama uygulamak, atılması en zor adım değildir – ancak bildiğimiz gibi, her seferinde hızlı bir şekilde yama uygulamak çoğu kuruluşun uğraştığı bir şeydir.
Ve elbette, BVP47’nin arkasındaki ekip gibi tehdit aktörleri, yalan söyleyip hedeflerini beklerken, kaçınılmaz olarak sürekli yama yapamayacak kadar gergin olacak ve sonunda kritik bir yamayı kaçıracak olan tehdit aktörlerinin güvendiği şeydir.
Baskı altındaki ekipler ne yapabilir? Otomatik, canlı yama manuel olarak yama yapma ihtiyacını ortadan kaldırdığı ve zaman alan yeniden başlatmaları ve buna bağlı kapalı kalma süresini ortadan kaldırdığı için tek bir çözümdür. Canlı yamanın mümkün olmadığı durumlarda, en kritik yamaları vurgulamak için güvenlik açığı taraması kullanılabilir.
İlk değil – ve son değil
Bunun gibi ayrıntılı raporlar, kritik tehditlerden haberdar olmamıza yardımcı olması açısından önemlidir. Ancak BVP47, bu kamuya açık rapordan yıllar ve yıllar önce oyundaydı ve bu arada, dünyanın dört bir yanındaki yüksek profilli hedefler de dahil olmak üzere sayısız sisteme saldırı düzenlendi.
Dışarıda kaç tane benzer araç olduğunu bilmiyoruz – tek bildiğimiz, istikrarlı bir şekilde güçlü olmak için ne yapmamız gerektiği. siber güvenlik duruş: izleyin, dikkatinizi dağıtın ve yama yapın. Ekipler her tehdidi azaltamasalar bile, en azından etkili bir savunma oluşturarak kötü amaçlı yazılımları başarılı bir şekilde çalıştırmayı mümkün olduğunca zorlaştırabilirler.