top of page

APT grupları nasıl düşünür ve Motive Kaynakları Nelerdir?

  • Writer: İbrahim Mert COŞKUN
    İbrahim Mert COŞKUN
  • Jan 31
  • 5 min read

ree

Son zamanlarda oldukça fazla APT gruplarının saldırı haberlerini duymaya başladık. Özellikle Rusya - Ukrayna krizinde bunu çok daha net gördük. Bununla birlikte özel şirketlerin saldırı vektörleri ve APT gruplarının teknik rapor ve analizleri hakkında yayınlamış oldukları raporlarda bu konuda bizlere detaylı bilgiler verdi. APT gruplarını etkileyen faktör(ler) neler? Onları bu saldırıları yapmaya motive eden durumlar neler ve bunların sonucunda neler olmasını planlıyorlar?


Gerek APT gruplarında gerek ise de Pentest/Red Team operasyonlarında hedefe direk saldırmak gibi bir yol izlenilmez. Özellikle Red Team operasyonlarında hedef sistemi uyandırmadan ilerlemek ve operasyonu devam ettirmek en önemli meseledir. Zaten pentesti Red Team hizmetinden ayıran en büyük özellikte budur. Pentest hizmetlerinde; genelde test yapılan kurumun IT birimi, personelleri, çalışanlar yapılan testi biliyordur. Ve bundan dolayı kurumun network'ünde gürültü de yapsanız çok sorun değildir. Çünkü karşı taraf bunu bilir ve ona göre aksiyon alır. Ancak Red Team operasyonları daha farklı bir metodolojide ilerler. Genelde anlaşma; kurumlar arası üst yetkililerce bilinir ve gerek kurum çalışanlarına gerekse IT personeline herhangi bir test/operasyon bilgisinden bahsedilmez. Bunun sebebi; kurumun olası saldırılara karşı ne kadar hazırlıklı olduğunun ölçülmesi ve farkına varılmasıdır. Log kayıtları dikkate alınıyor mu, iz bırakmadan veya çok fazla gürültü yapmadan karşı sisteme erişilebiliyor mu, herhangi bir ürün/hizmete ve çalışan personellere yakalanmadan nerelere kadar gidilebilir vs. gibi sorulara yanıt aramaktadır.


Joe Vest ve James Tubberville tarafından yapılan bu açıklama Red Team hizmetine güzel bir açıklama getirmektedir:


Red Teaming, bir ortamı savunmak için kullanılan insanların, süreçlerin ve teknolojilerin etkinliğini ölçmek amacıyla gerçek dünyadaki bir tehdidi taklit etmek için taktikler, teknikler ve prosedürler (Tactics, Techniques, and Procedures - TTP'ler) kullanma sürecidir.

APT gruplarının da buna benzer bir süreç izlediğini söyleyebiliriz. Bundan dolayı hedef sistemleri atlatmak, bilgi toplamak, sisteme erişmek ve Privilege Escalation yöntemlerine başlamak, EDR/SIEM/MDR gibi sistemleri atlamak ve bunun gibi diğer işlemlerin hepsi operasyonun bir parçasıdır. Bundan dolayı APT gruplarının saldırı aşamalarını aslında bir Red Team Operasyonu olarak tanımlasak yanlış olmaz. Ancak adından da anlaşılabileceği üzere bir "Operasyon"dan bahsediyoruz. Burada da devreye "Opsec" dediğimiz kavram ortaya çıkıyor. Operasyon Güvenliği (OPSEC), ilk olarak ABD ordusu tarafından geliştirilen ve bilgi güvenliği topluluğu tarafından benimsenen bir terimdir. Genellikle eylemlerin "düşman" istihbaratı tarafından gözlemlenebildiği "kolaylığı" tanımlamak için kullanılır.


