Finans Endüstrisini Hedef Alan Potansiyel Siber Tehditler
Giriş
Internet tarihi 1950’li yıllarda bilgisayarların gelişmesiyle başlamaktadır. Paket ağlarının yani ilkel internetin ilk tasarımları ABD, Ingiltere ve Fransa devletlerindeki laboratuvarlarda başlayarak şekillenmiştir. Günümüzde herkes tarafından bilinen veya en azından kulak aşinalığı olan ARPANET üzerinden ilk mesaj Kaliforniya Üniversitesi (UCLA) bünyesinde çalışan Profesör Leonard Kleinrock’un laboratuvarından Standford Araştırma Enstitüsü bünyesinde bulunan bir bilgisayara iletilmiştir. Daha sonrasında 1980’lerde Tim Berners-Lee’nin “World Wide Web (www)” geliştirmesiyle birlikte günümüzde son kullanıcılara kadar internetin varlığıyla modern internet şekillenmiştir.
İnsanlar interneti ilk etapta iş, eğlence ve hız için kullanmaya başlamış ve büyük ölçüde her alanda hayatlarına sokmaya başlamışlardır. İnternetin son kullanıcıdaki yaygınlaşmasıyla birlikte birçok norm geliştirilmiştir. Genel olarak masum halde kullanılan internet daha sonrasında meraklı insanların yaratıcı zekasıyla birleşip bilinen ilk zararlı yazılımları ortaya çıkarmıştır. Bilinen en eski zararlı yazılım bir Cuckoo’s Egg (Trojan) ve sonrasında bilinen en eski kurtçuk (worm) olan Morris Worm ortaya çıkmıştır. Cuckoo’s Egg’den ziyade Morris Worm, yaratıcısının iddiasına göre aslında ilk olarak eğlence amaçlı yazılmış ve internete yayılabileceği tahmin edilmemiştir. Böylelikle farkında olmadan ilk siber saldırılar gerçekleşmiştir. Temelinde bu şekilde başlayan siber saldırılar bugün çok büyük karmaşık yöntemler ve şekillere bürünmüş, devlet arası çıkar ve savaş durumlarında, politik olarak, şirketler arası rekabet doğrultusunda, endüstriyel hırsızlıkta
kullanılır boyutlara gelmiştir. Bu kadar ilerlemesinin temelinde elbette ki bilgisayar ve internet dünyasındaki yıkıcı gelişmeler sayesinde olmuştur.
İş dünyasında şirketler birbirleriyle rekabet edebilmek için bilgisayar sistemlerini, ağları ve yazılımları en üst düzeyde aktif olarak kullanmaya gayret edip, güç eşittir hız mantığıyla hareket etmektedir. Günün sonunda tüm bu sistemleri yaratan, bu yazılımları yazan insan beyniyle kurgulanıp, insan eliyle düzenlenip, yazılmaktadır. Artık klişe olabilecek bir söz olan “En zayıf halka insandır” kalıbı geçerliliğini korumaktadır. İnternette gölgelerde dolaşan aktörler insanların sistemlerindeki basit bir konfigürasyon hatasını, yazılımlardaki basit bir zafiyetli betik veya insanın en temel duygularını sömürerek organizasyonların sistemlerine sızıp, kimi zaman politik, kimi zaman ise finans odaklı saldırılar gerçekleştirmektedirler. Sektör bağımsız her yıl milyarlarca dolar zarara uğratmaktadır.
Finans sektörünün hedef alınması birden fazla açıdan devletleri etkilemekte ve bu sebepten ötürü birçok devletin kritik altyapı sistemleri sınıfında bulunmaktadır. Finans sektörüne gelebilecek herhangi bir zarar devletleri çok güç durumlara düşürebilmektedir. Bu argümanı destekleyecek en güzel örnekler Estonya DDoS saldırısı (2007) ve Gürcistan-Rusya savaşı (2008) olaylarıdır. Her iki olayda da devletin kritik altyapısı olan enerji, sağlık vb. kurumlar hedef alınırken aynı zamanda ülkelerdeki bankalar ve finans kurumları da hedef alınmış ve büyük ölçüde krize yol açmıştır.
Bizzat içinde bulunduğumuz finans sektörünün karşı karşıya kaldığı tehlike ve riskleri ele alacak, yakın ve güncel tarihte finans sektörü özelinde gerçekleşen siber olaylar, bu olayların sektöre etkileri, sektörün hali hazırdaki konumu, finans sektörünü hedef alan APT gruplarının listesi, kullandıkları teknikler ve yazılımlar, alınabilecek önlemler, olası bir siber olay sonrası müdahale planı ve sonuç aşaması ele alınacaktır.
