Kaspersky uzmanları, dünya genelinde 2 binden fazla endüstriyel kuruluşa saldıran, süratle gelişen yeni bir casus yazılım serisini ortaya çıkardı …
Kaspersky uzmanları, dünya genelinde 2 binden fazla endüstriyel kuruluşa saldıran, süratle gelişen yeni bir casus yazılım serisini ortaya çıkardı. Pek çok ana akım casusluk atağından farklı olarak bu taarruzlar, ataklardaki amaç sayısının sonlu olması ve her bir makus maksatlı örneğin çok kısa ömürlü oluşuyla öne çıkıyor. Çalışmada çalınan bilgilerin satıldığı 25’ten fazla pazar yeri belirlendi. Bu ve başka bulgular yeni Kaspersky ICS CERT raporunda yayınlandı.
2021’in birinci yarısında Kaspersky ICS CERT (Endüstriyel Denetim Sistemleri Siber Acil Müdahale Ekibi) uzmanları, ICS bilgisayarlarında engellenen casus yazılım tehditleriyle ilgili istatistiklerde değişik bir anormallik fark etti. Bu taarruzlarda kullanılan makûs maksatlı yazılımlar, Agent Tesla/Origin Logger, HawkEye ve başkaları üzere âlâ bilinen ticari casusluk yazılım ailelerine ilişkin olsa da taarruzlar hudutlu sayıda makineyi amaç alması ve hücum kaynaklarının çok kısa ömürlü olması nedeniyle ana akımdan sıyrılıyordu.
2021 yılının birinci yarısında ICS bilgisayarlarında engellenen 58 bin 586 casus yazılım örneğinin ayrıntılı tahlili, bunların yaklaşık 21,2’sinin bu yeni hudutlu kapsamlı ve kısa ömürlü atak serisinin modülü olduğunu ortaya çıkardı. Atakların hayat döngüleri, “geleneksel” bir casus yazılım kampanyasının ömründen çok daha kısa olan yaklaşık 25 gün ile hudutlu.
Bu “anormal” casus yazılım örneklerinin her biri kısa ömürlü ve yaygın olarak dağıtılmamış olsa da tüm casus yazılım taarruzlarının büyük bir kısmını oluşturuyorlar. Örneğin Asya’da casus yazılım saldırısına uğrayan her beş bilgisayardan biri, “anormal” casus yazılım örneklerinden birine maruz kaldı.
Bu kampanyaların birden fazla, âlâ hazırlanmış kimlik avı e-postaları aracılığıyla bir endüstriyel kuruluştan başkasına yayılıyor. Saldırgan kurbanın sistemine girdiğinde, aygıtı bir sonraki akının C2 (komut ve kontrol) sunucusu olarak kullanıyor. Hatalılar, kurbanın e-posta listesine erişim sağlayarak kurumsal e-postayı berbata kullanabiliyor ve casus yazılımı daha da yayabiliyor.
Kaspersky ICS CERT telemetrisine nazaran dünya çapında 2 binden fazla endüstriyel kuruluş, makûs niyetli altyapıya dahil edildi ve siber çeteler tarafından saldırıyı bağlantı kuruluşlarına ve başka iş ortaklarına yaymak için kullanıldı. Bu akınlar sonucunda ele geçirilen yahut çalınan kurumsal hesapların toplam sayısının 7 binden fazla olduğunu varsayım ediliyor.
ICS bilgisayarlarından elde edilen hassas datalar çoklukla çeşitli pazar yerlerinde satılıyor. Kaspersky uzmanları, endüstriyel kampanyalardan çalınan kimlik bilgilerinin satıldığı 25’ten fazla farklı pazar yeri belirledi. Bu pazar yerlerinin tahlili, bilhassa Uzak Masaüstü Hesapları (RDP) için kurumsal hesap kimlik bilgilerine yüksek talep olduğunu gösteriyordu. Tahlil edilen pazaryerlerinde satılan tüm RDP hesaplarının 46’sından fazlası ABD’deki şirketlere aitken, geri kalanı Asya, Avrupa ve Latin Amerika’dan geliyordu. Satılan RDP hesaplarının yaklaşık 4’ü (2 bin civarı hesap) endüstriyel işletmelere aitti.
Büyüyen bir öbür alan da Hizmet Olarak Casus Yazılım pazarı oldu. Kimi tanınan casus yazılım programlarının kaynak kodları kamuya açıldığından, bunlar çevrimiçi mağazalarda hizmet formunda yüksek oranda erişilebilir hale geldi. Yani geliştiriciler sırf makus gayeli yazılımları bir eser olarak değil, tıpkı vakitte berbat maksatlı yazılım oluşturucu lisansı ve evvelden yapılandırılmış altyapıya erişim halinde de satıyorlar.
Kaspersky ICS CERT Güvenlik Uzmanı Kirill Kruglov, şunları söylüyor: “2021 yılı boyunca siber hatalılar, endüstriyel bilgisayarlara saldırmak için yoğun bir şekilde casus yazılımlar kullandılar. Bugün endüstriyel tehdit ortamında süratle gelişen yeni bir akıma şahit oluyoruz. Hatalılar, tespit edilmeyi önlemek için her akının boyutunu küçültüyor ve her makûs hedefli yazılım örneğinin yeni oluşturulmuş bir örnekle değiştirilmesini zarurî kılarak kullanımını sonlandırıyor. Öteki taktikler, makus hedefli yazılımları yaymak için kurumsal e-posta altyapısının büyük ölçüde berbata kullanılmasını içeriyor. Bu, daha evvel casus yazılımlarda gözlemlediğimiz her şeyden farklı ve bu çeşit taarruzların önümüzdeki yıl ivme kazanacağını iddia ediyoruz.”
ICS CERT web sitesinde “anormal” casus yazılım kampanyaları hakkında daha fazla bilgi edinebilirsiniz. 2022’de ICS’ye ve endüstriyel kuruluşlara yönelik tehditler hakkında daha fazla bilgi edinmek için 2022’ye ait ICS tehdit varsayımlarına göz atabilirsiniz.
Endüstriyel kuruluşların, iş ortağı ağ operasyonlarının ve işletmenin kâfi seviyede korunmasını sağlamak için Kaspersky uzmanları şunları öneriyor:
Kaynak: (BHA) – Beyaz Haber Ajansı