Nedense şu ve benzeri ifadelerle karşılaşıyoruz: “Şirketimiz önemli bir aktör değil; bir saldırgan için ilgi çekici bir hedef olamaz.” Bu ifade ne kadar popüler olsa da yanlış bir yoruma işaret ediyor. İşte bir APT operatörünün, tedarik zinciri saldırısında küçük bir şirketi nasıl kullandığına dair bir örnek.
Bu ayın başlarında gerçekleşen Güvenlik Analizi Zirvesinde, AVAST’ta çalışan meslektaşlarımız, geçen yıl elde ettikleri küçük bir İngiliz şirketine dair, Piriform vakasını sundular. Piriform, CCleaner programıyla ünlüdür. Bu yazılım istenmeyen dosyaları ve geçersiz Windows Registry girdilerini temizlemek için kullanılmaktadır. Aslında, CCleaner en eski sistem temizleyicilerinden biridir ve 2 milyardan fazla sayıda indirilmiştir. Bu program muhtemelen bu sebeple APT aktörleri tarafından casus yazılımları yaymak için seçildi.
CCleaner Saldırısı
Suçlular başlangıçta programların üretildiği sunuculara virüs bulaştırarak Piriform’un derleme çevresini riske attılar. Kaynak kodu temiz olsa da, derlenen yapı daha sonra saldırı için kullanılacak kötü amaçlı yazılımları içeriyordu. Dahası, değiştirilmiş derleyici kitaplığı sayesinde kötü amaçlı yazılım yasal bir Piriform dijital imzası kazandı. CCleaner 5.33.6162 ve CCleaner Cloud 1.7.0.3191 etkilendi.
Saldırı planı oldukça karmaşıktı ve en az üç aşamaya sahipti. 100 milyon aktif kullanıcıya sahip olan popüler uygulamada gizli olan kötü amaçlı yazılım, bir ay boyunca kullanıcılara dağıtıldı. 2,27 milyon insan kötü amaçlı yazılıma sahip programı indirdi ve bu yazılımın en az 1,65 milyon kopyası suçluların sunucularıyla iletişime geçmeye çalıştı. Daha sonra anlaşıldığı üzere komuta ve kontrol sunucusu, ikinci aşamada hangi kurbanların hedef olacağını belirleyen basit bir kod içermekteydi. Bu kod kurbanın etki alanına bakıyor ve yüksek profilli teknik şirketler ve BT tedarikçileriyle çalışanları seçiyordu. Bu yöntemle yalnızca 40 bilgisayar seçildi ve bu bilgisayarlara başka bir kötü amaçlı yazılım gönderildi.
İkinci aşama benzeri bir amaca hizmet ediyordu — bu aşama da hedef tespitini gerçekleştirmek için kullanıldı. Görünüşe göre suçlular bu 40 bilgisayardan bilgileri aldılar, analiz ettiler ve en ilgi çekici hedefleri belirlediler. Bu aşamada, hedefteki grubu dörde düşürdüler.
Bu dört kişi, Çince konuşan aktörler tarafından kullanılmakta olan tanınmış kötü amaçlı ShadowPad yazılımının uygun hale getirilmiş bir yapısını aldılar. İşte bu, saldırının asıl amacıydı: yüksek profilli şirketlerdeki belirli çalışanlara gizli erişim sağlamak.
Ne yapılabilir?
Bu olaydan çıkarılacak asıl dersi bu yazının başında belirttik — Eğer APT için önemli bir hedef değilseniz bile, bir iletim zincirinde araç olarak kullanılabilirsiniz. Özellikle milyarlarca kez indirilen bir programa sahipseniz. İşletmenizde gerçekleşebilecek hasarları en aza indirmek için, hedefli saldırılara karşı kapsamlı koruma sağlayan bir strateji uygulamanız gerekmektedir. Bu koruma kapsama şunlar dahil olmalıdır: yanıta karşı hareket ve tespit, güvenlik açıklarının ortadan kaldırılması ve muhtemel risklerin öngörülmesi. Bazen işletme dışındaki diğer uzmanlardan yardım almak akıllıca olabilir.
Güvenliğin sırrı tehditleri avlamaktan geçer. Komplike bir hedefli saldırı bir kötü amaçlı yazılım yerleştirebilir ve dikkat çekmeden varlığını sürdürebilir (söz konusu vakada Piriform, farkında olmadan kötü amaçlı yazılımın bir aydan fazla süre yayılmasına neden olmuştur). Bu saldırıları engellemek için, deneyimli tehdit avcılarına ihtiyacınız var. İşte bu noktada Kaspersky Threat Hunting ile size yardımcı olabiliriz. Hedefli Saldırı Keşfi sayesinde uzmanlarımız, altında yatan nedenleri ve olayların muhtemel kaynaklarını anlamanız için ağınızdaki mevcut bilişim suçlusu ve casus faaliyetlerini tanımlamanıza yardımcı olur. Ayrıca, etkili azaltma faaliyetleri ve gelecekte oluşabilecek benzeri hataları önleme konusunda da size yardımcı olur. Ek olarak, 24 saat süren gözetim ve devamlı siber tehdit verileri analizi sunan Kaspersky Managed Protection da sağlayabiliyoruz.
Güvenlik analizcilerimiz tarafından gerçekleştirilen gelişmiş tehdit tespiti hakkında daha fazla bilgi edinmek için Kaspersky Threat Hunting internet sayfamızagöz atın.