Dünyanın en tehlikeli devlet destekli hacker grupları
Hassas verileri çalmak ve bir rakibin altyapısını ve savunma sistemlerini sakat bırakmak için başlatılan sayısız gizli siber casusluk ve sabotaj saldırısıyla, devlet destekli hack operasyonları artık hem devlet kurumları hem de kuruluşlar için en büyük tehdit olarak görülüyor .
Bununla birlikte, devlet destekli aktörlerin saldırıları, yalnızca tozlu devlet dairelerinde, nükleer tesislerde ve askeri üslerdeki sunuculara karşı yapılmamaktadır . Muhalifler , siyasi muhalifler ve kar amacı gütmeyen kuruluşların yanı sıra müşterileri olarak kamu kurumlarını içeren özel şirketlerin de devlet destekli hacker grupları tarafından hedef alınma olasılığı en azdır.
Bu makalede, hem politika yapıcılar hem de güvenlik araştırmacıları için büyük bir baş ağrısı olan en tehlikeli gruplardan bazılarına bakacağım.
Bu şirin isimlerin nesi var ki?
Devlet destekli hacker gruplarına genellikle güvenlik araştırmacıları tarafından gelişmiş kalıcı tehditler (APT'ler) adı verilir. Bazı şirketler onlara basitçe bir numara atar. Diğerleri, farklı devletler tarafından desteklenen gruplara farklı hayvanlar olarak atıfta bulunan farklı adlandırma kurallarına sahiptir, örneğin İran'ın arama kartı bir kedi yavrusu.
Sonuç olarak, bir tehdit aktör grubu birkaç takma adla gidebilir: örneğin, FireEye Cozy Bear 'APT29' adını verirken, diğer şirketler grubu Cozy Bear, CozyDuke veya The Dukes olarak adlandırır.
Öyleyse, bunu akılda tutarak, dünyanın en tehlikeli ayılarına, ejderhalarına ve kedilerine bir göz atalım.
İleri atlamak için tıklayın:
- Cozy Bear (APT29)
- Lazarus Group (APT38)
- Double Dragon (APT41)
- Fancy Bear (APT28)
- Helix Kitten (APT34)
Cozy Bear (APT29)
- Bağlılık: Rusya
- Şu tarihten beri aktif: 2008
- En iyi bilinen: 2015 Pentagon saldırısı, FireEye hack (iddia edildiği gibi), SolarWinds hack (iddia edildiği gibi), COVID-19 aşı veri hırsızlığı
Cozy Bear (Süslü Ayı, Zehirli Ayı veya Vudu Ayısı ile karıştırılmamalıdır) hem güvenlik uzmanları hem de medya tarafından yaygın olarak bilinen bir isimdir.
Cozy Bear'ı özel yapan nedir? Birincisi, Rusya'nın 2016 ABD başkanlık seçimlerini etkileme girişimlerinde önemli bir rol oynadığı iddia ediliyor. Grup, 2008'deki şüpheli başlangıcından beri, hükümetler, düşünce kuruluşları, telekomünikasyon şirketleri, enerji şirketleri ve hatta siber güvenlik firmaları da dahil olmak üzere birçok kuruluşu, büyük olasılıkla devlet güvenlik hizmetleri tarafından kullanılan operasyon yöntemlerine işaret eden modellerde hedef aldı. Sonuçta, Cozy Bear, araştırmacıların uzun zamandır Rusya'nın önde gelen askeri istihbarat servisi GRU ile bağlantılı olduğuna inandıkları, devlet destekli iki hacker grubundan biri.
Aslında, uzman şüpheleri doğruysa, Cozy Bear, devlet destekli en tehlikeli hacker grubunun 2020'de şirketlere ve devlet kurumlarına zarar vereceğini kanıtlayabilir.
Grubun geçen yılki ikinci (iddia edilen) büyük darbesi, birden fazla ABD federal kurumunu ve müşterileri arasında Forbes Global 2000 listesinin daha iyi bir bölümünü sayan lider bir güvenlik şirketi olan FireEye oldu.
Aralık 2020'de güvenlik firması, kendisine ait rakip simülasyon araç setinin çalınmasıyla birlikte açıklanmayan saldırganlar tarafından saldırıya uğradığını itiraf etti. Resmi olarak, FireEye, izinsiz girişte kimin suçlanacağı konusunda hala sessiz. Ancak kaynaklar, bunun Rusya destekli bir hacker grubu olduğunu söylüyor. Yani, Rahat Ayı. FireEye hack etkisi devlet destekli saldırganlar, verilen yeterli zaman ve kaynaklar, herhangi bir örgüt ihlal edebilir gösteren, understate zordur, hatta daha önce unassailable düşündük.
