Toplu Casus Yazılım Kampanyasına Dikkat

Endüstriyel kuruluşlar hem finansal kar hem de istihbarat toplama açısından siber hatalılar için en cazip gayelerin başında geliyor. 2021 yılı Lazarus ve APT41 gibi tanınmış APT kümelerinin endüstriyel kuruluşlara saldırdığına sahne oldu. Kaspersky uzmanları öteki bir hücum dizisini araştırırken, kümenin savunma sanayisine karşı ThreatNeedle kampanyasında kullandığı özel makûs emelli yazılım olan ve Lazarus’un “Manuscrypt” ile kimi benzerliklere sahip yeni bir makûs gayeli yazılım kesimini ortaya çıkardı. Bu nedenle yazılım PseudoManuscrypt olarak isimlendirildi.

20 Ocak- 10 Kasım 2021 tarihleri ortasında Kaspersky eserleri, 195 ülkede 35 binden fazla bilgisayarda PseudoManuscrypt’i engelledi. Maksatların birden fazla, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Akına uğrayan bilgisayarların %7,2’si endüstriyel denetim sistemlerinin (ICS) bir kesimiydi. Mühendislik ve bina otomasyonu en çok etkilenen kısımları temsil ediyordu.

PseudoManuscrypt, başlangıçta kimileri ICS’ye özel geçersiz korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu geçersiz yükleyicilerin Hizmet Olarak Makûs Maksatlı Yazılım (MaaS) platformu aracılığıyla sunulması mümkün. Değişik bir formda kimi durumlarda PseudoManuscrypt, makûs bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. Birinci bulaşmadan sonra ana makus gayeli modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Kaspersky uzmanları bu modülün iki çeşidini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan bilgi kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama bilgilerini ve irtibat bilgilerini çalma, ekran imajlarını kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.

Ataklar muhakkak sanayilere dair bir tercih göstermiyor. Lakin akına uğrayan çok sayıda mühendislik bilgisayarı, 3D ve fizikî modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir gaye olabileceğini gösteriyor.

Garip bir biçimde kurbanlardan kimileri, ICS CERT’nin daha evvel bildirdiği Lazarus kampanyasının kurbanlarıyla bağlantılı görünüyor. Datalar, daha evvel sadece APT41’in makus maksatlı yazılımıyla kullanılan bir kitaplık yardımıyla az bir protokol üzerinden saldırganların sunucusuna gönderiliyor. Bununla birlikte çok sayıda kurbanı ve odak eksikliğini göz önüne alarak, Kaspersky kampanyayı Lazarus yahut bilinen rastgele bir APT tehdit aktörüyle ilişkilendirmiyor.

Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Bu hayli sıra dışı bir kampanya ve elimizdeki çeşitli bilgileri hala bir ortaya getiriyoruz. Lakin açık bir gerçek var: Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz.”

ICS CERT’de PseudoManuscrypt kampanyası hakkında daha fazla bilgi edinebilirsiniz.

Kaspersky uzmanları, PseudoManuscrypt’ten korunmak için kuruluşlara şunları tavsiye ediyor:

• Tüm sunuculara ve iş istasyonlarına uç nokta muhafaza yazılımı yükleyin
• Tüm uç nokta müdafaa bileşenlerinin sistemlerde etkinleştirildiğini ve birinin yazılımı devre dışı bırakmaya çalışması durumunda yönetici parolasının girilmesini gerektiren unsurların yürürlükte olduğunu denetim edin.
• Active Directory unsurlarının, kullanıcıların sistemlerde oturum açma teşebbüslerine ait kısıtlamalar içerdiğini denetim edin. Kullanıcıların sadece işlerine dair sorumlulukları yerine getirmek için erişmeleri gereken sistemlere giriş yapmalarına müsaade verilmelidir.
• OT ağındaki sistemler ortasında VPN dahil ağ kontaklarını kısıtlayın. Operasyonların sürekliliği ve güvenliği için gerekli olmayan tüm irtibat noktalarındaki kontakları bloke edin.
• Bir VPN kontağı kurarken ikinci kimlik doğrulama faktörü olarak akıllı kartlar (belirteçler) yahut tek seferlik kodlar kullanın. Bunun uygulanabilir olduğu durumlarda, bir VPN ilişkisinin başlatılabileceği IP adresleri listesini kısıtlamak için Erişim Denetim Listesi (ACL) teknolojisini kullanabilirsiniz.
• Kuruluş çalışanlarını internet, e-posta ve öbür irtibat kanallarıyla inançlı bir biçimde çalışma konusunda eğitin. Bilhassa doğrulanmamış kaynaklardan belge indirmenin ve yürütmenin mümkün sonuçlarını açıklayın.
• Lokal yönetici ve tesir alanı yöneticisi ayrıcalıklarına sahip hesapları sırf iş sorumluluklarını yerine getirmek için gerekli olduğunda kullanın.
• Yüksek seviyede bilgi ve güvenlik uzmanlarının uzmanlığına süratle erişebilmek için Yönetilen Tehdit Algılama ve Cevap hizmetlerini kullanmayı düşünün.
• Atölyeleriniz için özel müdafaa kullanın. Kaspersky Industrial CyberSecurity, endüstriyel uç noktaları korur ve makûs niyetli aktiflikleri belirlemek ve engellemek için OT ağını izlemesini sağlar.