Kaspersky GReAT, SideWinder APT’nin nükleer altyapıyı hedef aldığını ortaya çıkardı
Â
Â
Kaspersky araÅŸtırmacıları, kötü bir üne sahip geliÅŸmiÅŸ kalıcı tehdit (APT) grubu SideWinder’ın odak noktasının Güney Asya’daki nükleer enerji tesislerine doÄŸru kaydığını ve hedefli casuslukta önemli bir artış yaÅŸandığını tespit etti. Tehdit aktörü eÅŸ zamanlı olarak Afrika, GüneydoÄŸu Asya ve Avrupa’nın bazı bölgelerinde operasyonlarını geniÅŸletti.
Â
Kaspersky’nin Küresel AraÅŸtırma ve Analiz Ekibi (GReAT), SideWinder APT grubunun Güney Asya’daki nükleer santrallere ve enerji tesislerine daha fazla odaklandığını gösteren iki yönlü bir tehdidi belgeledi. Bu nükleer eksen, grubun geleneksel alanlarının ötesinde coÄŸrafi geniÅŸlemesine paralel olarak ilerliyor.
Â
En az 2012’den beri aktif olan SideWinder, geçmiÅŸte kamu, askeri ve diplomatik kurumları hedef almıştı. Grup, hedeflerini GüneydoÄŸu Asya’daki denizcilik altyapısı ve lojistik ÅŸirketlerini de kapsayacak ÅŸekilde geniÅŸletirken nükleer sektör hedeflerine de göz dikti. Kaspersky araÅŸtırmacıları, spearphishing e-postaları ve sektöre özgü terminolojiyle yüklü kötü amaçlı belgeler kullanan nükleer enerji kurumlarını hedef alan saldırılarda bir artış olduÄŸunu belirtti.
Â
SideWinder’ı 15 ülkede ve üç kıtada takip eden Kaspersky, grup Mısır’a odaklanmadan önce Cibuti’de çok sayıda saldırı gözlemledi ve Mozambik, Avusturya, Bulgaristan, Kamboçya, Endonezya, Filipinler ve Vietnam’da ek operasyonlar baÅŸlattı. Afganistan, Cezayir, Ruanda, Suudi Arabistan, Türkiye ve Uganda’daki diplomatik kuruluÅŸların da hedef alınması, SideWinder’ın Güney Asya’nın çok ötesine geçtiÄŸini gösteriyor.
Â
Kaspersky GReAT BaÅŸ Güvenlik AraÅŸtırmacısı Vasily Berdnikov, ÅŸunları söylüyor: “Tanık olduÄŸumuz ÅŸey sadece coÄŸrafi bir geniÅŸleme deÄŸil, SideWinder’ın yeteneklerinde ve hedeflerinde stratejik bir evrim gözlemiyoruz. Tespit edildikten sonra güncellenmiÅŸ zararlı yazılım varyantlarını olaÄŸanüstü bir hızla dağıtabiliyorlar. Bu da tehdit ortamını reaktiften neredeyse gerçek zamanlı mücadeleye dönüştürüyor.”
Â
Eski bir Microsoft Office açığına (CVE-2017-11882) dayanmasına rağmen SideWinder, tespit edilmekten kaçınmak için araç setinde hızlı değişikliklerden yararlanıyor. Nükleer altyapıyı hedef alan grup, düzenleyici veya tesise özgü konularla ilgiliymiş gibi görünen ikna edici kimlik avı e-postaları hazırlıyor. Bu belgeler açıldığında, saldırganlara nükleer tesislerin operasyonel verilerine, araştırma projelerine ve personel ayrıntılarına erişim sağlayabilecek bir zincir başlatıyor.
Â
Kaspersky, güvenlik açığı yönetimi çözümleri, erken aÅŸama saldırı önleme, otomatik yanıtlı gerçek zamanlı tehdit algılama ve SideWinder’ın geliÅŸen kötü amaçlı yazılımlarına uygun olarak sürekli güncellenen algılama kuralları dahil olmak üzere, birden fazla güvenlik katmanı aracılığıyla kurumları bu tür saldırılardan koruyor.
Â
SideWinder’ın son operasyonlarının tam teknik analizi Securelist.com adresinde bulabilirsiniz.
Â
Kaspersky güvenlik uzmanları, kurumların kritik altyapılarını sofistike hedefli saldırılara karşı korumalarına yardımcı olmak için aşağıdakileri öneriyor:
Â
- Kapsamlı yama yönetimi uygulayın. Kaspersky Güvenlik Açığı Değerlendirmesi ve Yama Yönetimi, altyapınızdaki güvenlik açıklarını ortadan kaldırmak için otomatik güvenlik açığı tespiti ve yama dağıtımı sağlar.
- Gerçek zamanlı tehdit algılama özelliklerine sahip çok katmanlı güvenlik çözümlerini yaygınlaştırın. Kaspersky Next XDR Expert, etkili tehdit tespiti ve karmaşık saldırılara otomatik yanıt için makine öğrenimi teknolojilerini kullanarak birden fazla kaynaktan gelen verileri toplar ve ilişkilendirir.
- Çalışanlar için düzenli olarak siber güvenlik farkındalık eğitimleri düzenleyin ve özellikle sofistike oltalama girişimlerini tanımaya odaklanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
