Bu yılın başlarında, LuckyMouse (Emissary Panda, APT27 olarak da bilinir) adında tanınmış bir APT grubu, birkaç Microsoft Exchange Server güvenlik açığından yararlanmaya başladı. Nihai amaçları, Orta Doğu’daki birden çok devlet ağında ve Orta Asya’daki daha geniş kuruluşlarda siber casusluktu. Grup, SysUpdate olarak bilinen yeni güncellenen modüler bir araç setini dağıtmak için Exchange Server erişimini ve Microsoft SharePoint’i kullandı. Araç seti ESET’in yeni raporunda açıkladığı gibi, analizlerden kaçınmak için büyük özen gösterirken kötü niyetli yetenekler sağlamak üzere tasarlanmıştı.
Hükümetlerin karşı karşıya olduğu siber tehdidin boyutu inanılmaz. Aslına bakarsanız siber güvenlik şirketleri, deneyimleri gereği kamu sektörüne tavsiyelerde bulunmak için benzersiz konumdalar. Örneğin ESET, yalnızca siber savunmayı desteklemek için gerekli teknik becerilere sahip olmakla kalmaz, aynı zamanda şirketin kendisi de saldırganların önemli bir hedefi olduğu için, neyin işe yarayıp neyin yaramadığına ilişkin öğrendiklerini ilk elden paylaşabilir.
APT grupları, siber saldırganlar ve daha güçlü bilgi güvenliği için hükümetlerin alması beklenen önlemler ile ilgili detaylı raporu inceleyebilirsiniz: ESET SEKTÖR RAPORU: HÜKÜMETLER
İlklerin Yılı
ESET tarafından EmissarySoldier olarak adlandırılan ve 2020’nin büyük bir bölümünde ve 2021’in başlarına kadar yürütülen LuckyMouse kampanyası, buzdağının sadece görünen yüzüydü. Hükümetler için ve hatta genel olarak tehdit ortamı için benzersiz bir yıl oldu. Tehdit ortamındaki gelişmelerin, tüketiciler, toplumlar ve hükümetlerin idare etmesi ve koruması gereken kritik altyapılar üzerinde büyük bir etkisi oldu. Bu bakımdan pandemi, 2020’yi önceki yıllardan ayırdı. Ancak hükümetler önümüzdeki yıllarda çok daha fazlasının geleceğini unutmamalılar.
Salgın, tüm dünyayı yeni bir dijital dönüşüm dalgasına zorladı. Bulut altyapısı ve uygulamalarından, uzaktan çalışan dizüstü bilgisayarlara ve cihazlara ve çok daha fazlasına yapılan yatırımlar, evde çalışan memurları ve yeni acil durum hizmetlerini desteklemek için kesinlikle gerekliydi. İngilltere’de devlet, Mayıs 2020’nin sonuna kadar 69 yeni dijital hizmet sundu. Türkiye’de e-devlet kullanımı geçen yıla göre iki kat arttı.
Bu arada birçok kuruluş gibi, hükümetler de dijital altyapılarını genişleterek siber saldırıya uğrama olasılıklarını da arttırdılar. Bu da fırsatçı saldırganlar tarafından hedef alınmalarına yol açtı. Dikkatleri dağılmış ev çalışanları, özellikle COVID-19 hakkında bilgi almak isterken kimlik avı tuzaklarıyla bombalandı. Uzaktan çalışma altyapıları, güvenlik açıklarına karşı araştırıldı ve çalınmış, kimlik avı veya kırılmış uzaktan oturum açma kimlik bilgileriyle ele geçirildi. Güvenlik ekipleri, evden çalışmanın kendi operasyonel zorluklarıyla mücadele etti.
Siber suçtan siber casusluğa
Hükümetlerin karşı karşıya olduğu tehditlerin çoğu, artık beraber çalışan organize suç gruplarından geldi. Trickbot (ESET’in dahil olduğu küresel bir operasyonda kapatıldı), Emotet ( kısa süre önce kendisi kapandı) ve kurban kuruluşları hedeflemek için botnet erişimini kullanan Ryuk gibi gelişmiş fidye yazılımı grupları arasındaki yakın iş birliğine tanık olduk. Fakat ne yazık ki hükümetler, siber güvenlik endüstrisi ile çalışmaya pek istekli değiller.
Siber tehditlerin diğer bir kaynağı da devlet destekli saldırganlar. Bu saldırganlar ile geleneksel, mali motivasyonlu siber suçlular arasındaki çizgi giderek bulanıklaşıyor. Bir an için fırsat bulan düşman ülkeler, jeopolitik hedefleri doğrultusunda diğer devletlerin BT ekiplerini kullanmaya çalışıyorlar.