Finans Sektörünün Halihazırdaki Durumu
inans sektörü, İngilizce terminolojisi olarak APT (Advanced Persisten Threat) olan Türkçe terminolojiye çevirecek olursak Gelişmiş Kalıcı Tehdit grupları için cezbedici bir sektördür. Bunun en büyük sebebi tahmin edilebileceği üzere paranın bir şekilde kaynağı ya da kanalı olmasıdır. Finans sektörüne yapılan bir saldırıdan sonraki ortalama zarar her bir veri sızıntısı için 230$ civarı bir rakama tekabül etmektedir. Bu rakam sağlık sektörüne verilen birim başına zarardan sonraki en büyük orandır. Ancak burada paradan ziyade en büyük zarar şirketlerin saygınlığıdır. Siber saldırılardan sonra gerçekleştirilen sızıntılar, şirketleri rakipleri ve halkın karşısında küçük düşürmektedir. Bir başka örnek vermek gerekirse 2016 yılında hackerlar Bangladesh Merkez Bankasını hedef alıp SWIFT sistemindeki zafiyeti sömürerek küresel finans sisteminin ana elektronik ödeme mesajlaşma sistemi, 1 milyar dolar çalmaya çalışmıştır.
Güncel zamanda finans sektörünü hedef alan siber tehdit aktörleri genel olarak devlet destekli gruplar, siber suç örgütleri, terörist, hacktivist ve iç tehdit unsurlarıdır. Temelde motivasyonları, jeopolitik konular, ideolojik konular ve finansaldır. IMF’nin sitesinde bu husus güzel bir görsel ile ele alınmıştır.
Yukarıdaki görselde de anlatıldığı gibi günümüzde siber tehdit aktörlerinin motivasyonlar, hedefleri ve örnekleri bu çerçevede şekillenmektedir. Tabi bu siber saldırıları gerçekleştirmek için her bir tehdit aktörünün kendine ait gelişmiş ve karmaşık saldırı yöntemleri mevcuttur. Ancak finans sektöründeki tehdit trendlerine bakıldığı zaman ana tehditler şu şekilde sıralanabilir:
- Fidye Yazılımı (Ransomware)
- Zararlı Yazılım (Malware)
- Sosyal Mühendislik (Social Engineering)
- Verilere Yönelik Tehditler (Threats against data)
- Kullanılabilirliğe Yönelik Tehditler: Hizmet Aksatma (Threats against availability: Denial of Service)
- Kullanılabilirliğe Yönelik Tehditler: İnternet Tehditleri
- Dezenformasyon — Yanlış Bilgilendirme (Disinformation — misinformation)
- Tedarik Zinciri Saldırıları (Supply Chain Attacks)
Yukarıdaki infografikte verilen değerler incelendiğinde yeşil olarak belirtilen finans sektörü gözle görülebilir bir şekilde yer kaplamaktadır. 2021–2022 Yılları arasını gösteren bu görsel günümüzde de güncelliğini korumakla birlikte her geçen gün artmaktadır.
Aşağıda bankacılık ve finans sektörüne yönelik 2023 yılında gerçekleştirilen bazı saldırılar sonrası veri sızıntısı örneklerini görebilirsiniz:
Hint menşeili HDFC bankasının hacklenip, elde edilen verilerin dark & deep web forumlarında verilerinin satışa çıkarılmasına dair bir gönderi paylaşılmış durumda.
Bir diğer örnek olarak Afrika bankasına ait veriler yine açık arttırma yöntemiyle alıcılarını beklemektedir.
Aşağıda verilen görselde Türkiye’yi aktif olarak finans sektöründe hedef alan tehtid aktörlerinin örnekleri verilmiştir. Görüldüğü üzere birbirinden farklı grup isimleri, hedef aldıkları sektörler, hedef aldıkları ülkeler ve kaynak olarak belirlenen ülkelerin listesi yer almaktadır.
Bilinen En Büyük Bankacılık Hacking Olayı Carbanak
Finans / Bankacılık sektöründe bilinen en büyük hacklenme olayı Carbanak & Cobalt ‘a aittir. Siber suç çetesi, 2013’ten bu yana, tasarladıkları Carbanak ve Cobalt olarak bilinen kötü amaçlı yazılımları kullanarak bankalara, e-ödeme sistemlerine ve finans kurumlarına saldırmaya çalıştı. Suç operasyonu 40'tan fazla ülkedeki bankaları vurdu ve finans sektörü için toplam 1 milyar Euro’nun üzerinde kayıpla sonuçlandı. Kayıpların boyutu önemli: Tek başına Cobalt kötü amaçlı yazılımı, suçluların soygun başına 10 milyon Euro’ya kadar çalmasına izin verdi.
Organize suç grubu, yüksek teknolojili suç faaliyetlerine 2013 yılının sonlarında, dünya genelindeki finans kurumlarının finansal transferlerini ve ATM ağlarını hedef alan Anunak kötü amaçlı yazılım kampanyasını başlatarak başladı. Ertesi yıl, aynı geliştiriciler, Anunak kötü amaçlı yazılımını, 2016 yılına kadar kullanılan ve Carbanak olarak bilinen daha gelişmiş bir sürüme dönüştürdü. Cobalt Strike penetrasyon testi yazılımına dayalı özel yapım kötü amaçlı yazılımı geliştirmişlerdir.
