Kaspersky ICS CERT, birçok Doğu Avrupa ülkesinde ve Afganistan’da askeri-endüstriyel kompleks işletmelere ve kamu kurumlarına yönelik amaçlı bir …
Kaspersky ICS CERT, birçok Doğu Avrupa ülkesinde ve Afganistan’da askeri-endüstriyel kompleks işletmelere ve kamu kurumlarına yönelik amaçlı bir akın dalgası tespit etti. Siber hatalılar, endüstriyel casusluk hedefiyle kurbanların tüm BT altyapısının denetimini ele geçirmeyi başardılar.
Ocak 2022’de Kaspersky araştırmacıları, askeri kuruluşlara ve kamu kuruluşlarına yönelik birkaç gelişmiş akına şahit oldu. Akınların temel hedefi, şirketlerin özel bilgilerine erişmek ve BT sistemlerini denetim altına almaktı. Saldırganlar tarafından kullanılan makus gayeli yazılım, Çince konuşan bir APT kümesi olan TA428 APT tarafından dağıtılana benziyordu.
Saldırganlar, kimileri e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, ihtimamla hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak ataklara hazırlandıklarını ve amaçlarını evvelce seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın rastgele bir aktiflik olmadan rastgele kod yürütmesine imkan tanıyan bir güvenlik açığından yararlanmak için makus emelli kod içeren bir Microsoft Word evrakı içeriyordu. Kelam konusu güvenlik açığı, Microsoft Office’in bir bileşeni olan Microsoft Denklem Düzenleyicisi’nin eski sürümlerinde bulunuyor.
Saldırganlar ayrıyeten tıpkı anda altı farklı art kapı kullandılar. Bunu berbat gayeli programlardan birinin güvenlik tahlili tarafından tespit edilip kaldırılması durumunda virüslü sistemlerle ek irtibat kanalları kurmak için yaptılar. Bu art kapılar, virüslü sistemleri denetim etmek ve bâtın dataları toplamak için kapsamlı fonksiyonellik sağladı.
Saldırının son evresi, tesir alanı denetleyicisini ele geçirmeyi ve kuruluşun tüm iş istasyonları ve sunucularının tam denetimini ele geçirmeyi içeriyordu. Hatta olaylardan birinde siber güvenlik tahlilleri denetim merkezini bile ele geçirdiler. Tesir alanı yöneticisi ayrıcalıkları ve Active Directory’ye erişim kazandıktan sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ve atağa uğrayan kuruluşun hassas datalarını ve öbür belgeleri aramak için “altın bilet” ismi verilen temel saldırıyı gerçekleştirdiler.
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Altın bilet taarruzları, Windows 2000’in kullanıma sunulmasından bu yana kullanılan varsayılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ içinde taklit edilerek, saldırganlar ağa ilişkin rastgele bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için sadece parolaları değiştirmek yahut güvenliği ihlal edilmiş hesapları engellemek kâfi olmayacaktır. Tavsiyemiz, tüm şüpheli aktiflikleri dikkatlice denetim etmeniz ve sağlam güvenlik tahlillerine yönelmenizdir.”
Kaspersky ICS CERT üzerinde taarruz hakkında daha fazla bilgi edinebilirsiniz.
ICS bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları kurumlara şunları öneriyor:
Kaynak: (BYZHA) – Beyaz Haber Ajansı