Trace Id is missing

2023 Tehdit Analizi Yıllık Değerlendirme: Başlıca İçgörüler ve Gelişmeler

Paylaş
Gökyüzünde kırmızı daireler

Bu yıl, Microsoft Tehdit Analizi için inanılmaz bir yıl oldu. Günlük olarak izlediğimiz 65 trilyonu aşkın sinyal sayesinde ortaya çıkan devasa miktardaki tehdit ve saldırılar, özellikle de tehdit aktörlerinin ölçeklendirme ve devlet desteğinden yararlanma gibi konularda farklı yollara yöneldiği dikkate alındığında, bir dönüm noktasına işaret ediyor. Geçtiğimiz yıl, daha önce hiç olmadığı kadar fazla saldırı yaşandı ve saldırı zincirlerinin karmaşıklığı da her geçen gün artıyor. Bekleme süreleri kısaldı. Taktikler, teknikler ve prosedürler (TTP’ler) doğaları gereği daha çevik olacak ve daha iyi kaçınacak şekilde evrimleşti. Bu olayların ayrıntılarına bakmak da örüntüleri görmemize yardımcı olarak yeni tehditlere nasıl yanıt vereceğimize karar vermemizi ve bir sonraki adımda ne yapacaklarını tahmin edebilmemizi sağlıyor. 2023 yılına ait TTP’lere yönelik incelememizde, dünyanın dört bir yanındaki olaylarda gözlemlediklerimiz aracılığıyla tehdit analizi ortamına kapsamlı bir genel bakış sunmayı amaçlıyoruz. İşte Sherrod DeGrippo ve benim, Ignite 2023'teki tartışmamızdan alınan bazı video parçacıkları ile sizlerle paylaşmak istediğimiz bazı önemli noktalar.

John Lambert,
Microsoft Kurumsal Başkan Yardımcısı ve Güvenlik Araştırmacısı

Tehdit aktörü isimlendirme taksonomisi

2023 yılında Microsoft, tehdit aktörlerini isimlendirme konusunda (1) modern tehditlerin artan karmaşıklığına, ölçeğine ve hacmine daha uygun ve (2) saldırgan gruplarına referans vermek için daha düzenli, akılda kalıcı ve kolay bir yol olan, hava durumu temalı yeni bir taksonomiye geçiş yaptı.1

Microsoft, tehdit aktörlerini beş temel kategoriye ayırıyor:

Devlet destekli etki operasyonları: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Yeni taksonomimizde yukarıdaki kategorilerden her biri bir hava durumu olayı veya aile adıyla temsil ediliyor. Farklı grupları ayırt edebilmek için de aynı hava durumu ailesinde yer alan tehdit aktörlerine birer sıfat, gelişmekte olan gruplara ise dört haneli bir sayı veriliyor.

Tehdit taktikleri, teknikleri ve prosedürlerinde (TTP) 2023 eğilimleri

Özel araçlar ve kötü amaçlı yazılımlardan kaçınma

Gizliliğe önem veren tehdit aktörü grupları, özel kötü amaçlı yazılım kullanmaktan seçici olarak kaçınmaktadır. Bunun yerine saldırılarını başlatırken, benzer yöntemler kullanan diğer tehdit aktörlerinin arasında gizlenebilmek için kurbanlarının cihazında bulunan araç ve süreçleri kullanırlar. 2

Microsoft Kurumsal Başkan Yardımcısı ve Güvenlik Araştırmacısı John Lambert, tehdit aktörlerinin gizliliklerini koruyabilmek için gösterişli özel araçlardan kaçınmasını kısaca yorumluyor. Videoyu aşağıda izleyebilirsiniz:

Siber operasyonları etki operasyonları (IO) ile birleştirmek

Yaz boyunca Microsoft, bazı devlet destekli aktörlerin, siber operasyonlar ve etki operasyonları (IO) yöntemlerini birleştirerek “siber destekli etki operasyonları” adını verdiğimiz yeni bir melez oluşturduklarını gözlemledi. Bu yeni taktik, aktörlerin ağ erişimi veya siber saldırı becerilerindeki eksiklikleri azaltmalarına, kapatmalarına veya telafi etmelerine yardımcı oluyor. 3 Siber yöntemler arasında veri hırsızlığı, tahrifat, DDoS ve fidye yazılımı gibi taktiklerin yanı sıra veri sızıntıları, kuklalar, kurbanların kimliğine bürünme, sosyal medya ve SMS/e-posta iletişimi gibi etki yöntemleri de yer alıyor.
Web dostu siber ve etki yöntemleri dizisi