Tüm bu saldırılarda benzer bir yöntem kullanıldı. Suçlular, banka çalışanlarına gerçek şirketlerin kimliğini taklit ederek kötü amaçlı bir ek içeren hedef odaklı kimlik avı e-postaları gönderirdi. Kötü amaçlı yazılım indirildikten sonra, suçluların kurbanların virüslü bilgisayarları uzaktan kontrol etmelerine, dahili bankacılık ağına erişmelerine ve ATM’leri kontrol eden sunuculara bulaşmalarına izin verdi. Bu onlara parayı nakde çevirmek için ihtiyaç duydukları tüm bilgiyi sağlamış oldu. Günün sonunda birden fazla ülkede yapılan İnterpol operasyonlarında ele başı tutuklandı.
Finans sektörü de dahil olmak üzere genel olarak tehdit aktörleri zarar vermek istedikleri kurumlara belirli yöntemlerle sızmaktadır. Konumuz olan Carbanac’ın nasıl dünyanın en büyük bankaları ve kurumlarına sızdığını adım adım aşağıda gösterilmiştir.
Nasıl Çalışır?
Yukarıdaki görselde, ilk adım olarak grubun yazılımcıları zararlı yazılımı geliştirmiştir. Daha sonrasında geliştirilen zararlı yazılım, özenle hazırlanmış bir Spear-Phishing (Belirli kişi veya grubu hedef alan oltalama saldırısı) e-postasını banka çalışanlarına makinelerini enfekte etmek için gönderilmiştir. İkinci aşama olarak sızma ve enfekte adımı gerçekleşmektedir. Bu adımda zararlı yazılım iç ağda ATM’leri kontrol eden sunuculara bulaşmıştır.
İkinci görsel sızma ve bulaşma işlemleri tamamlandıktan sonra gerçekleşen kısımdır. Siber suç grubu, çaldıkları paraları kendilerine ait yabancı banka hesaplarına aktarmışlardır aynı zamanda banka hesaplarındaki parayı arttırarak ATM’lerden çekmiştir. Son olarak çekilen bütün paralar kripto paraya çevrilerek aklanmakta ve takip edilebilirliği yok edilmektedir.
Buradan farkındalık alınması gereken nokta, çoğu siber saldırıda ortak olarak kullanılan yöntemin varlığını anlamaktır. İlgili zararlı, bir e-posta ile şirket çalışanına yem olarak gönderilip açılmasıyla ilk erişime sahip olmuşlardır. Bu noktada çalışanların siber güvenlik farkındalıklarının yüksek olması şirketleri çok büyük zararlardan korumaktadır. Her şirket çalışanı aslında fiilen şirketin siber güvenliğinden de sorumludur.
Finans Sektörünü Hedef Alan Global APT Grupları
admin@338:
“admin@338”, Çin merkezli bir siber tehdit grubudur. Daha önce haber değeri taşıyan olayları kötü amaçlı yazılım dağıtmak için yem olarak kullandı ve genellikle PoisonIvy gibi halka açık RAT’leri ve bazı kamuya açık olmayan arka kapıları kullanarak finansal, ekonomik ve ticaret politikasıyla ilgili kuruluşları hedef aldı.
Kullanılan Teknikler:
T1087, T1059, T1203, T1083, T1036, T1069, T1566, T1082, T1016, T1049, T1007, T1204
Kullandıkları Zararlı Yazılımlar:
BUBBLEWRAP, ipconfig, LOWBALL, Net, netstat, Poisonlvy, Systeminfo
Andariel:
“Andariel, en az 2009'dan beri faaliyet gösteren, Kuzey Kore devlet destekli bir tehdit grubudur. Andariel, yıkıcı saldırılar da dahil olmak üzere operasyonlarını öncelikle Güney Kore devlet kurumlarına, askeri kuruluşlara ve çeşitli yerel şirketlere odaklamıştır. Ayrıca ATM’lere, bankalara ve kripto para borsalarına karşı siber finansal operasyonlar yürüttüler.
Andariel’in dikkate değer faaliyetleri arasında Kara Maden Operasyonu, GoldenAxe Operasyonu yer alır.
Andariel, Lazarus Group’un bir alt kümesi olarak kabul edilir ve Kuzey Kore’nin Genel Keşif Bürosuna atfedilir.
Kuzey Kore grup tanımlarının önemli ölçüde örtüştüğü biliniyor ve bazı güvenlik araştırmacıları, kümeleri veya alt grupları izlemek yerine tüm Kuzey Kore devlet destekli siber faaliyetleri Lazarus Grubu adı altında rapor ediyor.
Kullanılan Teknikler:
T1005, T1119, T1203, T1592, T1590, T1105, T1027, T1588, T1566, T1057, T1049, T1204
Kullandıkları Zararlı Yazılımlar:
gh0stRAT, Rifdoor
APT-C-36:
APT-C-36, en az 2018'den beri faaliyet gösteren şüpheli bir Güney Amerika casusluk grubudur. Grup, ağırlıklı olarak Kolombiya devlet kurumlarının yanı sıra finans sektörü, petrol endüstrisi ve profesyonel imalat sektörlerindeki önemli şirketleri hedef almaktadır.
