Advanced persistent threat yani gelişmiş kalıcı tehdit, bilgisayar korsanlarının genellikle uzun bir süre boyunca tespit edilemeyen sistemlere sızmak için birlikte çalıştığı ve verileri çaldığı bir siber saldırı türüdür. Çoğu durumda, bu siber saldırılar, başka bir hükümeti baltalamak isteyen ulus devletler tarafından gerçekleştirilir.
Kötü amaçlı yazılım ve kimlik avı gibi diğer siber saldırılar birkaç gün içinde işe yararken, bir APT aylar hatta yıllar içinde gerçekleşebilir.
APT grupları, daha zorlu görevlerin üstesinden gelmek için oluşturulur, ancak bunlar sandığınız kadar pahalı değildir. Bir APT saldırısının maliyetinin 2019’da 15.000 dolara kadar düştüğü gözlemlenmiştir. Bu siber saldırıların en pahalı yönü, sistem ve ağlar içindeki güvenlik açıklarını bulmalarına yardımcı olan ticari penetrasyon testi araçlarıdır.
Bir APT saldırısının arkasındaki amaçlar, diğer siber saldırı türleri gibi mali kazançlar için olabilir, ancak bunlar aynı zamanda siyasi casusluk amaçları için de kullanılır.
APT terimi bazen bu taktikleri kullanan ve devlet destekli olması gerekmeyen kötü amaçlı yazılımları belirtmek için de kullanılır, ancak en yaygın kullanım devlet destekli saldırıları ifade eder.
Advanced Persistent Threat Nasıl Çalışır?
Bir APT saldırısı sızma ile başlar. Ardından, bir APT saldırısı varlığını genişletmeye ve değerli verilere erişimi olan çalışanları tehlikeye atmaya çalışır. Yeterli bilgi toplandıktan sonra bilgisayar korsanları çıkardıklarını bir DDoS saldırısı veya başka bir dikkat dağıtma yöntemiyle maskeler.
1. İstihbarat Toplama
Bilgisayar korsanı, ağ topolojisi, çalışanlar ve güvenlik sistemleri dahil olmak üzere hedef işletme hakkında bilgi toplayarak işe başlar. Bu bilgiler, halka açık kaynaklardan ya da sosyal mühendislik yoluyla veya işletmenim web sitesindeki güvenlik açıklarından yararlanılarak elde edilebilir.
2. Giriş Noktaları ve Sızma
Bilgisayar korsanı, hedef ağa veya sisteme hedefli kimlik avı e-posta’ları, yama yapılmamış yazılım güvenlik açıklarından yararlanma veya çalınan kimlik bilgilerini kullanma gibi çeşitli yollarla erişim sağlar.
3. İletişim – Komuta ve Kontrol
Bilgisayar korsanı ağın içine girdikten sonra hedef sistem üzerinde kalıcı erişim ve kontrol sağlamak için bir arka kapı veya komuta – kontrol (C2) kanalı kurar. Bilgisayar korsanı, gizli kalmak için kötü amaçlı trafiği meşru ağ trafiği gibi göstermek veya iletişimleri gizlemek için şifreleme kullanmak gibi çeşitli teknikler kullanır.
4. Ayrıcalıkları Artırma
Bilgisayar korsanı, daha değerli bilgi ve sistemlere erişim elde etmek için hedef sistemdeki ayrıcalıklarını yükseltmeye çalışır. Bu, yama uygulanmamış güvenlik açıklarından yararlanılarak çalınan kimlik bilgileri kullanılarak veya sosyal mühendislik saldırıları ile başarılabilir.
5. Yanal Hareket
Bilgisayar korsanı, hedef ağ boyunca yanal olarak hareket ederek farklı sistemleri keşfeder ve daha değerli hedefler bulur. Bu, bilgisayar korsanının tespit edilmekten kaçmasına ve ağ üzerinde kontrolü elinde tutmasına yardımcı olur.
6. Kalıcılığı Koruma
Bilgisayar korsanı, genellikle güvenlik sistemleri tarafından tespit edilmekten kaçınmak için araç ve tekniklerini periyodik olarak güncelleyerek hedef ağ üzerinde erişim ve kontrol sağlamaya devam eder.
