Ulus devlet destekli siber grupları uzak bir tehdit olarak algılayan kurumsal güvenlik yöneticileri, bu varsayımı aceleyle yeniden gözden geçirmek isteyebilir.
Geçtiğimiz yıl boyunca dünya çapındaki birkaç jeopolitik olay, liman yetkilileri, bilişim şirketleri, devlet kurumları, haber kuruluşları, kripto para birimi firmaları ve dini gruplar gibi kritik hedeflere karşı ulus devlet faaliyetlerinde keskin bir artışa neden oldu.
Bir Microsoft analizi küresel tehdit manzarası geçen yıl boyunca, 4 Kasım yayınlandı, Kritik altyapıyı hedef alan siber saldırıların, tüm ulus devlet saldırılarının %20’sinden, şirket araştırmacılarının tespit ettiği tüm saldırıların %40’ına tekabül ederek ikiye katlandığını gösterdi.
Ayrıca, taktikleri değişiyor – en önemlisi, Microsoft sıfırıncı gün açıklarının kullanımında bir artış kaydetti.
Birden Fazla Faktör, Ulus-Devlet Tehdit Etkinliğini Arttırdı
Şaşırtıcı olmayan bir şekilde Microsoft, artışın çoğunu, ülkenin Ukrayna’daki savaşıyla ilgili ve bu savaşı destekleyen Rusya destekli tehdit gruplarının saldırılarına bağladı. Saldırıların bazıları Ukrayna altyapısına zarar vermeye odaklanırken, diğerleri casuslukla ilgiliydi ve ABD ve diğer NATO üye ülkelerindeki hedefleri içeriyordu. Microsoft’un geçtiğimiz yıl içinde tespit ettiği Rusya destekli siber saldırıların yüzde doksanı NATO ülkelerini hedef aldı; Bunların %48’i bu ülkelerdeki BT hizmet sağlayıcılarına yönelikti.
Ukrayna’daki savaş, Rus tehdit gruplarının faaliyetlerinin çoğunu yönlendirirken, diğer faktörler Çin, Kuzey Kore ve İran tarafından desteklenen grupların saldırılarında artışa neden oldu. Örneğin İranlı grupların saldırıları, ülkedeki bir cumhurbaşkanlığı değişikliğinin ardından tırmandı.
Microsoft, İranlı grupların İsrail’de yıkıcı, diskleri silen saldırıların yanı sıra ABD ve AB’deki hedeflere yönelik hack ve sızdırma operasyonları olarak nitelendirdiği saldırıları gözlemlediğini söyledi. İsrail’deki bir saldırı, ülkede acil durum roket sinyallerini tetiklerken, bir diğeri kurbanın sistemlerinden verileri silmeye çalıştı.
Kuzey Koreli grupların saldırılarındaki artış, ülkedeki füze testlerindeki artışla aynı zamana denk geldi. Saldırıların çoğu, havacılık şirketlerinden ve araştırmacılardan teknoloji çalmaya odaklandı.
Microsoft, bu arada Çin’deki grupların, ülkenin bölgede daha fazla etki yaratma çabalarını desteklemek için casusluk ve veri çalma saldırılarını artırdığını söyledi. Hedeflerinin çoğu, Çin’in hedeflerine ulaşmak için stratejik öneme sahip olduğunu düşündüğü bilgilere özel olan kuruluşları içeriyordu.
Yazılım Tedarik Zincirinden BT Hizmet Sağlayıcı Zincirine
Ulus-devlet aktörleri bu dönemde bilişim şirketlerini diğer sektörlere göre daha fazla hedef aldı. Bulut hizmetleri sağlayıcıları ve yönetilen hizmet sağlayıcıları gibi BT şirketleri, bu grupların bu yıl hedeflediği kuruluşların %22’sini oluşturdu. Ağır şekilde hedeflenen diğer sektörler arasında daha geleneksel düşünce kuruluşları ve sivil toplum kuruluşu mağdurları (%17), eğitim (%14) ve devlet kurumları (%10) yer aldı.
Microsoft, BT hizmet sağlayıcılarını hedef alan saldırıların, tek bir güvenilir satıcıyı ihlal ederek yüzlerce kuruluşu aynı anda tehlikeye atmak için tasarlandığını söyledi. Geçen yıl Kaseya’ya yapılan ve sonunda binlerce alt müşteriye fidye yazılımının dağıtılmasıyla sonuçlanan saldırı, erken bir örnekti.