Kullanılan Teknikler:
T1059, T1105, T1036, T1571,T1027, T1588, T1566, T1053, T1204
Kullandıkları Zararlı Yazılımlar:
Imminent Monitor
APT19:
APT19, savunma, finans, enerji, ilaç, telekomünikasyon, yüksek teknoloji, eğitim, üretim ve yasal hizmetler dahil olmak üzere çeşitli sektörleri hedef alan Çin merkezli bir tehdit grubudur. 2017'de yedi hukuk ve yatırım firmasını hedef alan bir kimlik avı kampanyası kullanıldı. Bazı analistler APT19 ve Deep Panda’yı aynı grup olarak izliyor, ancak açık kaynak bilgilerinden grupların aynı olup olmadığı net değil.
Kullanılan Teknikler:
T1071, T1547, T1059, T1543, T1132, T1140, T1189, T1564, T1574, T1112, T1027, T1588, T1566, T1218, T1082, T1016, T1033, T1204
Kullandıkları Zararlı Yazılımlar:
Cobalt Strike, Empire
APT38:
APT38, finansal siber operasyonlarda uzmanlaşmış, Kuzey Kore devlet destekli bir tehdit grubudur; yani aslında Genel Keşif Bürosu’na atfedilmiştir. 2014'ten beri aktif olan APT38, dünya çapında en az 38 ülkede bankaları, finans kurumlarını, kumarhaneleri, kripto para borsalarını, SWIFT sistem uç noktalarını ve ATM’leri hedef aldı.
Önemli operasyonlar arasında APT38'in 81 milyon dolar çaldığı 2016 Bank of Bangladeş soygununun yanı sıra Bancomext (2018) ve Banco de Chile’ye (2018) yönelik saldırılar; saldırılarından bazıları yıkıcı oldu. Kuzey Kore grup tanımlarının önemli ölçüde örtüştüğü bilinmektedir ve bazı güvenlik araştırmacıları, kümeleri veya alt grupları izlemek yerine Kuzey Kore devlet destekli tüm siber etkinlikleri Lazarus Group adı altında rapor etmektedir.
Kullanılan Teknikler:
T1071, T1217, T1110, T1115, T1059, T1543, T1485, T1486, T1005, T1565, T1561, T1189, T1083, T1562, T1070, T1105, T1056, T1112, T1106, T1135, T1027, T1588, T1566, T1057, T1053, T1105, T1518, T1218, T1082, T1049, T1033, T1569, T1529, T1204
Kullandıkları Zararlı Yazılımlar:
DarkComet, ECCENTRICBANDWAGON, HOPLIGHT, KillDisk, Mimikatz, Net
APT41:
APT41, araştırmacıların Çin devleti destekli casusluk grubu olarak değerlendirdiği ve mali amaçlı operasyonlar da yürüten bir tehdit grubudur. 2012'den beri aktif olan APT41'in 14 ülkede sağlık, telekom, teknoloji, finans ve video oyun sektörlerini hedef aldığı gözlemlendi. APT41, en azından kısmen, BARIUM ve Winnti Group dahil olmak üzere gruplara ilişkin kamuya açık raporlarla eşleşmektedir.
Kullanılan Teknikler:
T1071, T1560, T1197, T1547, T1110, T1059, T1136, T1543, T1486, T1005, T1568, T1546, T1480, T1190, T1203, T1133, T1008, T1083, T1574, T1070, T1105, T1056, T1036, T1112, T1104, T1046, T1135, T1027, T1566, T1542, T1055, T1090, T1021, T1496, T1014, T1053, T1553, T1195, T1195, T1218, T1016, T1049, T1033, T1569, T1078, T1102, T1047
Kullandıkları Zararlı Yazılımlar:
ASPXspy, BITSADMIN, BLACKCOFFEE, certutil, China Copper, Cobalt Strike, Derusbi, Empire, ftp, ipconfig, MESSAGETAP, Mimikatz, Net, netstat, njRAT, Ping, PlugX, PowerSploit, pwdump, ROCKBOOT, ShadowPad, Winni for Linux, ZxShell
BlackTech:
BlackTech, 2013'ten beri öncelikle Doğu Asya’daki kuruluşları (özellikle Tayvan, Japonya ve Hong Kong) ve ABD’yi hedef alan şüpheli bir Çin siber casusluk grubudur. BlackTech, özel kötü amaçlı yazılım, çift kullanımlı araçlar ve medya, inşaat, mühendislik, elektronik ve finans şirketi ağlarını tehdit etmektedir.
Kullanılan Teknikler:
T1190, T1203, T1574, T1036, T1106, T1046, T1588, T1566, T1021, T1204
Kullandıkları Zararlı Yazılımlar:
Flagpro, Kivars, PLEAD, PsExec, TSCookie, Waterbear
Carbanak:
Carbanak, 2013'ten beri finansal kurumları hedef almak için Carbanak kötü amaçlı yazılımını kullanan bir siber suç grubudur. Carbanak, aynı zamanda Carbanak kötü amaçlı yazılımını kullanmış olan Cobalt Group ve FIN7 olarak ayrı ayrı izlenen gruplarla bağlantılı olabiliceği tahmin edilmektedir.