7. Verileri Sızdırma
Son olarak, bilgisayar korsanı hassas verileri hedef ağ veya sistemden sızdırır. Veriler çalınabilir, karanlık ağda satılabilir veya başka kötü amaçlar için kullanılabilir.
APT saldırılarının tamamlanması aylar hatta yıllar alabilir ve bir işletmenin itibarına ve mali durumuna önemli ölçüde zarar verebilir.
Bir APT Saldırısının Özellikleri
Aşağıdakiler, bir APT saldırısının ortak özelliklerinden bazılarıdır:
1. Hedeflilik
APT saldırıları, belirli bir işletmeye veya sektöre odaklanır. Bilgisayar korsanları, istismar edilebilecek güvenlik açıklarını ve zayıflıkları belirlemek için hedefin sistemlerini, çalışanlarını ve altyapısını araştırmak için zaman harcar.
2. Gizlilik
APT saldırıları, uzun süre tespit edilmeyecek şekilde tasarlanmıştır. Bilgisayar korsanları, gizli kalmak ve tespit edilmekten kaçınmak için rootkit’ler, arka kapılar ve komuta ve kontrol (C2) sunucuları gibi gelişmiş teknikler kullanır.
3. Kalıcılık
APT saldırıları tek seferlik bir olay değildir. Hedef ağa kalıcı olarak sızmak ve kontrolünü sürdürmek için tasarlanmıştır. Bilgisayar korsanları, uzun bir süre tespit edilmeden kalmak için yanal hareket, veri hırsızlığı ve ısrar gibi taktiklerin bir kombinasyonunu kullanabilir.
4. Gelişmiş Teknikler
APT saldırıları, geleneksel güvenlik önlemlerini atlamak ve hedef ağa erişim elde etmek için sosyal mühendislik, sıfır gün istismarları ve özel kötü amaçlı yazılımlar gibi gelişmiş teknikler kullanır.
5. Koordine ve Organize
APT saldırıları genellikle koordineli ve organize bir şekilde birlikte çalışan bir grup yüksek vasıflı bilgisayar korsanı tarafından gerçekleştirilir. Grup içinde belirli roller ve sorumluluklar olabilir ve bu kişiler birbirleriyle iletişim kurmak için şifreli iletişim kanalları kullanabilir.
6. Veri Hırsızlığı
APT saldırıları, hassas verileri hedef ağdan çalmak için tasarlanmıştır. Bilgisayar korsanları, verilerin çalınmasını gizlemek ve tespit edilmekten kaçınmak için steganografi, şifreleme ve karartma gibi gelişmiş teknikler kullanır.
7. Uzun Vadeli Etki
Başarılı bir APT saldırısının hedef işletme için uzun vadeli sonuçları olabilir. Bu, mali kayba, itibarın zarar görmesine ve fikri mülkiyet kaybına neden olabilir.
APT Saldırılarının Arkasında Kim Var?
APT saldırılarının amacı mutlaka mali değildir. APT’ler çoğunlukla istihbaratla ilgili olduğu için en çok ülkelerin kendi siber askeri veya bilgisayar korsanı kuruluşları tarafından gerçekleştirilen saldırı türleridir. Bu, ulus-devlet saldırganlarının ve devlet destekli grupların çoğunlukla APT saldırıları gerçekleştirdikleri anlamına gelir.
Bununla birlikte, son zamanlarda diğer iyi finanse edilmiş ve kaynaklara sahip bilgisayar korsanı gruplarının APT saldırıları gerçekleştiği görülmektedir. Bu bilgisayar korsanı grupları ya devlet kurumları adına çalışacak (muhtemelen kazançlı bir fiyat karşılığında) ya da büyük şirketler veya devlet daireleri hakkında casusluk yapmak için başka nedenleri olabilecek büyük şirketler tarafından yapılabilir.
APT Saldırıları İçin En Çok Kim Risk Altındadır?
Hükümetler, devlet kurumları ve kritik bir altyapıya sahip olan şirketler, APT saldırılarının en çok hedef aldığı kitledir. Ancak, barındırdıkları veri miktarı ve en hassas verilerinin değeri nedeniyle büyük şirket ve işletmeler de ana hedefler arasındadır.
Geçtiğimiz birkaç yılda, APT saldırıları orta ölçekli işletmeler, büyük tedarik zinciri ve altyapı sağlayıcıları (SolarWinds’te gördüğümüz gibi) gibi her türlü kuruluşu etkilemiştir ve bu trendin 2022 ve sonrasında da devam etmesi muhtemeldir. Bunun nedeni, APT saldırılarını gerçekleştirmenin artık daha kolay olması ve hacker gruplarının bu tür saldırıları gerçekleştirmek için daha fazla kaynağa sahip olmasıdır.
APT Saldırılarına Karşı Nasıl Korunursunuz?
Gelişmiş Kalıcı Tehdit (APT) saldırılarına karşı koruma sağlamak için çok katmanlı bir güvenlik yaklaşımı gerekir. İşletmelerin APT saldırılarına karşı korunmasına yardımcı olabilecek bazı önlemler aşağıdakileri içerir:
1. Güvenlik farkındalığı eğitimi
APT saldırılarına karşı korunmanın en etkili yollarından biri, çalışanları, bilgisayar korsanlarının bir ağa erişim elde etmek için kullandıkları kimlik avı e-posta’larını ve diğer sosyal mühendislik taktiklerini tanıma konusunda eğitmektir.
2. Ağ segmentasyonu
Bir ağı segmentlere ayırmak, bir APT saldırısının yayılmasını kontrol altına almaya yardımcı olabilir. Bir ağı daha küçük parçalara bölerek, bir bilgisayar korsanının erişimi belirli bir alanla sınırlandırılabilir ve bu da bilgisayar korsanlarının ağ boyunca yatay olarak hareket etmesini engeller.
3. Erişim kontrolü
Hassas veri ve sistemlere erişimi sadece ihtiyacı olan kişilerle sınırlamak, APT saldırısı riskini azaltmaya yardımcı olur. Erişim kontrolü, iki faktörlü kimlik doğrulama ve güçlü parola politikaları uygulama gibi önlemleri içerebilir.
4. Düzenli yama uygulama
Sistem ve yazılımları en son güvenlik yamalarıyla güncel tutmak, bilgisayar korsanlarının bilinen güvenlik açıklarından yararlanmalarını önlemeye yardımcı olur.
5. Uç nokta koruması
Virüsten koruma yazılımı, güvenlik duvarları ve izinsiz giriş tespit sistemleri gibi uç nokta koruma çözümleri, uç noktada APT saldırılarının algılanmasına ve önlenmesine yardımcı olur.
6. Ağ izleme
Ağ trafiğinin sürekli izlenmesi, şüpheli etkinliğin ve potansiyel bir APT saldırısının göstergelerinin saptanmasına yardımcı olur.
6. Olay yanıt planlaması
İşletmelerin, olası bir APT saldırısına yanıt vermek için saldırıyı kontrol altına alma, hafifletme ve paydaşlarla iletişim kurma prosedürleri dahil olmak üzere bir planı olmalıdır.
İşletmeler, bu önlemleri uygulayarak bir APT saldırısının kurbanı olma risklerini önemli ölçüde azaltabilir. Fakat, APT saldırılarının son derece karmaşık olduğunu, sürekli geliştiğini ve işletmelerin bilgisayar korsanlarının önünde geçebilmek için sürekli tetikte kalması gerektiğini bilmesi gerekir.
Advanced Persistent Threat Örnekleri
Yıllar boyunca Gelişmiş Kalıcı Tehdit (APT) saldırılarının birkaç popüler örneği olmuştur. Bunlar aşağıdaki şekildedir:
1. Operation Aurora
Operation Aurora, 2009-2010’da Google, Adobe ve Juniper Networks dahil olmak üzere birçok büyük şirketi hedef alan bir siber saldırıydı. Devlet destekli olduğuna inanılan bilgisayar korsanları, hedeflenen şirketlerin ağlarına erişmek ve fikri mülkiyeti çalmak için sıfırıncı gün açıkları ve sosyal mühendislik taktiklerinin bir kombinasyonunu kullandı.
2. Stuxnet
Bir APT’nin ilk ve tarihsel olarak en belirgin örneklerinden biri, İran’ın nükleer programını hedef almak için tasarlanmış olan Stuxnet’tir. Stuxnet, 2010 yılında keşfedilmiş olmasına rağmen 2005 yılından beri geliştirilme aşamasında olduğu düşünülmektedir.