Bu yıl, İran destekli bir aktörün, İsrailli bir bulut hizmetleri sağlayıcısını, o şirketin alt müşterilerinin içine sızmak için tehlikeye attığı Ocak ayında da dahil olmak üzere, birkaç tane daha vardı. Bir diğerinde, Polonium adlı Lübnan merkezli bir grup, bulut hizmetleri sağlayıcıları aracılığıyla birkaç İsrail savunma ve hukuk örgütüne erişim sağladı.
Microsoft, BT hizmetleri tedarik zincirine yönelik artan saldırıların, ulus devlet gruplarının yazılım tedarik zincirinde sahip olduğu olağan odaktan uzaklaşmayı temsil ettiğini belirtti.
Microsoft’un bu tehditlere maruz kalmayı azaltmak için önerilen önlemleri arasında, yukarı ve aşağı hizmet sağlayıcı ilişkilerinin gözden geçirilmesi ve denetlenmesi, ayrıcalıklı erişim yönetimi sorumlularının atanması ve gerektiğinde en az ayrıcalıklı erişimin uygulanması yer alır. Şirket ayrıca şirketlerin tanıdık olmayan veya denetlenmemiş iş ortağı ilişkileri için erişimi gözden geçirmesini, günlüğe kaydetmeyi etkinleştirmesini, VPN’ler ve uzaktan erişim altyapısı için tüm kimlik doğrulama etkinliğini incelemesini ve tüm hesaplar için MFA’yı etkinleştirmesini önerir.
Sıfır Günlerde Artış
Microsoft’un gözlemlediği dikkate değer bir eğilim, ulus devlet gruplarının, kuruluşların karmaşık tehditlere karşı savunmak için uyguladıkları güvenlik korumalarından kaçınmak için önemli kaynaklar harcamasıdır.
Microsoft, “Kurumsal kuruluşlar gibi, düşmanlar da saldırılarını daha geniş bir hedef kümesine genişletmek için otomasyon, bulut altyapısı ve uzaktan erişim teknolojilerindeki gelişmeleri kullanmaya başladı.” Dedi.
Düzeltmeler, yama uygulanmamış güvenlik açıklarından hızla yararlanmanın yeni yollarını, şirketleri ihlal etmek için genişletilmiş teknikleri ve kötü niyetli faaliyetleri gizlemek için meşru araçların ve açık kaynaklı yazılımların artan kullanımını içeriyordu.
Eğilimin en rahatsız edici tezahürlerinden biri, ulus devlet aktörleri arasında saldırı zincirlerinde sıfırıncı gün güvenlik açığı istismarlarının artan kullanımıdır. Microsoft’un araştırması, bu yılın sadece Ocak ve Haziran ayları arasında, Temmuz 2021 ile Haziran 2022 arasında 41 sıfır gün güvenlik açığı için yamalar yayınlandığını gösterdi.
Microsoft’a göre, Çin destekli tehdit aktörleri, son zamanlarda sıfırıncı gün açıklarını bulma ve keşfetme konusunda özellikle yetkin. Şirket, eğilimi Eylül 2021’de yürürlüğe giren yeni bir Çin düzenlemesine bağladı; ülkedeki kuruluşların, bilgileri başkalarıyla paylaşmadan önce, keşfettikleri herhangi bir güvenlik açığını incelemesi için bir Çin hükümet yetkilisine bildirmelerini gerektirir.
Bu kategoriye giren sıfır gün tehditlerine örnek olarak şunlar verilebilir: CVE-2021-35211SolarWinds Serv-U yazılımında Temmuz 2021’de yama uygulanmadan önce yaygın olarak kullanılan bir uzaktan kod yürütme hatası; CVE-2021-40539, Zoho ManageEngine ADSelfService Plus’ta geçen Eylül’de yamalanan kritik bir kimlik doğrulama atlama güvenlik açığı; ve CVE-2022-26134, Atlassian Confluence Workspaces’te Çinli bir tehdit aktörünün Haziran ayında bir yama kullanıma sunulmadan önce aktif olarak yararlandığı bir güvenlik açığı.
Microsoft, “Bu yeni düzenleme, Çin hükümetindeki unsurların, rapor edilen güvenlik açıklarını onları silahlandırmaya yönelik stoklamalarına olanak sağlayabilir” diyerek, bunun sıfırıncı gün açıklarının devlet önceliği olarak kullanılmasında büyük bir adım olarak görülmesi gerektiğini de sözlerine ekledi.
.