Kullanılan Teknikler:
T1543, T1562, T1036, T1588, T1219, T1218, T1078, T1102
Kullandıkları Zararlı Yazılımlar:
Flagpro, Kivars, PLEAD, PsExec, TSCookie, Waterbear
Cobalt Group:
Cobalt Group, 2016'dan bu yana öncelikle finansal kurumları hedef alan, mali amaçlı bir tehdit grubudur. Grup, ATM sistemlerini, kart işlemeyi, ödeme sistemlerini ve SWIFT sistemlerini hedef alarak para çalmak için izinsiz girişler gerçekleştirmiştir. Cobalt Group, ağırlıklı olarak Doğu Avrupa, Orta Asya ve Güneydoğu Asya’daki bankaları hedef aldı. İddia edilen liderlerden biri 2018'in başlarında İspanya’da tutuklandı, ancak grup hala aktif görünüyor. Grubun, erişimlerini kullanmak ve daha sonra ek kurbanları tehlikeye atmak için kuruluşları hedef aldığı biliniyor. Raporlar, Cobalt Group ile hem Carbanak kötü amaçlı yazılımı hem de Carbanak grubu arasında bağlantılar olabileceğini gösteriyor.
Kullanılan Teknikler:
T1548, T1071, T1547, T1037, T1059, T1543, T1573, T1203, T1068, T1070, T1105, T1559, T1046, T1027, T1588, T1566, T1055, T1572, T1219, T1021, T1053, T1518, T1195, T1218, T1204, T1220
Kullandıkları Zararlı Yazılımlar
Cobalt Strike, Mimikatz, More_eggs, PsExec, Sdelete, SpicyOmolette
DarkVishnya:
DarkVishnya, Doğu Avrupa’daki finansal kurumları hedef alan, finansal olarak motive olmuş bir tehdit aktörüdür. 2017–2018'de grup en az 8 bankaya siber saldırı gerçekleşmiştir.
Kullanılan Teknikler:
T1110, T1059, T1543, T1200, T1046, T1135, T1040, T1571, T1588, T1219.
Kullandıkları Zararlı Yazılımlar
PsExec, Winexe
Deep Panda
Deep Panda, hükümet, savunma, finans ve telekomünikasyon dahil olmak üzere birçok sektörü hedef aldığı bilinen şüpheli bir Çin menşeili gruptur. Sağlık şirketi Anthem’e izinsiz giriş, Deep Panda’ya atfedildi. Bu grup ayrıca Shell Crew, WebMasters, KungFu Kittens ve PinkPanther olarak da bilinir. Deep Panda, her iki grup adının da Marşı izinsiz girişine atfedilmesine bağlı olarak Black Vine olarak biliniyor gibi görünüyor. Bazı analistler, Deep Panda ve APT19'u aynı grup olarak izliyor, ancak açık kaynak bilgilerinden, grupların aynı olup olmadığı net değil.
Kullanılan Teknikler:
T1059, T1546, T1564, T1027, T1057, T1021, T1018, T1505, T1218, T1047
Kullandıkları Zararlı Yazılımlar
Derusbi, Mivast, Net, Ping, Sakula, StreamEx, Tasklist
Evilnum
Evilnum, 2018'den beri aktif olan, finansal olarak motive olmuş bir tehdit grubudur.
Kullanılan Teknikler:
T1548, T1059, T1555, T1574, T1070, T1105, T1566, T1219, T1539, T1204, T1497
Kullandıkları Zararlı Yazılımlar
Evilnum, LaZagne, More_eggs
Exotic Lily
EXOTIC LILY, Sihirbaz Örümcek ve Conti ve Diavol dahil olmak üzere fidye yazılımlarının konuşlandırılmasıyla yakından bağlantılı, finansal olarak motive olmuş bir gruptur. EXOTIC LILY, diğer kötü niyetli aktörler için ilk erişim aracısı olarak hareket ediyor olabilir ve Eylül 2021'den bu yana BT, siber güvenlik ve sağlık hizmetleri dahil olmak üzere çok çeşitli sektörleri hedef almıştır.
Kullanılan Teknikler:
T1583, T1585, T1203, T1589, T1566, T1597, T1593, T1594, T1608, T1204, T1102
Kullandıkları Zararlı Yazılımlar
Bazar, BumbleBee
FIN10
FIN10, 2013'ten 2016'ya kadar Kuzey Amerika’daki kuruluşları hedef alan, mali amaçlı bir tehdit grubudur. Grup, kuruluşlara şantaj yapmak için kurbanlardan sızdırılan çalıntı verileri kullanır.
Kullanılan Teknikler:
T1547, T1059, T1070, T1570, T1588, T1021, T1053, T1033, T1078
Kullandıkları Zararlı Yazılımlar
Empire
FIN4
FIN4, en az 2013'ten beri kamu mali piyasasıyla ilgili, özellikle sağlık ve ilaç şirketlerine ilişkin gizli bilgileri hedef alan, mali amaçlı bir tehdit grubudur. FIN4, kurbanlara tipik kalıcı kötü amaçlı yazılımları bulaştırmamaları, bunun yerine e-postaya ve diğer herkese açık olmayan yazışmalara erişim yetkisi verilen kimlik bilgilerini yakalamaya odaklanmışlardır.
