Birçok şirket, müşteriler hakkında mümkün olduğunca fazla veri toplamak için elinden geleni yapar. Hatta bazıları, kişisel bilgileri toplama izni karşılığında ürünlerini ücretsiz olarak verir.

Sonuç olarak, daha küçük işletmeler bile artık çok sayıda değerli veriye sahiptir ve giderek daha fazla bilgisayar korsanı, bu bilgileri çalmanın yollarını aramaktadır. Bunun en bilinen örneklerinden biri gelişmiş kalıcı tehdit olarak bilinen bir tür siber saldırıdır.

İlgili İçerik: Siber Saldırı Nedir?

Peki gelişmiş kalıcı tehdit tam olarak nedir?

APT Nedir?

Advanced persistent threat (APT) yani gelişmiş kalıcı tehdit, bir bilgi işlem cihazını veya ağını ihlal etmeye yönelik karmaşık ve ısrarlı çabaları ifade eden genel bir terimdir. Siber saldırı genellikle belirli bir kaynağı veya kullanıcıyı hedef alır ve çok yetenekli ve iyi finanse edilen bilgisayar korsanları (ör. devlet kurumları) tarafından gerçekleştirilir. APT saldırıları ise, virüs bulaşmış medya, tedarik zinciri güvenliğinin aşılması ve sosyal mühendislik dahil olmak üzere bilinen veya sıfırıncı gün güvenlik açıklarından yararlanan çeşitli siber saldırı araç ve tekniklerini kullanabilir. Bu siber saldırıların amacı genellikle belirli görevler için bir veya daha fazla bilgisayara özel kötü amaçlı kod yerleştirmek ve mümkün olan en uzun süre tespit edilmeden kalmaktır.

İlgili İçerik: Ransomware Nedir? Ransomware Nasıl Önlenir?

Bir APT Saldırısının Ana Amacı Nedir?

Bir APT saldırısının amacı, sistemi alarma geçirmeden ağa girmek ve verileri çalmak için yeterli zamanı içeride geçirmektir. Tüm değerli veriler, aşağıdakiler dahil olmak üzere bir APT için potansiyel bir hedeftir:

  • Fikri mülkiyet
  • Kullanıcı PII’si
  • Gizli veriler
  • Altyapı verileri
  • Kimlik bilgilerine erişin
  • Hassas iletişim

Bir APT’nin amacı, veri çalmanın yanı sıra altyapıyı sabote etmeyi, bireysel sistemleri yok etmeyi veya site devralmalarını tamamlamayı da içerebilir. Her saldırının benzersiz bir amacı vardır, ancak amaç her zaman veri ihlalleri, casusluk ve sabotajın bir karışımıdır.

Kötü Amaçlı Yazılımla APT Aynı Mı?

APT’ler tamamen farklıdır, karşılaşılabilecek herhangi bir kötü amaçlı yazılımdan çok daha karmaşıktır. APT’ler, şimdiye kadar geliştirilmiş en zorlu izinsiz giriş önleme sistemleri tarafından korunan hükümet ve kurumsal ağlara saldırmak için özel olarak tasarlanmıştır.

Öte yandan, standart kötü amaçlı yazılımlar genellikle bireysel hedefler düşünülerek oluşturulur ve dağıtılır. Sıradan kötü amaçlı yazılım saldırılarının birçok hedeflenen kişinin bilgisayarlarında temel virüs koruması yüklü bile olmaz.

Diğer bir önemli ayrım, APT’lerin kalıcılığında yatar. Standart kötü amaçlı yazılım genellikle bilgisayar korsanlarının veya dolandırıcıların ne için geldiklerini ve çalıştırdıklarını güvence altına almalarına yardımcı olurken, APT’ler sürekli bir süre boyunca bir ağdan bilgi almak için tasarlanır. Bu süre haftalar, aylar veya yıllar sürebilir

İlgili İçerik: DDoS Nedir? DDoS Saldırı Türleri Nelerdir?

APT’nin Özellikleri Nelerdir?