Operasyon güvenliği; yapılan herhangi bir operasyonun güvenliği/gizliliği üzerine tanımlanmış bir kavramdır. OPSEC hataları; yazılan kodda oluşan hatalar, operasyonun gerektiği kadar gizli kalmaması, operatörlerin ufak bir dikkatsizliği diye liste uzar gider. Sadece teknik olarak değil bireyler ve/veya gruplarda da OPSEC hatalarına örnek gösterilebilir. Bundan dolayı yapılan her eylem göstergeler bırakacaktır, ancak bu göstergelerin ne kadar iyi anlaşıldığına ve savunucuların bunları görme ve/veya bunlara yanıt verme olasılığının ne olduğuna dair iyi bir fikre sahip olmak önemlidir (Keep your mouth shut)

OPSEC konusu çok daha derin ve üzerinde konuşulan/yazılan bir alan. Kaynak açısından şu videoyu izleyebilirsiniz;


Red Team operatörlerinin bakış açısına göre bu, eylemlerimizin mavi bir takım tarafından ne kadar kolay gözlemlenebileceğinin ve ardından kesintiye uğratılabileceğinin bir ölçüsü olacaktır. Her ne kadar "kolaylık" muhtemelen onu tanımlamak için iyi bir kelime olmasa da, bu defans oyuncularının bilgi ve becerilerine bağlıdır. Bununla birlikte, genel tehdit ortamı, kamu bilgisi ve hatta müşteriyle istişare göz önüne alındığında, yeteneklerine ilişkin bazı tahminlerde bulunabilirsiniz.



Bu bağlamda genel olarak "Cyber Kill Chain" kavramı kullanılır. Cyber Kill Chain Nedir?

Siber saldırıları analiz edebilmek amacıyla çeşitli modellerden birisi olan ve Locheed Martin firması tarafından geliştirilen "Cyber Kill Chain" keşif aşamasından saldırı aşamasına kadar tanımlayan ve bu saldırıyı gerçekleştirmek veya önlemek amacıyla oluşturulan 7 aşamalı bir modeldir. (Cyber Kill Chain)



ree

Cyber Kill Chain ile birlikte Mandiant tarafından geliştirilen “Targeted Attack Lifecycle” konusuda işin içersine girmekte. Ancak bu iki başlık farklı bir yazı konusu olduğu için şimdilik bu yazıda değinmeyeceğiz.

Peki olay örgüsü nasıl gidiyor ve motive kaynakları neler?


APT Gruplarının Motivasyon Kaynakları: Derinlemesine İnceleme

Advanced Persistent Threat (APT) grupları, genellikle iyi finanse edilen, organize ve sofistike siber tehdit aktörleridir. Bu gruplar, uzun vadeli hedefleri gerçekleştirmek için karmaşık ve sürekli saldırılar gerçekleştirir. Motivasyon kaynakları, grupların yapısına, bağlı oldukları ideolojiye ve sponsorlarına göre değişiklik gösterir;


1. Ulusal Güvenlik ve Casusluk

Devlet destekli APT grupları, ulusal güvenliği artırmak, stratejik avantaj sağlamak veya diğer devletlerin askeri, ekonomik ve politik sırlarını ele geçirmek için faaliyet gösterir. Bu grupların ana motivasyonları şunlardır:

  • Askeri Bilgi Toplama: Rakip ülkelerin savunma sistemleri, silah teknolojileri ve operasyon planlarına erişim.

  • Diplomatik Avantaj: Uluslararası müzakerelerde bilgi üstünlüğü sağlamak için rakip ülkelerin politikalarını öğrenmek.

  • Siyasi İstikrarı Etkileme: Yabancı hükümetlere zarar vermek veya iç politikalarını istikrarsızlaştırmak amacıyla manipülasyon.

Örnek: Çin merkezli APT41, devlet destekli ekonomik ve politik casusluk operasyonlarında aktif rol oynamaktadır.


2. Ekonomik Çıkar ve Fikri Mülkiyet Hırsızlığı

Birçok APT grubu, ekonomik kazanç sağlamak için endüstriyel casusluk yapar. Bu tür gruplar, genellikle şirketlerin Ar-Ge (Araştırma ve Geliştirme) verilerini, ticari sırlarını ve stratejik planlarını hedef alır.

  • Teknolojik İnovasyon Hırsızlığı: Rakip firmaların teknolojilerini kopyalayarak maliyet avantajı sağlamak.

