DOJ ve Five Eyes Nations, Rus Siber Casusluk Ağını ortadan kaldırmak için birleşti

ABD Adalet Bakanlığı, dünyanın en gelişmiş siber casusluk gruplarından biri olarak adlandırılan Rusya ile bağlantılı bir suç çetesi olan Turla'nın siber suç ağını çökerttikten sonra siber savaş başlığında bir tüy daha aldı.

DOJ ve Five Eyes Nations, Rus Siber Casusluk Ağını ortadan kaldırmak için birleşti
ABD Adalet Bakanlığı, dünyanın en gelişmiş siber casusluk gruplarından biri olarak adlandırılan Rusya ile bağlantılı bir suç çetesi olan Turla'nın siber suç ağını çökerttikten sonra siber savaş başlığında bir tüy daha aldı.

Salı günü federal yetkililer, Five Eyes üyesi ülkelerin tümünün siber güvenlik ve istihbarat teşkilatlarının Rusya Federal Güvenlik Servisi (FSB) tarafından işletilen Snake siber casusluk kötü amaçlı yazılımı tarafından kullanılan altyapıyı kaldırdığını duyurdu.

DOJ ayrıca grubun kullandığı Snake kötü amaçlı yazılımını etkisiz hale getirdiğini bildirdi. Raporlar, 50 ülkedeki bilgisayarlarda bulunduğunu ve daha önce ABD istihbaratı tarafından "Rus istihbarat servisleri tarafından kullanılan en gelişmiş kötü amaçlı yazılım setlerinden biri" olarak etiketlendiğini iddia ediyor.

Kötü niyetli siber aktörler, bir NATO ülkesindeki bir kurban aracılığıyla hassas uluslararası ilişkiler belgelerine ve diğer diplomatik iletişimlere erişmek ve bunları sızdırmak için Snake'i kullandı. ABD'de FSB, eğitim kurumları, küçük işletmeler ve medya kuruluşları dahil olmak üzere endüstrileri mağdur etti.

Yaşlanan Yılan Kötü Amaçlı Yazılımının Vurduğu Kritik Altyapı

Cybersecurity & Infrastructure Security Agency (CISA) raporlarına göre, yerel yönetim, finans, üretim ve telekomünikasyon gibi kritik altyapı sektörleri de etkilendi. CISA, ülkenin kritik altyapısını fiziksel ve siber tehditlerden korumaktan sorumlu lider kuruluştur.

Yayından kaldırma duyurusu, eskiyen yapısı nedeniyle bazı siber güvenlik uzmanlarını şaşırttı. FSB, yayından kaldırılana kadar hala Snake kullanıyordu. NCC Group'un bir parçası olan Fox-IT'de Tehdit İstihbaratı ve Güvenlik Araştırması yöneticisi Frank van Oeveren'e göre, Snake arka kapısı 2003 yılında geliştirilen ve birçok güvenlik satıcısı tarafından FSB'ye birçok kez bağlanan eski bir çerçevedir.

“Normalde, ulus-devlet aktörlerinin çerçeveyi yakıp yeni bir şey geliştirmeye başlamasını beklersiniz. Ancak Snake'in kendisi sofistike ve iyi bir şekilde bir araya getirilmiş, bu da çerçeveyi geliştirmek için ne kadar zaman ve para harcandığını gösteriyor" dedi.

Yüksek Profilli Kazanma

Adalet Bakanlığı Ulusal Güvenlik Bölümü'nden Başsavcı Yardımcısı Matthew G. Olsen, "FSB, ABD ve müttefiklerimize karşı siber casusluk yapmak için 20 yıldır Snake kötü amaçlı yazılımına güvendi - bu bugün sona eriyor" dedi.

Açıkçası, Snake arka kapısının operatörleri bazı hatalar yaptı. Van Oeveren, siber dedektiflerin alt etmede genellikle bu şekilde başarılı olduğunu belirtti.

"Yıllar boyunca, Rus İstihbarat Servisi'nin arka kapıları/bot ağları üzerinde belirli bir amatörlük derecesi gösteren çok sayıda yayından kaldırma işlemi gerçekleştirildi. Ama Turla yeteneklerini ve yaratıcılığını [boyunca] gösterdi ve bu hafife alınmamalı” dedi.

NCC Group'un Fox-IT ekibine göre, Snake arka kapısı yalnızca hükümetler, kamu sektörü veya bu ikisiyle yakın çalışan kuruluşlar gibi yüksek profilli hedefler için kullanılıyor.

"Bu arka kapı tamamen casusluk ve mümkün olduğu kadar uzun süre radarın altında kalmak için kullanılıyor" dedi.

Düz Görüşte Saklanmak

Birkaç yıl önce, van Oeveren'in güvenlik ekibi, Snake kötü amaçlı yazılımının gözlemlendiği bir olay müdahale vakası üzerinde çalıştı. Van Oeveren, bu dava sırasında Turla'nın birkaç yıl fark edilmeden kaldığını ve yalnızca şans eseri bulunduğunu açıkladı. Arka kapı, kurbanın örgütüyle ilgili hassas belgeleri dışarı sızdırmak için kullanıldı.