Gelişmiş kalıcı tehdit saldırıları genellikle belirli bir kaynağı veya kullanıcıları hedef alır ve devlet kurumları gibi çok donanımlı ve iyi finanse edilen bilgisayar korsanları tarafından gerçekleştirilir. APT saldırıları, virüs bulaşmış ortam, tedarik zinciri gizliliği ve sosyal mühendislik dahil olmak üzere çeşitli siber saldırı araç ve tekniklerini kullanabilir. Bu siber saldırıların amacı, belirli görevler için bir veya daha fazla bilgisayara özel kötü amaçlı kod yerleştirmek ve mümkün olan en uzun süre tespit edilmeden kalmaktır. APT saldırıları, kötü amaçlı yazılımları bir hedef sisteme teslim etmenin bir yolu olarak sıfır gün istismarlarının kullanımını içerebilir.

APT Saldırılarının Arkasında Kim Var?

APT saldırılarının ölçeği ve karmaşıklığı göz önüne alındığında, bunlar genellikle büyük kuruluşlar veya ulus-devletler tarafından gerçekleştirilir. Sahip olduğunuz verilerle ilgilenen bir ülke veya kuruluştan gelebilir. Ödüle karşı riske odaklanırlar ve finansal kazanç sağlarlar.

APT saldırganlarının hedefleri genellikle dört kategoriden birine girer:

  • Siber casusluk
  • Mali kazanç için e-suç
  • Hacktivizm
  • Veri imhası

APT Saldırı Döngüsü

APT saldırıları neredeyse her zaman aşağıda açıklanana benzer bir saldırı yaşam döngüsünü takip eder:

  • Hedeflenen kişinin altyapısına ilk erişimi elde etmek için sosyal mühendislik teknikleri (hedefli kimlik avı gibi), sıfır gün istismarları veya gelişmiş kötü amaçlı yazılımlar kullanılır.
  • Hedef ortama bir arka kapı oluşturmak için uzaktan yönetim yazılımı kurulur.
  • Kazanılan ilk ayrıcalıkları sistem veya yönetici düzeyine yükseltmek için ek açıklardan yararlanma veya parola saldırıları gerçekleştirilir.
  • Hedeflenen kişinin çevresinden hedeflenen bilgileri toplayın ve yanal hareket için BT altyapısı hakkında daha fazla bilgi toplayın.
  • Saldırı görevinde belirtildiği gibi daha fazla bilgiye erişim elde etmek için kontrolü diğer iş istasyonlarına ve sunuculara genişletin.
  • Güvenliği ihlal edilmiş iş istasyonlarına ve sunuculara sürekli erişimi sürdürün.
  • Hedeflenen kişinin çevresinden çalınan bilgileri sızdırın.

APT Saldırısı Nasıl Çalışır?

Bir APT saldırısı temel olarak aşağıdaki beş aşamayı takip eder:

1. İlk erişim

APT saldırganı hedef ağa erişim kazanır. Bu, bir kimlik avı e-postası, kötü amaçlı bir ek veya bir uygulama güvenlik açığı tarafından yapılır. Bilgisayar korsanının amacı, bu erişimi kullanarak ağa kötü amaçlı yazılım yerleştirmektir. Bu ilk aşamada, ağ tehlikeye girer, ancak henüz ihlal edilmemiştir.

2. Kötü amaçlı yazılım dağıtımı

Yerleştirilen kötü amaçlı yazılım, ağ güvenlik açıklarını araştırır. Bu güvenlik açıklarından nasıl yararlanılacağına ve ek kötü amaçlı yazılımların nasıl alınacağına ilişkin talimatlar için harici komut ve kontrol (CnC) sunucularıyla iletişim kurar.

3. Erişim genişletme

Kötü amaçlı yazılım, mevcut olanların erişilemez hale gelmesi durumunda yeni giriş noktaları bulmak için kullanılabilecek ek güvenlik açıkları algılar. Bu, güvenlik önlemleri bir giriş noktasını devre dışı bıraksa bile saldırının devam etmesini sağlar.

4. Varlık keşfi

Bu aşamada bilgisayar korsanı, güvenilir ve uzun vadeli ağ erişimi oluşturmuştur. Şimdi, kötü amaçlı yazılıma çalınacak hassas varlıkları araması talimatı verilir. Kullanıcı kimlik bilgilerini ve hassas veri dosyalarını içerebilir.