Kullanılan Teknikler:
T1071, T1059, T1114, T1564, T1056, T1566, T1090, T1204, T1078
Kullandıkları Zararlı Yazılımlar
*****
FIN5
FIN5, kişisel bilgileri ve ödeme kartı bilgilerini hedef alan, mali amaçlı bir tehdit grubudur. Grup 2008'den beri faaliyet gösteriyor ve restoran, oyun, finans ve otel sektörlerini hedefliyor. Grup, muhtemelen Rusça konuşan aktörlerden oluşuyor.
Kullanılan Teknikler:
T1119, T1110, T1059, T1074, T1133, T1074, T1133, T1070, T1588, T1090, T1018, T1078
Kullandıkları Zararlı Yazılımlar
FLIPSIDE, PsExec, pwdump, RawPOS, Sdelete, WindowsCredentialEditor
FIN6
FIN6, ödeme kartı verilerini çalan ve yeraltı pazarlarında kâr elde etmek için satan bir siber suç grubudur. Bu grup, hizmet ve perakende sektörlerindeki satış noktası (PoS) sistemlerini agresif bir şekilde hedef aldı ve ele geçirmiştir.
Kullanılan Teknikler:
T1134, T1087, T1560, T1119, T1547, T1110, T1059, T1555, T1213, T1005, T1074, T1573, T1048, T1068, T1562, T1070, T1036, T1046, T1095, T1027, T1588, T1003, T1566, T1572, T1021, T1018, T1572, T1021, T1018, T1053, T1553, T1569, T1204, T1078, T1202, T1047
Kullandıkları Zararlı Yazılımlar
AdFind, Cobalt Strike, FlawedAmmy, FrameworkPOS, GrimAgent, LockerGoga, Maze, Mimikatz, More_eggs, PsExec, Ryuk, Windows Credential Editor
FIN7
FIN7, 2013'ten beri faaliyet gösteren ve genellikle satış noktası kötü amaçlı yazılımları kullanan, öncelikle ABD perakende, restoran ve konaklama sektörlerini hedefleyen, mali amaçlı bir tehdit grubudur. FIN7'nin bir kısmı, Combi Security adlı bir paravan şirket tarafından tüketildi. 2020'den bu yana FIN7, operasyonlarını REvil fidye yazılımı ve kendi Hizmet Olarak Fidye Yazılımları (RaaS), Darkside dahil olmak üzere büyük bir oyun avcılığı (BGH) yaklaşımına kaydırdı. FIN7, Carbanak Grubuna bağlı olabilir, ancak Carbanak kötü amaçlı yazılımını kullanan ve bu nedenle ayrı ayrı izlenen birkaç grup olduğu görülüyor.
Kullanılan Teknikler:
T1583, T1071, T1547, T1059, T1543, T1486, T1005, T1587, T1546, T1567, T1210, T1008, T1105, T1559, T1036, T1571, T1027, T1566, T1021, T1091, T1053, T1113, T1558, T1553, T1218, T1204, T1078, T1125, T1497, T1102, T1047
Kullandıkları Zararlı Yazılımlar
AdFind, BOOSTWRITE, Carbanak, Cobalt Strike, CrackMapExec, GRIFFON, HALFBAKED, JSS Loader, Lizar, Mimikatz, Pillowmint, POWERSOURCE, PowerSploit, RDFSNIFFER, Revil, SQLRat, TEXTMATE
FIN8
FIN8, perakende, restoran ve konaklama endüstrilerini hedef alan özel hedefli kimlik avı kampanyaları başlattığı bilinen, finansal olarak motive olmuş bir tehdit grubudur.
Kullanılan Teknikler:
T1134, T1071, T1560, T1560, T1059, T1074, T1482, T1573, T1546, T1048, T1068, T1070, T1105, T1112, T1027, T1003, T1566, T1055, T1021, T1018, T1053, T1518, T1204, T1078, T1102, T1047
Kullandıkları Zararlı Yazılımlar
dsquery, Impacket, Net, Nltest, Punchbuggy, Punchtrack
GCMAN
GCMAN, e-para hizmetlerine para transferi yapmak amacıyla bankaları hedef alan bir tehdit grubudur.
Kullanılan Teknikler:
T1021
Kullandıkları Zararlı Yazılımlar
*****
PROMETHIUM
PROMETHIUM, en az 2012'den beri faaliyet gösteren casusluk odaklı bir faaliyet grubudur. Grup, ağırlıklı olarak Türk hedeflerine ağırlık vererek dünya çapında operasyonlar yürütmüştür. PROMETHIUM, örtüşen kurban ve kampanya özellikleri nedeniyle NEODYMIUM adlı başka bir faaliyet grubuyla benzerlik göstermiştir.