SOHO ağ uç cihazlarının güvenliğinin ihlal edilmesi

Tehdit aktörleri, küçük ofis/ev ofislerindeki (SOHO) ağ uç cihazlarından gizli ağlar oluşturmakta hatta dünyanın dört bir yanındaki savunmasız uç noktaların bulunmasına yardımcı olacak programlar kullanmaktadır. Bu teknik sayesinde herhangi bir yerden yapılmış gibi görünen saldırıları belirli bir grupla ilişkilendirmek de zorlaşır.4

Bu 35 saniyelik videoda Microsoft'tan John Lambert, tehdit aktörlerinin SOHO ağ uç cihazlarını neden bu kadar cazip hedefler olarak gördüklerini açıklıyor. Videoyu aşağıda izleyebilirsiniz:

Tehdit aktörlerinin çeşitli yollarla ilk erişimi elde etmesi

Microsoft Tehdit Analizi araştırmacıları, Ukrayna'da ve başka yerlerde tehdit aktörlerinin hedeflere ilk erişimi sağlarken çeşitli araç setleri kullandığını gözlemledi. Yaygın taktik ve teknikler arasında internete yönelik uygulamalardan kötü amaçla yararlanmak, arka kapılı korsan yazılımlar ve hedefli kimlik avı yer alıyor. 5 tepkisel davranarak Hamas saldırılarının ardından İsrail'e karşı koymak için siber operasyonları ve etki operasyonlarını hızla artırmıştır.

Güvenilirlik katmak için kurbanların kimliğine bürünmek

Siber destekli etki operasyonlarında, siber saldırının veya ele geçirmenin etkilerine güvenilirlik katmak için sözde mağdur kurumların veya bu kurumlardaki önde gelen kişilerin kimliğine bürünme eğilimi giderek artmaktadır. 6

İlk erişim ve kalıcılık için kamuya açık kavram kanıtlarının hızla benimsenmesi

Microsoft, devlet destekli bazı alt grupların, internete açık uygulamalardaki güvenlik açıklarından yararlanmak için, giderek daha fazla sayıda, kamuya açıklanan kavram kanıtı (POC) kodunu, yayımlandıktan kısa bir süre sonra benimsediğini gözlemlemektedir. 7

 

Aşağıdaki şekilde Microsoft'un gözlemlediği devlet destekli bir alt grubun tercih ettiği iki saldırı zinciri gösterilmektedir. Her iki zincirde de saldırganlar yanal hareket etmek için Impacket kullanır.

Saldırı zinciri görseli.

Tehdit aktörleri, hedef kitle ile iletişime geçmek için toplu SMS göndermeye çalışıyor

Microsoft, çok sayıda aktörün, siber etki operasyonlarını güçlendirmek ve psikolojik etkilerini artırmak için toplu SMS göndermeye çalıştığını gözlemlemiştir. 8

Aşağıdaki şekilde İsrailli bir spor yayıncısı gibi davranan tehdit aktörlerinden gelen iki SMS mesajı yan yana gösterilmektedir. Soldaki mesaj, Sport5’in tahrif edilen web sayfasına bağlantı içermektedir. Sağda ise “Canınıza susamadıysanız ülkelerimize gelmeyin.” şeklinde bir uyarı mesajı yer almaktadır.

Atlas Grubu Telegram sayfası: İsrailli spor yayıncısı gibi davranan kişilerden gelen SMS mesajlarının ekran görüntüleri.

Sosyal medya operasyonları, etkin kitle etkileşimini artırıyor

Artık sosyal medyadaki gizli etki operasyonlarının, hedef kitleleriyle, eski gözlemlere kıyasla daha başarılı bir şekilde etkileşime girmeye başlamış olması çevrimiçi IO varlıklarının daha karmaşık ve gelişmiş olduğunu gösteriyor.9

 

Aşağıda, ilk olarak devlet destekli bir grubun otomatik hesabı tarafından yüklenen bir Black Lives Matter görseli yer almaktadır. Bu paylaşımdan yedi saat sonra, aynı görsel ABD'li muhafazakâr bir seçmeni taklit eden bir hesap tarafından yeniden yüklendi.

Black Lives Matter hareketini destekleyici, ayrımcılık ve polis şiddetini kınayan, itibar ve güvenliği savunan eylem deyimi

Fidye yazılımı ekonomisinde uzmanlaşma

2023 yılında fidye yazılımı operatörleri, belirli bir yetenek ve hizmet yelpazesine odaklanmayı tercih ederek uzmanlaşma eğiliminde oldular. Bir fidye yazılımı saldırısının bileşenlerini, karmaşık bir yeraltı ekonomisinde birden fazla sağlayıcıya yayan bu uzmanlaşma da bir bölünme etkisi yarattı. Microsoft Tehdit Analizi ise buna karşılık, sağlayıcıları tek tek izleyerek ilk erişimde ve diğer hizmetlerde oluşan trafiği not etmeye başladı. 10

 