  • Kritik Altyapıları Hedef Alma: Enerji, ulaşım veya sağlık gibi kritik sektörlere zarar vererek ekonomik baskı yaratma.

  • Pazar Avantajı Sağlama: Yabancı firmaların zayıflatılmasıyla yerel şirketlere rekabet üstünlüğü kazandırma.

Örnek: APT10, özellikle havacılık, uzay ve enerji sektörlerini hedef alarak fikri mülkiyet hırsızlığı yapmıştır.


3. İdeolojik ve Politik Amaçlar

Bazı APT grupları, ideolojik ya da politik motivasyonlarla hareket eder. Bu tür gruplar, genellikle bir mesaj vermek veya bir amaca dikkat çekmek için siber saldırılar düzenler.

  • Siyasi Aktivizm: Hükümet politikalarını protesto etmek veya halk arasında farkındalık yaratmak.

  • Propaganda ve Dezenformasyon: Kamuoyunu manipüle etmek, yanlış bilgi yaymak ve siyasi kutuplaşmayı artırmak.

  • Düşman Algısını Şekillendirme: Rakip bir ülkeyi veya organizasyonu kötü göstermek.

Örnek: APT33, İran merkezli bir grup olarak, Orta Doğu’daki siyasi hedefleri desteklemek için operasyonlar yürütmüştür.


4. Finansal Kazanç

Bazı APT grupları, doğrudan finansal kazanç sağlamak amacıyla hareket eder. Bu tür gruplar genellikle fidye yazılımları, banka dolandırıcılığı ve kripto para hırsızlıklarına odaklanır.

  • Fidye Yazılımı Saldırıları: Kurban sistemleri şifreleyerek fidye talep etme.

  • Banka ve Ödeme Sistemlerini Hedef Alma: Finansal kuruluşların sistemlerine sızarak doğrudan para transferi yapma.

  • Kripto Para Madenciliği: Kurban sistemlerini yasa dışı madencilik için kullanma.

Örnek: Lazarus Group, Kuzey Kore destekli bir grup olarak, kripto para borsalarını hedef alarak milyarlarca dolarlık zarar yaratmıştır.


5. Stratejik Hedefler ve Asimetrik Savaş

APT grupları, genellikle savaş alanında stratejik bir avantaj elde etmek için siber saldırılar düzenler. Bu, doğrudan fiziksel sonuçlar yaratmayı hedefleyebilir:

  • Kritik Altyapılara Yönelik Saldırılar: Enerji santralleri, su kaynakları veya ulaşım sistemlerini hedef almak.

  • Bilgi Operasyonları: Rakiplerin algısını değiştirmek ve psikolojik savaş unsurları yaratmak.

  • Askeri Sistemlere Müdahale: Silah sistemlerini ve haberleşme ağlarını bozmak.

Örnek: Rusya destekli Sandworm, Ukrayna’nın enerji altyapısına yönelik saldırılar düzenlemiştir.


6. Kişisel Tatmin ve Şöhret

Bazı durumlarda, bağımsız olarak hareket eden APT grupları veya bireyler, teknik yeteneklerini göstermek veya siber dünyada şöhret kazanmak için saldırılar düzenler. Bu tür motivasyonlar daha az yaygındır ancak etkili olabilir.

  • Siber Alan Üstünlüğü: Karmaşık saldırılar düzenleyerek yetkinliklerini sergilemek.

  • Hacktivizm: Bireysel veya küçük gruplar, politik veya etik nedenlerle saldırılar yapabilir.


Sonuç

APT gruplarının motivasyon kaynakları geniş bir yelpazede yer alır ve faaliyetleri doğrudan bu motivasyonlara bağlıdır. Ulusal güvenlik, ekonomik kazanç, ideolojik hedefler veya finansal çıkarlar gibi farklı motivasyonlar, her bir grubun hedeflerini ve saldırı yöntemlerini şekillendirir.


Kaynakça:


 
 
 

Comments

Dünya üzerinde haksızlığa uğrayan, yardım bekleyen, Hak arayan onca mazlumun yanında bu sitenin haklarının pekte bir önemi yoktur. Tüm yazıları kullanabilirsiniz.

bottom of page