On altı gelişmiş kalıcı tehdit (APT) grubu, geçtiğimiz iki yıl içinde devlet kurumlarına, imalat şirketlerine ve enerji sektörüne odaklanan siber saldırılarla Orta Doğu’daki kuruluşları hedef aldı.
Mart ayında yayınlanan bir analize göre, APT aktörleri çoğunlukla Suudi Arabistan, Birleşik Arap Emirlikleri ve İsrail’deki kuruluşları hedef alıyor ve aralarında Oilrig ve Molerats gibi tanınmış grupların yanı sıra Bahamut ve Hexane gibi daha az bilinen kuruluşlar da bulunuyor. 27 siber güvenlik hizmetleri firması Positive Technologies tarafından.
Araştırmacılar, grupların devlet sponsorlarına siyasi, ekonomik ve askeri avantaj sağlayacak bilgiler elde etmeyi amaçladığını söyledi. Gruplara atfedilebilecek 141 başarılı saldırıyı belgelediler.
Positive Technologies’in kıdemli bilgi güvenliği analisti Yana Avezova, “Şirketler, bölgeye saldıran APT gruplarının hangi taktik ve teknikleri kullandığına dikkat etmeli” diyor. “Orta Doğu bölgesindeki şirketler bu grupların genel olarak nasıl çalıştığını anlayabilir ve buna göre belirli adımlara hazırlanabilirler.”
Siber güvenlik firması, analizini, ilk erişim için kimlik avı, kötü amaçlı kodların şifrelenmesi ve kamufle edilmesi ve Internet Relay Chat (IRC) gibi ortak uygulama katmanı protokollerini kullanarak iletişim kurmak da dahil olmak üzere APT aktörleri tarafından kullanılan en popüler saldırı türlerini belirlemek için kullandı. veya DNS istekleri.
16 APT aktöründen, APT 35 ve Moses Staff dahil altı grup İran’la, Moleratlar gibi üç grup Hamas’la ve iki grup da Çin’le bağlantılıydı. Analiz yalnızca karmaşık ve ısrarcı olduğu düşünülen grupların siber saldırılarını kapsıyordu; Pozitif Teknolojiler bazı grupları (Moses Personeli gibi) hacktivist bir grup yerine APT statüsüne yükseltiyordu.
“Araştırma sırasında, belirli satıcılar tarafından hacktivist olarak sınıflandırılan bazı grupların aslında doğası gereği hacktivist olmadığı sonucuna vardık.” raporda belirtilenşunu ekliyor: “Daha derinlemesine bir analizin ardından, Moses Staff saldırılarının hacktivist saldırılardan daha karmaşık olduğu ve grubun, hacktivist gruplardan daha büyük bir tehdit oluşturduğu sonucuna vardık.”
En Önemli İlk Vektörler: Kimlik Avı Saldırıları, Uzaktan Suistimal
Analiz, Orta Doğu’da faaliyet gösteren APT grupları arasında kullanılan en yaygın taktikleri belirlemek için her grup tarafından kullanılan çeşitli teknikleri MITRE AT&CK Çerçevesiyle eşleştiriyor.
İlk erişimi elde etmek için en yaygın taktikler arasında 11 APT grubu tarafından kullanılan kimlik avı saldırıları ve beş grup tarafından kullanılan, halka açık uygulamalardaki güvenlik açıklarından yararlanma yer alıyor. Gruplardan üçü ayrıca, arabadan indirme saldırısı olarak da bilinen, ziyaretçileri hedef alan bir sulama deliği saldırısının parçası olarak web sitelerine dağıtılan kötü amaçlı yazılımları da kullanıyor.
Raporda “Çoğu APT grubunun kurumsal sistemlere hedefli kimlik avı yoluyla saldırılar başlattığı” belirtildi. “Bu, çoğunlukla kötü amaçlı içeriğe sahip e-posta kampanyalarını içeriyor. APT35, Bahamut, Dark Caracal, OilRig gibi bazı saldırganlar, e-postanın yanı sıra kimlik avı saldırıları için sosyal ağları ve mesajlaşma programlarını kullanıyor.”
Ağa girdikten sonra, bir grup dışında hepsi işletim sistemi ve donanım da dahil olmak üzere ortam hakkında bilgi toplarken, çoğu grup (%81) aynı zamanda sistemdeki kullanıcı hesaplarını sıraladı ve ağ yapılandırma verilerini (%69) topladı. rapor.
“Toprakta yaşamak” siber güvenlik uzmanları arasında büyük bir endişe kaynağı haline gelirken, saldırganların neredeyse tamamı (%94) harici ağlardan ek saldırı araçları indirdi. Raporda, 16 APT grubundan 14’ünün indirmeyi kolaylaştırmak için IRC veya DNS gibi uygulama katmanı protokollerini kullandığı belirtildi.
Uzun Vadeli Kontrole Odaklandık
Positive Technologies raporda, APT gruplarının genellikle altyapının uzun vadeli kontrolüne odaklandığını ve “jeopolitik açıdan kritik bir anda” aktif hale geldiğini belirtti. Başarılarını önlemek için şirketler kendi özel taktiklerine dikkat etmeli, aynı zamanda bilgi ve operasyonel teknolojilerini güçlendirmeye de odaklanmalıdır.
Positive Technologies’den Avezova, varlıkların envanterinin çıkarılması ve önceliklendirilmesi, olay izleme ve olay müdahalesinin kullanılması ve çalışanların siber güvenlik konularında daha bilinçli olmaları için eğitilmesinin uzun vadeli güvenlik için kritik adımlar olduğunu söylüyor.
“Kısacası, sonuç odaklı siber güvenliğin temel ilkelerine bağlı kalmak önemlidir” diyor ve ekliyor: “Atılacak ilk adım, en sık kullanılan saldırı tekniklerine karşı koymaktır.”
16 gruptan çoğunluğu altı farklı Orta Doğu ülkesindeki kuruluşları hedef aldı: 14’ü Suudi Arabistan’ı hedef aldı; 12 BAE; 10 İsrail; dokuz Ürdün; sekiz tanesi de Mısır ve Kuveyt’i hedef aldı.
Şirket raporda, hükümet, imalat ve enerjinin en çok hedef alınan sektörler olduğunu, kitle iletişim araçlarının ve askeri-endüstriyel kompleksin ise giderek daha yaygın kurban hedefleri haline geldiğini belirtti.
Raporda, kritik sektörlerin giderek daha fazla hedeflenmesiyle birlikte kuruluşların siber güvenliği kritik bir girişim olarak ele alması gerektiği belirtildi.
“[T]o birincil hedef [should be] Şirket, raporda, tolere edilemeyen olayların (bir kuruluşun operasyonel veya stratejik hedeflerine ulaşmasını engelleyen veya bir siber saldırı sonucu ana faaliyet alanında önemli aksamalara yol açan olaylar) olasılığını ortadan kaldırdığını belirtti. “Bu olaylar, kuruluşun üst yönetimi tarafından desteklenecek ve bir siber güvenlik stratejisinin temelleri atılacak.”
