APT grubu endüstriyel casusluk için BT altyapısını devraldı

Kaspersky ICS CERT, birçok Doğu Avrupa ülkesinde ayrıca Afganistan’da askeri-endüstriyel kompleks işletmelere ayrıca kamu kurumlarına yönelik hedefli bir saldırı dalgası tespit etti. Siber suçlular, endüstriyel casusluk amacıyla kurbanların tüm BT altyapısının kontrolünü ele geçirmeyi başardılar.

Ocak 2022’de Kaspersky araştırmacıları, askeri kuruluşlara ayrıca kamu kuruluşlarına yönelik birkaç gelişmiş saldırıya tanık oldu. Saldırıların temel amacı, şirketlerin özel bilgilerine erişmek ayrıca BT sistemlerini kontrol altına almaktı. Saldırganlar tarafınca kullanılan kötü amaçlı yazılım, Çince konuşan bir APT grubu olan TA428 APT tarafınca dağıtılana benziyordu.

Saldırganlar, bazıları e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, özenle hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak saldırılara hazırlandıklarını ayrıca hedeflerini önceden seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın herhangi bir etkinlik olmadan rastgele kod yürütmesine olanak tanıyan bir güvenlik açığından yararlanmak için kötü amaçlı kod içeren bir Microsoft Word belgesi içeriyordu. Mevzu Bahis güvenlik açığı, Microsoft Office’in bir bileşeni olan Microsoft Denklem Düzenleyicisi’nin eski sürümlerinde bulunuyor.

Saldırganlar ve aynı anda altı farklı arka kapı kullandılar. Bunu kötü amaçlı programlardan birinin güvenlik çözümü tarafınca tespit edilip kaldırılması durumunda virüslü sistemlerle ek iletişim kanalları kurmak için yaptılar. Bu arka kapılar, virüslü sistemleri kontrol etmek ayrıca gizli verileri toplamak için kapsamlı işlevsellik sağladı.

Saldırının son aşaması, etki alanı denetleyicisini ele geçirmeyi ayrıca kuruluşun tüm iş istasyonları ayrıca sunucularının tam kontrolünü ele geçirmeyi içeriyordu. Hatta vakalardan birinde siber güvenlik çözümleri kontrol merkezini bile ele geçirdiler. Etki alanı yöneticisi ayrıcalıkları ayrıca Actiayrıca Directory’ye erişim kazandıktan sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ayrıca saldırıya uğrayan kuruluşun hassas verilerini ayrıca diğer dosyaları aramak için “altın bilet” adı verilen esas saldırıyı gerçekleştirdiler.

Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Altın bilet saldırıları, Windows 2000’in kullanıma sunulmasından bu yana kullanılan varsayılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ içinde taklit edilerek, saldırganlar ağa ait herhangi bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için yalnızca parolaları değiştirmek veya güvenliği ihlal edilmiş hesapları engellemek yeterli olmayacaktır. Tavsiyemiz, tüm şüpheli etkinlikleri dikkatlice kontrol etmeniz ayrıca güvenilir güvenlik çözümlerine yönelmenizdir.”

Kaspersky ICS CERT üzerinde saldırı hakkında daha fazla bilgilendirme edinebilirsiniz.

ICS bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları kurumlara şunları öneriyor:

• Kuruluş ağının parçası olan işletim sistemlerini ayrıca uygulama yazılımını düzenli olarak güncelleyin. Güvenlik düzeltmelerini ayrıca yamalarını, kullanılabilir oldukları anda BT ayrıca OT ağ ekipmanlarına uygulayın.
• Olası güvenlik açıklarını belirlemek ayrıca ortadan kaldırmak için BT ayrıca OT sistemlerinin düzenli güvenlik denetimlerini gerçekleştirin.
• Teknolojik süreçleri ayrıca ana kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi koruma için ICS ağ trafiği izleme, analiz ayrıca algılama çözümlerini kullanın.
• Yeni ayrıca gelişmiş kötü amaçlı tekniklere yanıtı iyileştirmek için BT güvenlik ekipleri ayrıca OT mühendisleri için özel güvenlik eğitimi uygulayın.
• Endüstriyel kontrol sistemlerini korumaktan sorumlu güvenlik ekibine güncel tehdit istihbaratı sağlayın. ICS Tehdit İstihbarat Raporlama hizmetimiz, mevcut tehditler ayrıca saldırı vektörleri ile OT ayrıca endüstriyel kontrol sistemlerindeki en savunmasız unsurlar ayrıca bunların nasıl azaltılacağı hakkında bilgilendirme sağlar.
• Sektör açısından kritik tüm sistemler için kapsamlı koruma sağlamak üzere OT uç noktaları ayrıca ağlarınızda Kaspersky Industrial CyberSecurity gibi güvenlik çözümlerini kullanın.
• BT altyapınızı da koruyun. Entegre Uç Nokta Güvenliği, kurumsal uç noktaları korur ayrıca otomatik tehdit algılama ayrıca yanıt yetenekleri sağlar