Ancak 2020'nin kötü sürprizlerinin çoğunda olduğu gibi, bunun sonu değildi.
FireEye saldırısından kısa bir süre sonra, Teksas merkezli BT devi SolarWinds'in bir siber saldırıya maruz kaldığı haberi geldi. Saldırganlar solarwinds girdi görünür sistemler ve enjekte zararlı kod hangi yayılması için ‘Orion’ şirketin yazılım sistemi için bir güncelleştirme olarak yarısından fazlası Bölümü (Fortune 500 şirketleri ve çoklu ABD devlet daireleri dahil 33.000 istemcileri, Solarwinds ait Hazine, Ticaret ve İç Güvenlik aralarında).
Daha da kötüsü, ihlal aylarca tespit edilemedi ve saldırganlar, ABD ordusu ve Beyaz Saray da dahil olmak üzere ABD hükümetinin en yüksek kademelerinden verileri sızdırabilirdi.
Washington Post'a göre, Cozy Bear saldırıdan sorumlu hacker grubu olarak tanımlandı . Etkisi, ABD Siber Güvenlik ve Altyapı Güvenliği (CISA) kurumunun ihlalle ilgili bir acil durum yönergesi yayınlamasına bile neden oldu.
Öyleyse, Cozy Bear, tüm zamanların en tehlikeli devlet destekli hacker grubu mu? Olabilir. 2020'deki en korkutucu muydu? Kesinlikle.
Daha fazla bilgi için Linke tıklayınız
Lazarus Grubu (APT38)
- Bağlılık: Kuzey Kore
- Şu tarihten beri aktif: 2010
- En çok bilinenler: Troy Operasyonu, WannaCry saldırısı, COVID-19 aşı veri hırsızlığı
Çinko, Gizli Kobra ve Kuzey Kore'nin tek karlı girişimi olarak da bilinen Lazarus, Pyongyang rejimi tarafından desteklenen kötü şöhretli bir hacker grubudur. Kuzey Kore, siber savaş yeteneklerine önemli kaynaklar yatırıyor ve gösteriyor. Lazarus Group, 2017'deki rezil WannaCry fidye yazılımı saldırısı da dahil olmak üzere son yıllardaki en yüksek profilli siber saldırılarla bağlantılıydı ve bu saldırılar, haydut devlet rejimi için fidye olarak anlatılmamış miktarlarda para kazanıyor.
2010 yılında birimin başlangıcından bu yana, Lazarus'un siber saldırıları giderek daha sofistike ve yıkıcı hale geldi ve çoğunlukla bankalar ve fintech şirketleri gibi finansal kurumları hedef aldı.
Güvenlik uzmanlarına göre , devlet destekli grup bir casusluk operasyonuna benzer şekilde yönetiliyor, zamanla hedeflere dikkatlice sızıyor, uzlaştıkları sistemlerin içini ve dışını öğreniyor ve kurbanların en beklemediği anda gölgelerden saldırıyor.
Grubun son büyük ölçekli baskını, COVID-19 aşı verilerini çalmak amacıyla bir ilaç şirketine ve bir hükümet sağlık bakanlığına yapılan saldırıları içeriyordu. Kaspersky'deki uzmanlar, bilgisayar korsanlarının başka bir şirket aracılığıyla bir tedarik zinciri saldırısında Bookcode kötü amaçlı yazılımını dağıtarak ilaç firmasından verileri çaldığından şüphelenirken, bakanlığın sunucuları, ek kötü amaçlı yükleri getiren sofistike bir dosyasız kötü amaçlı yazılım programı olan wAgent'ı yükleyerek tehlikeye atıldı. uzak bir sunucu.
Bu düzeydeki karmaşıklık, uzmanların Kuzey Koreli bilgisayar korsanlığı grubunun gelişmeye devam edeceğine ve 2021 ve sonrasında daha da fazla tehlike oluşturacağına inanmalarına neden oluyor.
