BRICKSTORM: Siber Tehdit ve Etkileri
Son yıllarda, siber güvenlik dünyası, farklı tehdit aktörlerinin gerçekleştirdiği siber saldırılarla dolup taşıyor. Özellikle, Uygun İletişim Güvenliği ve Servis Sağlayıcıları gibi önemli kuruluşları hedef alan siber casusluk faaliyetleri, dikkat çekiyor. Yeni bir rapor, bu tehditlerin ardındaki potansiyel aktörlerden birinin Çin’le bağlantılı olduğunu ortaya koyuyor. Bu aktörler, bilhassa BRICKSTORM adlı arka kapı yazılımını kullanarak hedeflerini uzun süreli etki altında tutmayı amaçlıyor.
BRICKSTORM ve Özellikleri
BRICKSTORM, bir Go tabanlı arka kapı olarak tanımlanıyor. Bu yazılım, kendini bir web sunucusu olarak yapılandırabilme, dosya sisteminde değişiklik yapabilme ve dosya işlemleri gerçekleştirebilme gibi birçok yetenekle donatılmıştır. Shell komutlarını çalıştırma ve bir SOCKS proxy olarak işlev görme özelliği de taşır. BRICKSTORM, komut ve kontrol (C2) sunucusuyla WebSocket protokolü üzerinden iletişim kurar.
Bunun yanı sıra, BRICKSTORM, cihaza veya sunucuya zarar vermeden sabit bir erişim elde etmeyi hedefler. Yapılan analizler, bu tür yazılımların sistemlerde ne kadar süre boyunca gizli kalabildiğini ortaya koyarken, BRICKSTORM’un ortalama olarak 393 gün boyunca tespit edilmeden kalabildiği bildirilmiştir. Böylece, saldırganlar hedef sistemlere uzun vadede sızabilmektedir.
Pek Çok Sektöre Yönelik Tehditler
Mandiant ve Google Tehdit İstihbarat Grubu (GTIG), BRICKSTORM’un öncelikli hedefinin SaaS sağlayıcıları olduğuna dikkat çekmiştir. Amaç, bu sağlayıcıların müşterilerine ait verilere ulaşmak ve ulusal güvenlik veya uluslararası ticaretle alakalı bilgileri toplamak olarak öne çıkıyor. Ayrıca, BRICKSTORM’un entelektüel mülkiyet çalmak amacıyla da kullanıldığı anlaşılıyor.
Siber saldırganlar, özellikle Ivanti Connect Secure cihazlarındaki güvenlik açıklarını kullanarak ilk erişimlerini elde etmeyi başarmıştır. Bu noktada, hedef alınan sistemlere BRICKSTORM yüklenmiş ve Linux ile BSD tabanlı cihazlar üzerinde kalıcı bir etki yaratılmıştır. BRICKSTORM’un, tespit edilmeden çalışabilme yeteneği, tehdit aktörlerinin hedef sistemlerde uzun süreli kalmasına olanak tanımaktadır.
Tespit ve Müdahale Yöntemleri
Siber tehditlerle mücadelede, kuruluşların BRICKSTORM gibi zararlı yazılımları tespit edebilmesi son derece önemlidir. Google, Linux ve BSD tabanlı sistemler için potansiyel mağdurları tespit etmeye yönelik bir shell script tarayıcısı geliştirmiştir. Bu tarayıcı, bilinen zararlı yazılım imzalarını karşılaştırarak, sistemde BRICKSTORM faaliyeti olup olmadığını belirlemeyi amaçlar.
Google’ın açıklamalarına göre, BRICKSTORM’un kullanımı, örgütlerin kritik kişilerin e-posta hesaplarına ulaşma hedefini de taşır. Geliştiriciler, sistem yöneticileri ve Çin’in ekonomik çıkarlarıyla örtüşen kişiler, saldırganların hedef listesinde kaydedilmiştir.
Stratejik Hedefler ve Uzun Vadede Etkileri
BRICKSTORM saldırılarının stratejik hedefleri arasında, SaaS sağlayıcılarının müşterilerine sızabilmek ve bu sayede ekstra veriler elde edebilmek bulunmaktadır. Uygulamaları doğrudan erişmek için SOCKS proxy özelliğini kullanan tehdit aktörleri, bilhassa kritik sistemlerin yönetimini ele geçirme çabasında bulunuyorlar.
Bu tür teknikler, siber güvenlik alanında ciddi bir tehdit oluşturur. Saldırganlar, cihaza kaydedilen şifreleri veya hassas bilgileri ele geçirmek için genellikle Apache Tomcat sunucusu üzerinde zararlı bir tutucu kullanır. Bu tutucu, kullanıcı bilgilerini toplayarak, yetki artışı sağlamak için kullanılır.
Sonuç ve Önlemler
Siber güvenlik konusundaki gelişmeler ışığında, BRICKSTORM tarzı yazılımların etkisi kaçınılmaz bir gerçek. Küresel hayati öneme sahip verilerin ele geçirilmesi, hem ekonomik hem de ulusal güvenlik açısından büyük riskler taşımaktadır. Kuruluşların, siber saldırılara karşı keskin önlemler alması ve etkin tespit sistemleri kullanması gerekmektedir.
Kuruluşların, BRICKSTORM gibi zararlı yazılımlar için proaktif bir yaklaşım benimsemesi, hem hedef alındıkları dönemlerde hem de siber güvenlik stratejilerini geliştirmeleri noktasında kritik bir öneme sahiptir. Günümüzde siber tehditlere karşı mücadelenin, sürekli ve dinamik bir süreç olduğunu unutmamak gerekiyor.