"Turla büyük olasılıkla farklı bir çerçeve ile devam edecek, ancak grubun ne yapacağı her zaman sürpriz oldu" dedi.

Van Oeveren, son zamanlarda Rus İstihbarat Servisi'nin farklı programlama dillerinde çok sayıda arka kapı oluşturduğunu belirtti. Bu, operasyonları için yeni araçlar geliştirme iradesini gösteriyor ve artık farklı bir programlama dilinde benzer bir araç seti geliştireceklerini umuyor.

"Yılan arka kapısını kullanan grubu hafife alma. Daha önce gördüğümüz gibi, kalıcıdır ve genellikle bir hedef ağda keşfedilmeden önce yıllarca fark edilmez" diye uyardı.

Yılan kurbanları, her zaman ünlü olay müdahale firmalarıyla Yılan/Turla uzlaşmalarını ele almalıdır. Bu saldırıların ve arka kapı kullanımının kendi başınıza üstesinden gelemeyecek kadar karmaşık olduğu konusunda uyardı.

Daha Güvenli Kalmak

Tanium uç nokta güvenlik araştırma uzmanı James Lively, kuruluşların kendilerini Snake Malware gibi kötü amaçlı yazılım saldırılarına karşı korumak için birkaç adım atabileceğini söyledi. Bu çabalar, kuruluşun doğru bir varlık envanterine sahip olmasını, sistemlerin yamanmasını ve güncellenmesini, kimlik avı kampanyalarının ve eğitimlerin gerçekleştirilmesini ve güçlü erişim kontrollerinin uygulanmasını içerir.

TechNewsWorld'e verdiği demeçte, "Bilgi paylaşımını teşvik ederek ve anlaşmalar ve NDA'lar imzalayarak ve ortak soruşturmalar gerçekleştirerek siber suçla mücadele etmek için uluslararası işbirliği de geliştirilebilir" dedi.

Günümüzde kuruluşların karşı karşıya olduğu en büyük siber güvenlik tehdidi, içeriden gelen tehdittir. Kuruluşlar, hoşnutsuz bir çalışanın veya yüksek erişime sahip birinin yıkıcı hasara yol açmasını önlemek için çok az şey yapabilir.

Lively, "Bu tehdide karşı mücadele etmek için kuruluşlar, kaynaklara erişimi sınırlandırmalı ve kullanıcılara görevlerini yerine getirmeleri için gereken minimum sayıda izni atamalı" dedi.

Snake kötü amaçlı yazılım ağının kesintiye uğramasından çıkarılacak en önemli ders, tüm organizasyonu tehlikeye atmak için yalnızca yama uygulanmamış bir sistem veya eğitimsiz bir kullanıcının bir kimlik avı bağlantısını tıklaması gerektiğidir, diye açıkladı. Alçakta sallanan meyve veya en az dirençle rotayı seçmek genellikle bir saldırganın hedeflediği ilk yoldur.

Örnek olarak, "Bunun en iyi örneği, halkın internete açık olduğu ve kuruluş tarafından unutulmuş eski yamasız bir sistemdir" dedi.

Uluslararası İşbirliği Gerekli

Devlet düzeyinde bir güvenlik teşkilatı tarafından yürütülen geniş bir ağı çökertmek, hiç şüphesiz büyük bir girişimdir. Ancak bununla birlikte, kurumsal siber risk düzeltme firması Vulcan Cyber'de kıdemli teknik mühendis olan Mike Parkin, Snake kötü amaçlı yazılımının bu kadar uzun süre çalışabilmesinin hala şaşırtıcı olduğunu gözlemledi.

Tehdit aktörleri, kötü amaçlı yazılım yüklerini indirmek için birçok farklı saldırı vektörü kullanabilir, bu nedenle asla tek bir şey yoktur. Bununla birlikte, bir kuruluşun kullanıcıları kuruluşun en geniş ve en karmaşık tehdit yüzeyi olduğundan, kullanıcı eğitimi hayati önem taşır.

Parkin'e göre kuruluşların ayrıca işletim sistemlerini ve uygulamalarını tutarlı ve etkili bir yama programıyla güncel tutmaları gerekiyor ve uygulamaların güvenli yapılandırmalarla sektördeki en iyi uygulamalara göre dağıtıldığından emin olmak da bir zorunluluk.

“Uluslararası politika ve jeopolitik meselelerle uğraşırken, sınırların ötesinde etkili bir şekilde işbirliği yapmak gerçek bir zorluk olabilir. Çoğu Batı ülkesi birlikte çalışabilir, ancak yargı alanındaki zorluklar çoğu zaman önlerine çıkar. Ve en iyi ihtimalle işbirliği yapmayan ve en kötü ihtimalle aktif olarak düşmanca davranabilen ülkelerden işbirliği almak, bazı tehdit aktörleriyle başa çıkmayı imkansız hale getirebilir” dedi.