Batılı hükümetler için kötü haber, Gamaredon , Turla , Sandworm (ve ESET tarafından TeleBots olarak izlenen alt grubu) ve XDSpy gibi gruplardan gelen bu tür saldırıların halen devam ediyor olması. Yeraltındaki siber suç örgütlerinden satın alınan kötü amaçlı yazılımların kullanımının yanı sıra, ESET tarafından keşfedilen daha önce belgelenmemiş bir Turla arka kapısı olan Crutch’ın benzerlerini üretmek için de çalışmaya devam ediyorlar.
Tedarik zinciri saldırıları
Son ayların belki de en rahatsız edici gelişmelerinden biri, SolarWinds saldırısının ortaya çıkışı oldu. Solarwinds olayı ESET’in geçen yıl tespit ettiği bir dizi tedarik zinciri saldırısından sadece biri. Diğerleri arasında, saldırıya uğramış güvenlik eklentileri kullanan Lazarus Group, bölgeye özgü sohbet yazılımını hedef alan Stealthy Trident Operasyonu ve bir devlet sertifika kurumunu kullanan Operation SignSight yer alıyor.
Aslında ESET, 2020’nin sadece 4. çeyreğinde, tüm güvenlik üreticilerinin bir yılda ortaya çıkardığı kadar fazla tedarik zinciri kampanyası keşfetti. Hükümetler, süreçleri düzene koymak ve kamu hizmetlerini iyileştirmek için dijital hizmetleri kullanımlarını genişlettikçe tedarik zinciri tehdidi büyüdü. Salgın sonrası dünyaya uygun, güçlü bir siber güvenlik stratejisi geliştirmek için bu dönemde yaşadığımız tecrübelerden faydalanmamız gerekiyor.
Gelecek burada başlıyor
Soru, nereden başlamalı? Saldırganlar için kendisi de bir hedef olan ESET, kendi deneyimlerinden de yola çıkarak temeli doğru atmanın, kuruluşunuzu güvence altına almak için gerçekten önemli olduğunu biliyor. Pandemi dönemi, temel varlıklarınızın neler olduğunu ortaya koymak için biçilmiş kaftan. İster evde çalışan bir dizüstü bilgisayar ister bulut sunucusu olsun, hepsinin korunmasını ve doğru şekilde yapılandırılmasını sağlamalıyız. Tüm ev çalışanları için öncelik; hızlı yama, düzenli yedeklemeler, uç nokta koruması ve erişimde “sıfır güven” politikası olmalı. Sonuçta, siber suçlara karşı olan bu savaşta, dağıtılmış iş gücünüz, en çok saldırıya maruz kalan cepheniz durumunda.
Daha sonra, bilgi güvenliği yönetimi için en iyi uygulamaları oluşturmak üzere ISO 27001 gibi uluslararası standartları izlemek işinizi kolaylaştıracaktır. Bu kadar hızlı hareket eden bir ortamda bu kadar çok güvenlik etkinliğine nasıl öncelik vereceğiniz konusunda endişeli misiniz? Risk yönetimi ve ölçümünü kılavuzunuz olarak kullanın. Siber riski arttırmadan dijital dönüşümü hızlandırmak için yazılım geliştirme yaşam döngünüzde (SDLC) güvenliği başa alın.
Geçtiğimiz yıl pek çok açıdan sorunlarla dolu bir yıldı. Ancak devletin BT ekipleri için eskiye dönüş olamaz. Uzaktan çalışma, bulut ve dijital altyapının daha fazla kullanılması yeni gerçekliğimiz, keza sofistike suç ve devlet destekli saldırılar da öyle. Oyunda bir adım önde olmak için en iyi güvenlik tekniklerini, ürünlerini ve en son araştırmaları kullanarak bu karmaşanın içinden geçmenin bir yolunu bulmanın zamanı geldi.
Devletlerin siber güvenlik politikalarını belirlerken ihale açarak kriter olarak en düşük fiyatı veren ürünü veya hizmeti seçmeleri günümüz tehdit ortamında kabul edilemez. Tüm vatandaşlarının kritik verilerini, çok önemli askeri bilgilerini, geleceğe yönelik planlamalarını, sağlık verilerini ve daha nicesini saklamak ve güvenliğini sağlamakla yükümlü olan ve en büyük yer sağlayıcılardan biri olarak kabul edebileceğimiz devletlerin, siber güvenlik yatırımlarını yaparken sadece “birinin yakını olduğu” için veya en ucuzu olduğu için bir ürün veya hizmet seçmek yerine, küresel olarak kabul görmüş en verimli ürünü, alabilecekleri en iyi teknik desteği ve jeopolitik konumlarına en uygun üreticiyi seçmeleri beklenir.
Kaynak : 