Önemli Siber Güvenlik Tehditleri: Authentic Antics
Son yıllarda siber güvenlik alanında yaşanan gelişmeler, kurumların çevrimiçi güvenliğini her zamankinden daha fazla önemsemelerini gerektiriyor. Özellikle İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), “Authentic Antics” adını verdiği bir casus yazılım saldırısını, Rusya’nın askeri istihbarat servisi (GRU) ile ilişkilendirmiştir. Bu yazılımın, hedeflerin e-posta hesaplarına erişim sağlamaya yönelik karmaşık bir yapı içerdiği anlaşılmıştır.
Authentic Antics Casus Yazılımı
NCSC, 6 Mayıs tarihinde yayımladığı raporda, Authentic Antics malware’inin OAuth 2.0 jetonları ve kimlik bilgilerini çalarak hedef kullanıcıların e-posta hesaplarına sızdığını belirtmiştir. 2023 yılında aktif olarak kullanıldığı tespit edilen bu yazılım, özellikle Outlook süreci içerisinde çalışmakta ve çeşitli Microsoft giriş pencereleri açarak kurbanların oturum açma verilerini ve yetkilendirme kodunu ele geçirmeye çalışmaktadır.
Microsoft 365 uygulama ayarları her kiracı için özelleştirilebildiği için, bu yazılımın Exchange Online, SharePoint ve OneDrive gibi diğer hassas verilere de erişme potansiyeli bulunmaktadır.
Veri Çalmanın Yöntemleri
Authentic Antics, çalınan verileri kurbanın kendi Outlook hesabını kullanarak saldırganın kontrolündeki bir e-posta adresine gönderiyor. Bu işlem, “gönderilenlere kaydet” seçeneğini devre dışı bırakmasıyla gizleniyor. Böylelikle, olayın fark edilmesi zorlaşıyor ve zararlının etkisi uzunca bir süre tespit edilemiyor. NCSC uzmanları, yazılımın sabit disk üzerindeki varlığının sınırlı olduğunu ve verinin Outlook’a özel kayıt defteri alanlarında saklandığını vurgulamaktadır.
Özelleşmiş Yapı ve İletişim Şekli
Authentic Antics, bir dropper, infostealer ve birkaç PowerShell script’inden oluşan çoklu bileşenler içermektedir. NCSC, yazılımın yüksek düzeyde bir karmaşıklığa sahip olduğunu ve kurbanların e-posta hesaplarına uzun süre boyunca erişim sağladığını belirtmiştir. Bunun sebebi, yazılımın ağ iletişiminin yalnızca yasal hizmetlerle sınırlı olmasıdır. Böylece, komut ve kontrol (C2) sunucusu olmaksızın kurbanın e-posta mesajlarını otomatik olarak saldırgana göndermekte ve gizliliğini sağlamaktadır.
CASUS YAZILIMIN RAPORLANMASI
NCSC, Authentic Antics’in GRU ile ilişkilendirilmesi konusunda net bir atıfta bulunmuş ve bu yazılımın APT28 olarak bilinen bir siber tehdit grubuna ait olduğunu dönemin raporunda açıklamıştır. APT28, Fancy Bear, Sednit, Sofacy ve diğer isimlerle de bilinen bir grup olup, hedef almış oldukları e-posta hesaplarına siber saldırılar düzenlemektedir.
Uluslararası güvenlik yetkilileri, bu yazılımın kullanımını kınamış ve GRU ajansının Avrupa’yı istikrarsızlaştırmaya yönelik hibrit operasyonlar gerçekleştirdiğini vurgulamıştır. NCSC, bu tür siber faaliyetleri açığa çıkarmaya ve sorumluları yaptırımlara tabi tutmaya devam edecektir.
Sonuç Olarak Güvenlik Önlemleri
Authentic Antics’in kullanımı, siber güvenlik alanında daha fazla önlem alınmasını gerekli kılmaktadır. Organizasyonların gizliliklerini korumaları ve olası saldırılara karşı hazırlıklı olmaları büyük önem taşımaktadır. Bu bağlamda, kullanıcı eğitimleri, güvenlik duvarları, güncel yazılımlar ve çok faktörlü kimlik doğrulama sistemleri gibi önleyici tedbirlerin alınması şarttır.
NCSC’nin raporu, siber güvenlik alanında artan tehditlerin ve sofistike saldırıların farkındalığını artırarak, kullanıcıların kendi çevrimiçi güvenliklerini sağlamalarına yardımcı olabilir. Siber tehditlerin ciddiyeti göz önüne alındığında, bu konuyu ele almak ve gerekli adımları atmak tüm bireyler ve organizasyonlar için bir zorunluluk haline gelmiştir.