Ignite'tan alınan bir video bölümünde, Microsoft Tehdit Analizi Strateji Direktörü Sherrod DeGrippo, fidye yazılımı hizmet ekonomisinin mevcut durumunu anlatıyor. Videoyu aşağıda izleyebilirsiniz:

Özel araçların sürekli kullanımı

Bazı gruplar gizlilik amacıyla özel kötü amaçlı yazılımlardan dikkatle uzak dururken (yukarıdaki “Özel araçlar ve kötü amaçlı yazılımlardan kaçınma” bölümüne bakınız), diğerleri de kamuya açık araçlar ve basit komut dosyalarından uzak durarak daha sofistike yöntemler gerektiren ısmarlama yaklaşımları tercih etmiştir.11

Altyapının Hedeflenmesi

Su arıtma tesisleri, denizcilik operasyonları, ulaşım kuruluşları gibi altyapı kuruluşları; istihbarat değeri taşımamaları nedeniyle genelde siber casusluk için cazip görülen türden değerli verilere sahip olmasalar da yıkıcılık güçleri yüksektir. 12

 

Microsoft'tan John Lambert siber casusluk paradoksunu kısaca ortaya koyuyor: Görünüşte hiç veriye sahip olmayan bir hedef. Videoyu aşağıda izleyebilirsiniz:

Az önce incelediğimiz 2023 yılına ait 11 maddenin ayrıntılarından da görebileceğiniz gibi, tehdit ortamı sürekli olarak gelişmekte ve siber saldırıların karmaşıklığı ve sıklığı artmaya devam etmektedir. Takip ettiğimiz 300'den fazla tehdit aktörünün her zaman yeni bir şey deneyeceğine ve bunu, denenmiş ve gerçek TTP'lerle birleştireceklerine şüphe yok. Bu tehdit aktörlerini analiz ettikçe ve kişiliklerini anladıkça, bir sonraki hamlelerini tahmin edebiliyor olmayı seviyoruz. Üstelik şimdi Üretici AI ile bunu daha hızlı yapabildiğimizden saldırganları, daha da kısa sürede geri püskürtebileceğiz.

 

Şimdi 2024'e dönelim.

 

Tehdit Analizi haberleri ve arabada dinleyebileceğiniz bilgiler için Sherrod DeGrippo tarafından sunulan Microsoft Tehdit Analizi Podcasti'ne göz atın.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Ukrayna'da Rus hibrit savaşının bir yılı. Sayfa 14

  6. [6]

    İran, daha fazla etki yaratmak için siber destekli etki operasyonlarına yöneliyor. Sayfa 11.

  7. [7]
  8. [8]

    İran, daha fazla etki yaratmak için siber destekli etki operasyonlarına yöneliyor. Sayfa 11.

  9. [9]

    Doğu Asya'dan gelen dijital tehditlerin kapsamı ve etkinliği artıyor. Sayfa 6

  10. [10]

    İstihbaratta Bir Yıl: Microsoft'un APT'lere Karşı Küresel Duruşunda Öne Çıkanlar

  11. [11]

    İran, daha fazla etki yaratmak için siber destekli etki operasyonlarına yöneliyor. Sayfa 12.

  12. [12]

    İstihbaratta Bir Yıl: Microsoft'un APT'lere Karşı Küresel Duruşunda Öne Çıkanlar

Siber Etki Operasyonları Devlet destekli aktörler Tehdit aktörleri

İlgili makaleler

Rus tehdit aktörleri, savaş yorgunluğundan faydalanmaya hazırlanıyor

Ukrayna'daki savaş devam ederken Rusya'nın siber operasyonları ve etki operasyonları da sürüyor. Microsoft Tehdit Analizi, son altı ayda gerçekleşen en yeni siber tehdit ve etki faaliyetlerini detaylıca açıklıyor.
Daha fazla bilgi edinin

Volt Typhoon, gizlenmek için yerel sistemdeki araçlardan faydalanma tekniklerini kullanarak ABD’nin kritik altyapılarını hedef alıyor

Microsoft Tehdit Analizi, İran’ın dışında siber destekli etki operasyonlarının arttığını ortaya çıkardı. Yeni tekniklerin ayrıntılarını ve gelecekteki tehdit potansiyelinin nerede olduğunu içeren tehdit içgörüleri edinin.
Daha fazla bilgi edinin

Hizmet olarak fidye yazılımı: Endüstrileşmiş siber suçların yeni yüzü

Microsoft tehdit analizi, Ukrayna'da bir yıldır yapılan siber operasyonları ve etki operasyonlarını inceliyor, siber tehditlerdeki yeni eğilimleri ortaya çıkarıyor ve savaş ikinci yılına girerken neler bekleyebileceğimizi gösteriyor.
Daha fazla bilgi edinin

Microsoft’u takip edin