Kullanılan Teknikler:
T1547, T1543, T1587, T1189, T1036, T1553, T1205, T1204, T1078
Kullandıkları Zararlı Yazılımlar
StrongPity, Truvasys
Silence
Silence, farklı ülkelerdeki finans kurumlarını hedef alan finansal amaçlı bir tehdit aktörüdür. Grup ilk olarak Haziran 2016'da görüldü. Ana hedefleri Rusya, Ukrayna, Beyaz Rusya, Azerbaycan, Polonya ve Kazakistan’dır. Rusya Merkez Bankası’nın Otomatik İş İstasyonu İstemcisi, ATM’ler ve kart işleme dahil olmak üzere çeşitli bankacılık sistemlerini hedef alırlar.
Kullanılan Teknikler:
T1547, T1059, T1070, T1105, T1036, T1112, T1106, T1571, T1027, T1588, T1003, T1566, T1055, T1090, T1021, T1018, T1053, T1113, T1072, T1553, T1218, T1569, T1204, T1078, T1125
Kullandıkları Zararlı Yazılımlar
Empire, Sdelete, Winexe
TA551
TA551, 2018'den beri aktif olan, mali amaçlı bir tehdit grubudur. Grup, e-posta tabanlı kötü amaçlı yazılım dağıtım kampanyaları aracılığıyla öncelikle İngilizce, Almanca, İtalyanca ve Japonca konuşulan ülkeleri hedef almıştır.
Kullanılan Teknikler:
T1071, T1059, T1132, T1568, T1589, T1105, T1036, T1027, T1566, T1218, T1204
Kullandıkları Zararlı Yazılımlar
IcedID, QakBot, Ursnif, Valak
WIRTE
WIRTE, Ağustos 2018'den beri aktif olan bir tehdit grubudur. WIRTE, Orta Doğu ve Avrupa’daki hükümet, diplomatik, mali, askeri, hukuk ve teknoloji kuruluşlarını hedef almıştır.
Kullanılan Teknikler:
T1071, T1059, T1140, T1140, T1105, T1036, T1571, T1588, T1566, T1218, T1204
Kullandıkları Zararlı Yazılımlar
Empire, Ferocious, LitePower
Wizard Spider
Wizard Spider, ilk olarak 2016 da TrickBot’u oluşturması ve konuşlandırmasıyla tanınan Rusya merkezli, finansal olarak motive olmuş bir tehdit grubudur. Wizard Spider, çok çeşitli araçlara sahiptir ve büyük şirketlerden hastanelere kadar çeşitli kuruluşlara karşı fidye yazılımı kampanyaları yürütmüştür.
Kullanılan Teknikler:
T1087, T1557, T1071, T1547, T1059, T1543, T1074, T1048, T1041, T1210, T1133, T1222, T1562, T1570, T1036, T1112, T1135, T1027, T1588, T1003, T1566, T1055, T1021, T1018, T1053, T1489, T1518, T1558, T1553, T1082, T1016, T1033, T1569, T1204, T1078, T1047
Kullandıkları Zararlı Yazılımlar
AdFind, Bazar, Bloodhound, CobaltStrike, Conti, Dyre, Emotet, Empire, GrimAgent, Mimikatz, Net, Nltest, Ping, PsExec, Ryuk, Trickbot.
Yukarıdaki verilerden görüldüğü üzere toplamda bilinen 26 tane finans odaklı ATP grubu mevcut ve her bir grup birbirleriyle aynı yöntem ve yazılımları kullansa da çok farklı yöntem ve yazılımları kullanan hatta kendi kötücül yazılımları üreten gruplarda mevcuttur. Bu tarz grupları başarılı kılan en önemli iki karakter, çok iyi strateji yürütebilen bir ana beyin ve çok iyi derecede yazılım bilen bir geliştiricinin olması kilit nokta oynamaktadır. Peki bir siber olayla karşılaşırsak ne gibi aksiyonlar alınmalı, özellikle siber güvenlik departmanın buradaki rolü nedir? Bir sonraki bölümde incelenecek.
Olay Müdahale Yönetimine Dahil Olan Eskalasyon
Bir önceki bölümde bahsi geçen APT grupları şirket ağına sızarlarsa siber güvenlik bünyesi altındaki olay müdahale ekibinin alması gereken adımlar ve incelemeler için bir çerçeve oluşturulmalıdır.
Saldırıyı kimin / neyin gerçekleştirebileceğini, nasıl işlediğini, parçası olduğu kampanyaların neler olduğunu ve ağda başka nerede arama yapılacağını belirlemede yardımcı olur.
Faz 1: Önceden Planlama
Cevap verilmesi gereken sorular:
· Hangi hacker grupları kuruluşları hedef alır ve bunun arkasındaki nedenler nelerdir?
· Hedefledikleri farklı varlıklar hangileridir?
· Saldırganların sahip olduğu çeşitli yetenekler nelerdir?
· Olası saldırı senaryoları nelerdir?
Faz 2: Vaka
· Operasyonel ve taktiksel tehdit istihbaratı, bir kuruluşun Güvenlik Olayı ve Olay Yönetimi, Güvenlik Operasyon Merkezi veya diğer güvenlik araçları gibi güvenlik mekanizmaları tarafından oluşturulan uyarılara bağlam sağlanmasına yardımcı olur.