5. Veri toplama ve aktarma

Kötü amaçlı yazılım, hassas verileri bir hazırlama sunucusunda depolar. Veriler daha sonra harici bir sunucuya sızdırılır. Bu noktada hedef ağ ihlal edilir. Bilgisayar korsanları izlerini gizler ve ağı tehlikeye atar, böylece işlemi daha sonra tekrarlanabilir.

Bir APT Saldırısının İşaretleri Nelerdir?

Bir APT saldırısının amacı, hedef ağa girmek ve ağda hassas bilgiler aramak için gerektiği kadar zaman harcamaktır. Saldırı hedeflerine ulaşıldıktan sonra bilgisayar korsanları fark edilmeden ortadan kaybolur.

Bir APT saldırısı, etkinliği gizlemek için karmaşık yöntemler kullansa da, bir APT saldırısını tanımanıza yardımcı olabilecek birkaç gösterge vardır. Bunlar aşağıdaki şekildedir:

1. Beklenmedik oturum açma

Sunucularınıza çalışma saatleri dışında beklenmeyen bir oturum açma hacmi, devam eden bir APT saldırısına işaret edebilir. Bilgisayar korsanlarının ağınıza sızmak için kullandıkları yollardan biri, çalınan kimlik bilgilerini kullanmaktır. Bilgisayar korsanları, faaliyetlerinin fark edilme olasılığını azaltmak için farklı bir saat diliminde çalışabilir veya gece çalışmaya başlayabilir.

2. Tespit edilen arka kapı truva atı sayısında artış

Siber güvenlik araçlarınız normalden daha fazla arka kapı truva atı tespit ederse, bunun nedeni bir APT saldırısı olabilir. APT saldırganları, oturum açma kimlik bilgileri değiştirilse bile güvenliği ihlal edilmiş cihaza erişmeye devam edebilmelerini sağlamak için arka kapı truva atı programları yükler.

3. Hedefe yönelik kimlik avı e-postalarında artış

Yalnızca bir davetsiz misafir tarafından elde edilebilecek belgeleri içeren hedef odaklı kimlik avı e-posta’larına bakın. Bunun APT saldırısının bir parçası olabileceğinin bir başka göstergesi de, bu e-postaların, dizüstü bilgisayarlarına veya kısıtlanmış verilerine erişmek için üst düzey yöneticilere gönderilmiş olmasıdır.

4. Açıklanamayan veri geçişi

APT saldırı taktiklerinin bir parçası, çalmak istedikleri verileri ağınızdaki başka bir konuma kopyalamak ve yalnızca fark edilmeden yapabileceklerinden emin olduklarında ağınızın dışına aktarmaktır. Sunucudan sunucuya, sunucudan istemciye veya ağdan ağa bilgi akışı olabilir.

APT Saldırıları ile Diğer Siber Tehditler Arasındaki Fark

APT tehditlerini diğer siber tehditlerden ayıran 5 özellik vardır. Bunlar aşağıdaki şekildedir:

  • APT kötü amaçlı yazılımı, Ransomware gibi diğer kötü amaçlı yazılım türlerinden daha karmaşıktır.
  • APT saldırıları genellikle bilgisayar korsanları tarafından değil, ulus-devlet siber suç grupları tarafından başlatılır.
  • APT saldırıları manuel olarak yürütülür ve otomatik değildir (Hizmet Olarak Ransomware saldırıları gibi).
  • APT saldırılarının birincil amacı finansal kazanç değildir.
  • APT saldırıları genellikle yerelleştirilmiş segmentleri değil tüm ağları tehlikeye atar.

APT Saldırıları Nasıl Engellenir?

APT kötü amaçlı yazılım enjeksiyonlarını ve bunun sonucunda ortaya çıkan siber saldırıları önleyebilecek 5 güvenlik denetimi vardır. Bunlar aşağıdaki şekildedir:

1. Tüm Gelen ve Giden Trafiği İzleyin

Bir ağın çevresi boyunca ağ güvenlik duvarları uygulamak, kötü niyetli veri hırsızlığını ve arka kapı yükleme girişimlerini tespit etmenin en iyi yöntemlerinden biridir.

