Kaspersky GReAT, SideWinder APT’nin nükleer altyapıyı maksat aldığını ortaya çıkardı
Kaspersky araştırmacıları, berbat bir üne sahip gelişmiş kalıcı tehdit (APT) kümesi SideWinder’ın odak noktasının Güney Asya’daki nükleer güç tesislerine gerçek kaydığını ve amaçlı casuslukta kıymetli bir artış yaşandığını tespit etti. Tehdit aktörü eş vakitli olarak Afrika, Güneydoğu Asya ve Avrupa’nın birtakım bölgelerinde operasyonlarını genişletti.
Kaspersky’nin Global Araştırma ve Tahlil Takımı (GReAT), SideWinder APT kümesinin Güney Asya’daki nükleer santrallere ve güç tesislerine daha fazla odaklandığını gösteren iki taraflı bir tehdidi belgeledi. Bu nükleer eksen, kümenin klasik alanlarının ötesinde coğrafik genişlemesine paralel olarak ilerliyor.
En az 2012’den beri etkin olan SideWinder, geçmişte kamu, askeri ve diplomatik kurumları gaye almıştı. Küme, maksatlarını Güneydoğu Asya’daki denizcilik altyapısı ve lojistik şirketlerini de kapsayacak halde genişletirken nükleer kesim maksatlarına de göz dikti. Kaspersky araştırmacıları, spearphishing e-postaları ve kesime mahsus terminolojiyle yüklü berbat hedefli dokümanlar kullanan nükleer güç kurumlarını amaç alan taarruzlarda bir artış olduğunu belirtti.
SideWinder’ı 15 ülkede ve üç kıtada takip eden Kaspersky, küme Mısır’a odaklanmadan evvel Cibuti’de çok sayıda hücum gözlemledi ve Mozambik, Avusturya, Bulgaristan, Kamboçya, Endonezya, Filipinler ve Vietnam’da ek operasyonlar başlattı. Afganistan, Cezayir, Ruanda, Suudi Arabistan, Türkiye ve Uganda’daki diplomatik kuruluşların da gaye alınması, SideWinder’ın Güney Asya’nın çok ötesine geçtiğini gösteriyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Vasily Berdnikov, şunları söylüyor: “Tanık olduğumuz şey yalnızca coğrafik bir genişleme değil, SideWinder’ın yeteneklerinde ve amaçlarında stratejik bir evrim gözlemiyoruz. Tespit edildikten sonra güncellenmiş ziyanlı yazılım varyantlarını harikulâde bir süratle dağıtabiliyorlar. Bu da tehdit ortamını reaktiften neredeyse gerçek vakitli gayrete dönüştürüyor.”
Eski bir Microsoft Office açığına (CVE-2017-11882) dayanmasına karşın SideWinder, tespit edilmekten kaçınmak için araç setinde süratli değişikliklerden yararlanıyor. Nükleer altyapıyı amaç alan küme, düzenleyici yahut tesise mahsus mevzularla ilgiliymiş üzere görünen ikna edici kimlik avı e-postaları hazırlıyor. Bu dokümanlar açıldığında, saldırganlara nükleer tesislerin operasyonel datalarına, araştırma projelerine ve işçi detaylarına erişim sağlayabilecek bir zincir başlatıyor.
Kaspersky, güvenlik açığı idaresi tahlilleri, erken etap hücum tedbire, otomatik karşılıklı gerçek vakitli tehdit algılama ve SideWinder’ın gelişen makus hedefli yazılımlarına uygun olarak daima güncellenen algılama kuralları dahil olmak üzere, birden fazla güvenlik katmanı aracılığıyla kurumları bu cins hücumlardan koruyor.
SideWinder’ın son operasyonlarının tam teknik analizi Securelist.com adresinde bulabilirsiniz.
Kaspersky güvenlik uzmanları, kurumların kritik altyapılarını sofistike amaçlı ataklara karşı müdafaalarına yardımcı olmak için aşağıdakileri öneriyor:
- Kapsamlı yama idaresi uygulayın. Kaspersky Güvenlik Açığı Değerlendirmesi ve Yama İdaresi, altyapınızdaki güvenlik açıklarını ortadan kaldırmak için otomatik güvenlik açığı tespiti ve yama dağıtımı sağlar.
- Gerçek vakitli tehdit algılama özelliklerine sahip çok katmanlı güvenlik tahlillerini yaygınlaştırın. Kaspersky Next XDR Expert, tesirli tehdit tespiti ve karmaşık akınlara otomatik karşılık için makine tahsili teknolojilerini kullanarak birden fazla kaynaktan gelen bilgileri toplar ve ilişkilendirir.
- Çalışanlar için nizamlı olarak siber güvenlik farkındalık eğitimleri düzenleyin ve bilhassa sofistike oltalama teşebbüslerini tanımaya odaklanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı