Toplu Casus Yazılım Kampanyasına Dikkat

Toplu Casus Yazılım Kampanyasına Dikkat
Okunuyor Toplu Casus Yazılım Kampanyasına Dikkat

Endüstriyel kuruluşlar hem finansal kar hem de istihbarat toplama açısından siber hatalılar için en cazip maksatların başında geliyor. 2021 yılı Lazarus ve APT41 gibi tanınmış APT kümelerinin endüstriyel kuruluşlara saldırdığına sahne oldu. Kaspersky uzmanları diğer bir atak dizisini araştırırken, kümenin savunma sanayisine karşı ThreatNeedle kampanyasında kullandığı özel makûs hedefli yazılım olan ve Lazarus’un “Manuscrypt” ile birtakım benzerliklere sahip yeni bir berbat emelli yazılım modülünü ortaya çıkardı. Bu nedenle yazılım PseudoManuscrypt olarak isimlendirildi.

20 Ocak- 10 Kasım 2021 tarihleri ortasında Kaspersky eserleri, 195 ülkede 35 binden fazla bilgisayarda PseudoManuscrypt’i engelledi. Maksatların birden fazla, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Taarruza uğrayan bilgisayarların %7,2’si endüstriyel denetim sistemlerinin (ICS) bir kesimiydi. Mühendislik ve bina otomasyonu en çok etkilenen kısımları temsil ediyordu.

PseudoManuscrypt, başlangıçta kimileri ICS’ye özel geçersiz korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu geçersiz yükleyicilerin Hizmet Olarak Berbat Emelli Yazılım (MaaS) platformu aracılığıyla sunulması olası. Değişik bir biçimde birtakım durumlarda PseudoManuscrypt, makûs bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. Birinci bulaşmadan sonra ana berbat maksatlı modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Kaspersky uzmanları bu modülün iki çeşidini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan bilgi kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama bilgilerini ve temas bilgilerini çalma, ekran imgelerini kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.

Akınlar belli sanayilere dair bir tercih göstermiyor. Lakin atağa uğrayan çok sayıda mühendislik bilgisayarı, 3D ve fizikî modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir maksat olabileceğini gösteriyor.

Garip bir halde kurbanlardan kimileri, ICS CERT’nin daha evvel bildirdiği Lazarus kampanyasının kurbanlarıyla bağlantılı görünüyor. Bilgiler, daha evvel sırf APT41’in makûs maksatlı yazılımıyla kullanılan bir kitaplık yardımıyla az bir protokol üzerinden saldırganların sunucusuna gönderiliyor. Bununla birlikte çok sayıda kurbanı ve odak eksikliğini göz önüne alarak, Kaspersky kampanyayı Lazarus yahut bilinen rastgele bir APT tehdit aktörüyle ilişkilendirmiyor.

Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Bu hayli sıra dışı bir kampanya ve elimizdeki çeşitli bilgileri hala bir ortaya getiriyoruz. Lakin açık bir gerçek var: Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz.”

ICS CERT’de PseudoManuscrypt kampanyası hakkında daha fazla bilgi edinebilirsiniz.

Kaspersky uzmanları, PseudoManuscrypt’ten korunmak için kuruluşlara şunları tavsiye ediyor:

  • Tüm sunuculara ve iş istasyonlarına uç nokta müdafaa yazılımı yükleyin
  • Tüm uç nokta müdafaa bileşenlerinin sistemlerde etkinleştirildiğini ve birinin yazılımı devre dışı bırakmaya çalışması durumunda yönetici parolasının girilmesini gerektiren prensiplerin yürürlükte olduğunu denetim edin.
  • Active Directory prensiplerinin, kullanıcıların sistemlerde oturum açma teşebbüslerine ait kısıtlamalar içerdiğini denetim edin. Kullanıcıların sırf işlerine dair sorumlulukları yerine getirmek için erişmeleri gereken sistemlere giriş yapmalarına müsaade verilmelidir.
  • OT ağındaki sistemler ortasında VPN dahil ağ ilişkilerini kısıtlayın. Operasyonların sürekliliği ve güvenliği için gerekli olmayan tüm ilişki noktalarındaki ilişkileri bloke edin.
  • Bir VPN ilişkisi kurarken ikinci kimlik doğrulama faktörü olarak akıllı kartlar (belirteçler) yahut tek seferlik kodlar kullanın. Bunun uygulanabilir olduğu durumlarda, bir VPN kontağının başlatılabileceği IP adresleri listesini kısıtlamak için Erişim Denetim Listesi (ACL) teknolojisini kullanabilirsiniz.
  • Kuruluş çalışanlarını internet, e-posta ve öbür bağlantı kanallarıyla inançlı bir formda çalışma konusunda eğitin. Bilhassa doğrulanmamış kaynaklardan belge indirmenin ve yürütmenin mümkün sonuçlarını açıklayın.
  • Lokal yönetici ve tesir alanı yöneticisi ayrıcalıklarına sahip hesapları sırf iş sorumluluklarını yerine getirmek için gerekli olduğunda kullanın.
  • Yüksek seviyede bilgi ve güvenlik uzmanlarının uzmanlığına süratle erişebilmek için Yönetilen Tehdit Algılama ve Cevap hizmetlerini kullanmayı düşünün.
  • Atölyeleriniz için özel müdafaa kullanın. Kaspersky Industrial CyberSecurity, endüstriyel uç noktaları korur ve makûs niyetli aktiflikleri belirlemek ve engellemek için OT ağını izlemesini sağlar.

Online Müracaat