· Bu bilgiler, güvenlik olayına dönüşebilecek bir olayı belirlemek için kullanılabilir.
Faz 3: Araştırma
· Ağda bir olay meydana geldikten sonra, güvenlik analistleri tarafından teknikler, operasyonlar, aktörün hedefleri ve geçmiş olaylar hakkında daha fazla fikir edinmek için operasyonel tehdit istihbaratı kullanılabilir.
· Operasyonel tehdit istihbaratı, tehdit aktörünün yeteneği, niyeti ve fırsatı ile ilgili bilgileri içeren tehdit üçgenini kullanarak tehdit hakkında bilgi edinmeye yardımcı olur.
Faz 4: Sızma
· Örgüt, bir ihlale dönüştüğünde bir olayı bildirmenin gerekli olduğunu düşünüyor.
· Stratejik ve operasyonel tehdit istihbaratı, aşağıdaki soruların yanıtlarını sağlamada yardımcı olur:
o Ne oldu?
o Sızmanın meydana gelmesinin arkasındaki sebep nasıl ve neydi?
o Gelecekte böyle bir ihlalden kaçınmak için atılması gereken temel adımlar nelerdir?
Sonuç
Her geçen gün artan ve karmaşıklaşan tehditlere karşı koymak için ilk etapta şirket personelinin farkındalık eğitimleri arttırılmalı, buna ek olarak siber güvenlik için harcanan bütçelerin yeterli düzeyde arttırılması, siber güvenlik yatırımını yük değil bir gereklilik olarak görülmesi gerekmektedir. Önemini daha iyi anlatabilmek adına siber güvenlik yatırımları için birkaç istatistiği paylaşacak olursak eğer, Amerikan yönetimi 2022 yılı için yerel eyaletlere toplamda 1 milyar dolar bütçe ayırmış.
Görselde görüleceği üzere, birleşik devletler siber güvenlik girişimlerine verdiği destek 6 milyar dolara yakındır. Ülkelerin hem kendi ekonomisinin faydası adına hem de ülkelerin kendi içerisinde siber güvenlik sektörünün gelişmesine aynı zamanda şirketlerde siber güvenlik firmalarının desteklenerek, sektörel etkileşimleri arttırmak, siber güvenlik alanında olmayan şirketlerin de kendi yıllık bütçelerinde siber güvenlik departmanına bütçelerinin arttırılması önem arz etmektedir. Aksi takdirde, yaşanacak bir siber saldırı sonrası, şirketlerin kaybedeceği maddi miktar, desteklemeyi reddettiği miktardan fazla olmakla beraber yıllar içinde kazanılan saygınlıklarını da yitirmelerine sebep olacaktır. Siber saldırganlar, her geçen gün kendi yöntemlerini ve teknolojilerini geliştirip, kendilerine iş modeli diyebileceğimiz yeni alanlar açıp buralarda gerek gönüllüleri, gerek para motivasyonuyla şirket çalışanların aklını çelerek “recruitment” kişileri işe alıp, “insider threat” yani iç tehdit olarak kullanmaktadır. Başlarda sadece eğlence olan bu alan şuan çok daha zarar verici boyutlara gelmiş ve niyetleri değişmiştir. Hafife almak gibi bir lüks artık ne devletler ne de şirketler için mümkündür. Gün be gün safları sıklaştırıp, yatırımları arttırmak, alanda yetişmiş insan gücüne maddi kaygılarla hareket etmeden kişilerin gerek işe alınmasına gerekse eğitimlerime bütçeler ayrılıp, bu alanda çalışan personelin geliştirilmesi gerekmektedir. Devletlerin bu kişiler için yetiştirme ve destekleme programları oluşturmaları gerekmektedir. Siber güvenlik dünyasında çalışanlar, aynı zamanda bir siber askerdir ve her asker gibi eğitimi ve donanımı önemlidir.
Kaynakça
· “How Much Does a Cyber Security Breach Cost an Institution? | SQN Banking Systems”
Retrieved from: https://sqnbankingsystems.com/blog/what-can-a-cyber-security-breach-cost/#:~:text=The%20Cost%20of%20a%20Cyber,and%20cleaning%20up%20the%20aftermath. Erişim Tarihi: 08.03.2023
· “Systemic Cyber Risks”, Retrieved from: https://www.imf.org/external/pubs/ft/fandd/2021/03/global-cyber-threat-to-financial-systems-maurer.htm, Erişim Tarihi: 08.03.2023
· ENISA THREAT LANDSCAPE 2022, (2022), Retrieved from: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022, Erişim Tarihi: 08.03.2023
· APT Groups (2021), Retrieved from: https://attack.mitre.org/groups/G0099/ Erişim Tarihi: 09.03.2023
· “Biden-Harris Administration Announces $1 Billion in Funding for First-Ever State and Local Cybersecurity Grant Program”, (2022), Retrieved from: https://www.dhs.gov/news/2022/09/16/biden-harris-administration-announces-1-billion-funding-first-ever-state-and-local, Erişim Tarihi: 10.03.2023