Detaylı bilgi için Wikipedia sayfasını ziyaret ediniz
Double Dragon (APT41)
- Bağlılık: Çin
- Şu tarihten beri aktif: 2012
- En çok tanınan: 2020'de büyük küresel bilgisayar korsanlığı kampanyası
Double Dragon, diğer adıyla Cicada, geceleri kişisel kazanç için finansal olarak motive edilmiş siber suçlarla uğraştığı da bilinen, Çin devletinin sponsor olduğu bir casusluk grubudur. Grubun faaliyetleri 2012 yılına kadar izlendi ve ABD ve İngiltere dahil 14 farklı ülkeye karşı casusluk operasyonlarını içeriyordu.
Double Dragon'un güvenlik uzmanları tarafından ilk kez görülmesinden bu yana, çok çeşitli operasyonlar gerçekleştirdiği gözlemlendi. Bunlar, tedarik zinciri saldırıları ve veri hırsızlığının yanı sıra karmaşık tescilli araçların kullanımını içerir.
Grubun son derece sofistike hedefleme teknikleri ve özellikle saldırgan operasyon yöntemleri, onları diğer devlet destekli gruplardan ayırıyor ve bu da onları mücadele için ikili (ejderha) bir tehdit haline getiriyor.
Double Dragon, hükümet kurumlarına doğrudan saldırmanın yanı sıra, gözetleme operasyonları için kullanabilecekleri verilere erişmek için seyahat ve telekomünikasyon endüstrilerindeki özel şirketleri de hedefliyor.
Örneğin, grup, yüksek rütbeli yabancı hükümet yetkililerinin yanı sıra eve daha yakın muhalifleri izlemek için rezervasyon bilgilerini, çağrı veri kayıtlarını ve metin mesajlarını çalacak.
Bununla birlikte, casusluk grubun tek gücü değildir: bir nedenden dolayı Tek Ejderha olarak adlandırılmamıştır.
FireEye'a göre , Double Dragon "ayrıca, aksi takdirde münhasıran devlet çıkarlarını destekleyen kampanyalarda kullanılan araçların kullanımını içeren, finansal olarak motive edilmiş açık faaliyetler de yürütüyor." Başka bir deyişle, grup "normal günlük işlerinin dışında" kendileri için para çalmak için birinci sınıf casusluk araçlarını kullanıyor.
2020'de Double Dragon, donanımdaki güvenlik açıklarından yararlanmaya çalışan ve aynı zamanda düzinelerce sektördeki birden çok ülkedeki ve şirketteki devlet kurumlarını hedef almaya devam eden en üretken hacker gruplarından biriydi.
Bununla birlikte, görünen o ki, grubun 'niceliğin niteliğe karşı' yaklaşımı onun düşüşü olabilir.
Eylül 2020'de ABD, Çin'in siber casusluk çabalarına yönelik daha büyük bir ABD baskısının parçası olan bir davada grubun 5 üyesini belirledi ve suçladı .
Bu operasyon devlet destekli gruba zarar verdi mi? Kesinlikle. Bu Double Dragon'un sonunu mu ifade edecek? Muhtemelen değil.
Detaylı bilgi için Wikipedia sayfasını ziyaret ediniz
Fancy Bear(APT28)
- Bağlılık: Rusya
- Şu tarihten beri aktif: 2005
- En çok bilinenler: 2016 DNC ve Podesta sızıntıları, 2019'da anti-doping kurumlarına yapılan saldırılar
Fantezi Ayı (Cozy Bear, Venomous Bear veya Voodoo Bear ile karıştırılmamalıdır) grubun 2016 Great DNC Hack'ine katılımının yanı sıra Emmanuel Macron'un kampanya web sitelerine yapılan bir dizi siber saldırıya ilişkin raporların ardından ün kazandı. 2017 Fransa Cumhurbaşkanlığı seçimlerine kadar. O zamandan beri siber güvenlik topluluğu, grubun ABD ve Batı Avrupa'nın çok ötesindeki saldırılarını gözlemliyor.
Fantezi Ayı, haber medyasında, muhalif hareketlerde, savunma endüstrisinde ve yabancı siyasi partilerde yüksek değerli hedeflere karşı sofistike kimlik avı saldırıları gerçekleştirme konusunda uzun bir geçmişe sahiptir.
Her zamanki MO'ları, potansiyel kurbanlarını grup tarafından üretilen ayrıntılı kimlik avı e-postalarının yasal kaynaklardan geldiğine inanmaları için kandırmak için e-posta alanlarını kullanmayı içerir.