Stuxnet keşfedildiğinde, İran’da 14’ten fazla endüstriyel sitenin yazılımına bulaşan 500 kilobaytlık bir bilgisayar solucanıydı. Microsoft Windows makinelerini hedef aldı ve kendi kendine yayıldı. Sonuç olarak İran nükleer santrifüjlerinin neredeyse beşte birini kaybetti.
3. Sony Pictures hack
2014 yılında Sony Pictures, hassas çalışan verilerinin ve yayınlanmamış filmlerin çalınmasıyla sonuçlanan büyük bir siber saldırıya maruz kaldı. Kuzey Koreli olduklarına inanılan bilgisayar korsanları, saldırıyı gerçekleştirmek için özel kötü amaçlı yazılım, sosyal mühendislik ve yıkıcı taktiklerin bir kombinasyonunu kullandı.
4. Operation Cloud Hopper
Operation Cloud Hopper, müşterilerinin ağlarına erişim elde etmek için birkaç büyük BT hizmeti şirketini hedef alan bir siber casusluk kampanyasıydı. Devlet destekli olduğuna inanılan bilgisayar korsanları, saldırıyı gerçekleştirmek için hedef odaklı kimlik avı, arka kapılar ve özel kötü amaçlı yazılımların bir kombinasyonunu kullandı.
5. SolarWinds hack
2020’nin sonlarında, birkaç ABD devlet kurumu ve şirketinin, bir tedarik zinciri saldırısının parçası olarak ihlal edildiği keşfedildi. Rus devlet destekli bilgisayar korsanları olduğuna inanılan bu kişiler, büyük bir BT yönetim yazılımı sağlayıcısı olan SolarWinds’in yazılım tedarik zincirine sızdı ve bunu hedeflerine özel kötü amaçlı yazılım dağıtmak için kullandı.
Yukarıdakiler, APT saldırılarının sadece birkaç popüler örneğidir. APT saldırıları, her büyüklükteki işletme için ciddi bir tehdit olmaya devam etmektedir. Bu yüzden işletmelerin her zaman tetikte kalması ve bu saldırılara karşı korunmak için sağlam güvenlik önlemleri uygulaması gerekir.
İlgili İçerikler
SSL Nedir? SSL Güvenlik Sertifikası Ne İşe Yarar?, TLS Nedir? SSL/TLS Kullanarak Güvenli E-posta Gönderin veya Alın
Phishing Nedir? Phishing (Oltalama) Saldırısı Nasıl Engellenir?
Ransomware Nedir, Nasıl Çalışır? Ransomware Virüsünün Mail Yoluyla Bulaşmasını Engelleme
Business Email Compromise (BEC) Nedir? BEC Saldırıları Nasıl Engellenir?
Kimlik Avı Nedir, Nasıl Önlenir?
Virüslü E-Mailler Hakkında Alınacak Önlemler ve E-Posta Güvenliği, E-posta Sunucu Destekli Antivirüs Programları
Güvenli E-posta İletişimi için Alınacak Önlemler
E-Posta Üzerinden Yapılan Saldırılar ve Alınması Gereken Önlemler
Siber Güvenlik Nedir? Veri Güvenliğini Nasıl Sağlarız?, Siber Saldırı Nedir? İşletmeler E-Posta Verilerini Siber Saldırıdan Nasıl Korumalıdır?
Sosyal Mühendislik Nedir? Sosyal Mühendislik Saldırıları Nasıl Önlenir?
Spam E-Posta Nedir? Zararlı Maillerden Korunun, Mail Neden Spama Düşer? Önemli Maillerin Spama Düşmesini Engelleme
İstenmeyen E-Posta Nedir? İstenmeyen Mailleri Engelleme
Firewall Nedir, Ne İşe Yarar? Firewall Türleri
Mail Transfer Agent (MTA) Nedir? İşletmeler Online Ortamda E-Posta Hesaplarını Nasıl Korumalı?
Penetrasyon (Sızma) Testi Nedir, Aşamaları Nelerdir? Firmalar Güvenlik Açıklarını Nasıl Giderebilir?
Man-in-the-Middle Atağı (MitM) Nedir? Nasıl Çalışır? Nasıl Önlenir?