Web Uygulaması Güvenlik Duvarları (WAF), web uygulaması sunucularına yönelik uygulama katmanı saldırılarını önleyebilir. Bu güvenlik denetimi, bir APT saldırısının sızma aşamasında uygulanan yaygın taktikler olan SQL saldırılarını ve kaba kuvvet saldırılarını engelleyebilir.

2. Domain Whitelisting

Domain whitelisting, işletmelerin hangi alan adlarının ve uygulamaların özel ağlara erişmesine izin verildiğini belirlemesine olanak tanır. Etkinliği en üst düzeye çıkarmak için domain beyaz listeye alma, onaylanan tüm alan adları için sürekli güvenlik duruşu ölçümü ve izin verilen tüm uygulamalar için zorunlu yazılım güncelleme politikalarıyla birleştirilmelidir.

3. Çok Faktörlü Kimlik Doğrulama 

Çalınan kimlik bilgilerini kullanarak bir APT saldırısı ağınıza kolayca erişebilir. Güçlü bir erişim kontrol sistemi, APT saldırısının ağınızda başarıyla oturum açmasını zorlaştırabilir. Bu yüzden önemli ağ erişim noktaları, iki faktörlü kimlik doğrulama (2FA) ile güvence altına alınmalıdır.

4. Güvenli Ayrıcalıklı Erişim Yönetimi (PAM)

Çok faktörlü kimlik doğrulamaya ek olarak Ayrıcalıklı Erişim Yönetimi stratejilerinin güvenliğini artırmak, ayrıcalıklı yükseltmeyi APT saldırılarına karşı son derece sinir bozucu bir girişim haline getirir.

5. Tüm Güvenlik Açıklarını Keşfedin ve Düzeltin

APT saldırıları, uygulama güvenlik açıklarından yararlanmaya çalışır. Bu yüzden tüm uygulamaların en son güvenlik yamalarıyla güncellendiğinden emin olarak, bu tür güvenlik açıklarına maruz kalma riskinizi azaltın.

6. Kimlik Avı Farkındalığı

Kimlik avı dolandırıcılıkları, birçok APT saldırısı için giriş noktası olarak kullanılır. Bu noktada çalışanlarınız, kimlik avı girişimlerini ve bunlarla karşılaştıklarında ne yapacaklarını belirleme konusunda eğitilmelidir.

Gerçek Dünyada APT Örnekleri

1. Stuxnet

Bir APT saldırı grubu tarafından kullanılan Stuxnet, şimdiye kadar kullanılan en karmaşık kötü amaçlı yazılım örneklerinden biri olarak kabul edilen APT saldırısında kullanılan bir solucanı ifade eder. Stuxnet, temel olarak İran’daki nükleer santrallere hizmet veren SCADA sistemlerini hedef almıştır.

2. GhostNet

Çin merkezli bu APT siber saldırı grubu, 2009’dan itibaren 100’den fazla ülkedeki sistemlere giriş elde etmek için kötü amaçlı ekler yüklü hedef odaklı kimlik avı kullandı. GhostNet’in kullandığı birçok saldırı tekniği arasında, hedefler hakkında bilgi elde etmek için ses ve ekran yakalama vardı.

3. Sykipot APT’si

Sykipot saldırı grubu, kısmen Sykipot APT kötü amaçlı yazılım ailesini oluşturmasıyla bilinir. Bu özel kötü amaçlı yazılım ailesi, Adobe Acrobat ve Adobe Reader’daki kusurlardan yararlandı ve hedeflenen kişiler üzerinde sıfırıncı gün istismarlarını gerçekleştirmek için hedef odaklı kimlik avı saldırıları kullandı.

4. Mettel

Bu saldırı grubu, aralarında Carbanak ve GCMAN’ın da bulunduğu diğerleri ile birlikte finans kuruluşlarını hedef aldı. Mettel, ATM’leri etkilemek için özel kötü amaçlı yazılım kullandı ve günün sonunda ATM’lerde para çekildiğinde, kötü amaçlı yazılım ATM işlemlerinin geri alınmasına neden oldu. Bu, APT saldırılarının bilgilerin yanı sıra parayı da çalabileceğini göstermektedir.