Örneğin, Macron'un başkanlık kampanyasını hacklemeye çalışırken, grup, partisinin resmi web sitesi olan en-marche.fr ile neredeyse aynı görünen e-posta alanlarını kullandı. Fancy Bear, bu alan adlarını, ABD Demokrat Partisindeki üst düzey yetkilileri e-posta hesap kimlik bilgilerini bilgisayar korsanlarına vermeleri için kandıranlara benzer kimlik avı kampanyaları başlatmak için kullandı.
Grubun siyasi ve savunma sektörlerinde kurbanlara yönelik kapsamlı operasyonları, ülkenin askeri istihbarat servisi GRU ile bir bağa güçlü bir şekilde işaret eden Rus hükümetinin stratejik çıkarlarını yansıtıyor gibi görünüyor.
CrowdStrike'a göre , Fancy Bear "XAgent olarak bilinen birincil implantlarını geliştirmeye ve X-Tunnel, WinIDS, Foozer ve DownRange gibi özel aletler ve damlalıklardan yararlanmaya önemli ölçüde zaman ayırdı." Ve sonuçlara göre, implantlarının oldukça etkili olduğu görülüyor.
2020 yılında, grubun birçok ABD federal kurumuna karşı düzinelerce siber saldırı düzenlediği iddia edildi. Cozy Bear'daki benzerlerinden daha az başarılı gibi görünse de, Fancy Bear, dünyadaki birçok siber güvenlik firması ve devlet kurumu için arka planda sürekli bir sorun olmaya devam ediyor.
Detaylı bilgi için Wikipedia sayfasını ziyaret ediniz
Helix Kitten (APT34)
- Bağlılık: İran
- Şu tarihten beri aktif: 2007
- En iyi bilinen: 2013 New York Barajı hack, 2019'da Avustralya Parlamento Binası'na yapılan saldırılar
Bu listedeki diğer ülkelerin aksine, İran rejimin saldırı operasyonlarını yürütmek için sözleşmeli bilgisayar korsanlarını giderek daha fazla kullanıyor gibi görünüyor. Bu tür 'serbest çalışanlar' farklı ülkelerden ve geçmişlerden gelebilir ve adına çalıştıkları rejimin 'gerçek inananları' olabilir veya olmayabilir.
Ancak Helix Kitten'in (OilRig ve APT34 olarak da bilinir) İran hükümeti adına çalışan birkaç yerel operatör grubundan biri olduğundan şüpheleniliyor.
Güvenlik uzmanları , grubun faaliyetlerinin çoğunu Orta Doğu'da yürüttüğüne ve finans, enerji, kimya, telekom ve diğer endüstrilerin yanı sıra İran'ın Suudi Arabistan gibi bölgesel hakimiyetine rakip olarak gördüğü ülkelerdeki devlet kurumlarını hedef aldığına inanıyor . ve BAE.
İran'daki iletişim altyapısının kullanımı ve ayrıca İran rejiminin “ulusal çıkarları ile uyum ve zamanlama” da uzmanların Helix Kitten'ın dünyanın her yerinden bir grup serbest çalışan olmadığını değerlendirmesine yol açtı.
Bununla birlikte, tıpkı Double Dragon gibi, grup da işverenleri tarafından sağlanan saldırı araçlarını kullanarak bağımsız siber suç kampanyaları başlatarak 'yandan' projeler yürütüyor gibi görünüyor.
Nisan 2019'da, Helix Kitten, hacker grubunun adlarını, araçlarını ve faaliyetlerini açığa çıkaran Telegram'daki bir dizi sızıntıdan sonra büyük bir darbe aldı. Sızıntıda, Helix Kitten'dan on kişinin adı açıklandı, üçü İran İstihbarat Bakanlığı tarafından, diğerleri de İranlı siber güvenlik şirketi Rahacrop'ta çalışıyordu. Bu, faaliyetlerinin yılın geri kalanında durduğu anlaşılan kötü şöhretli grup için bir darbe olarak görüldü.
Bununla birlikte, Helix Kitten'ın ölümüne dair söylentiler abartılmış gibi görünüyor, çünkü grup saldırılarını 2020'de de sürdürüyor ve Orta Doğu ve Güney Asya'yı kasıp kavuruyor
Detaylı bilgi için Wikipedia sayfasını ziyaret ediniz
0 Yorumlar