Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), SideWinder APT grubunun Güney Asya’daki nükleer santrallere ve enerji tesislerine daha fazla odaklandığını gösteren iki yönlü bir tehdidi belgeledi. Bu nükleer eksen, grubun geleneksel alanlarının ötesinde coğrafi genişlemesine paralel olarak ilerliyor.
En az 2012’den beri aktif olan SideWinder, geçmişte kamu, askeri ve diplomatik kurumları hedef almıştı. Grup, hedeflerini Güneydoğu Asya’daki denizcilik altyapısı ve lojistik şirketlerini de kapsayacak şekilde genişletirken nükleer sektör hedeflerine de göz dikti. Kaspersky araştırmacıları, spearphishing e-postaları ve sektöre özgü terminolojiyle yüklü kötü amaçlı belgeler kullanan nükleer enerji kurumlarını hedef alan saldırılarda bir artış olduğunu belirtti.
SideWinder’ı 15 ülkede ve üç kıtada takip eden Kaspersky, grup Mısır’a odaklanmadan önce Cibuti’de çok sayıda saldırı gözlemledi ve Mozambik, Avusturya, Bulgaristan, Kamboçya, Endonezya, Filipinler ve Vietnam’da ek operasyonlar başlattı. Afganistan, Cezayir, Ruanda, Suudi Arabistan, Türkiye ve Uganda’daki diplomatik kuruluşların da hedef alınması, SideWinder’ın Güney Asya’nın çok ötesine geçtiğini gösteriyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Vasily Berdnikov, şunları söylüyor:
“Tanık olduğumuz şey sadece coğrafi bir genişleme değil, SideWinder’ın yeteneklerinde ve hedeflerinde stratejik bir evrim gözlemiyoruz. Tespit edildikten sonra güncellenmiş zararlı yazılım varyantlarını olağanüstü bir hızla dağıtabiliyorlar. Bu da tehdit ortamını reaktiften neredeyse gerçek zamanlı mücadeleye dönüştürüyor.”
Eski bir Microsoft Office açığına (CVE-2017-11882) dayanmasına rağmen SideWinder, tespit edilmekten kaçınmak için araç setinde hızlı değişikliklerden yararlanıyor. Nükleer altyapıyı hedef alan grup, düzenleyici veya tesise özgü konularla ilgiliymiş gibi görünen ikna edici kimlik avı e-postaları hazırlıyor. Bu belgeler açıldığında, saldırganlara nükleer tesislerin operasyonel verilerine, araştırma projelerine ve personel ayrıntılarına erişim sağlayabilecek bir zincir başlatıyor.
Kaspersky, güvenlik açığı yönetimi çözümleri, erken aşama saldırı önleme, otomatik yanıtlı gerçek zamanlı tehdit algılama ve SideWinder’ın gelişen kötü amaçlı yazılımlarına uygun olarak sürekli güncellenen algılama kuralları dahil olmak üzere, birden fazla güvenlik katmanı aracılığıyla kurumları bu tür saldırılardan koruyor.
Kaynak : 