Toplu Casus Yazılım Kampanyasına Dikkat

Endüstriyel kuruluşlar hem finansal yarar hem de istihbarat toplama açısından siber hatalılar için en cazip maksatların başında geliyor. 2021 yılı Lazarus ve APT41 gibi tanınmış APT kümelerinin endüstriyel kuruluşlara saldırdığına sahne oldu. Kaspersky uzmanları öteki bir atak dizisini araştırırken, kümenin savunma sanayisine karşı ThreatNeedle kampanyasında kullandığı özel berbat emelli yazılım olan ve Lazarus’un “Manuscrypt” ile kimi benzerliklere sahip yeni bir makus emelli yazılım modülünü ortaya çıkardı. Bu nedenle yazılım PseudoManuscrypt olarak isimlendirildi.

20 Ocak- 10 Kasım 2021 tarihleri arasında Kaspersky eserleri, 195 ülkede 35 binden fazla bilgisayarda PseudoManuscrypt’i engelledi. Gayelerin birçok, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Akına uğrayan bilgisayarların %7,2’si endüstriyel denetim sistemlerinin (ICS) bir kesimiydi. Mühendislik ve bina otomasyonu en çok etkilenen kısımları temsil ediyordu.

PseudoManuscrypt, başlangıçta kimileri ICS’ye özel geçersiz korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu uydurma yükleyicilerin Hizmet Olarak Berbat Gayeli Yazılım (MaaS) platformu aracılığıyla sunulması beklenen. Değişik bir şekilde birtakım durumlarda PseudoManuscrypt, makus bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. İlk bulaşmadan sonra ana makûs maksatlı modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Kaspersky uzmanları bu modülün iki çeşidini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan data kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama bilgilerini ve temas bilgilerini çalma, ekran imgelerini kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.

Taarruzlar belli sanayilere dair bir tercih göstermiyor. Fakat hücuma uğrayan çok sayıda mühendislik bilgisayarı, 3D ve fizikî modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir gaye olabileceğini gösteriyor.

Garip bir şekilde kurbanlardan kimileri, ICS CERT’nin daha önce bildirdiği Lazarus kampanyasının kurbanlarıyla bağlantılı görünüyor. Bilgiler, daha önce sadece APT41’in makûs emelli yazılımıyla kullanılan bir kitaplık yardımıyla az bir protokol üzerinden saldırganların sunucusuna gönderiliyor. Bununla birlikte çok sayıda kurbanı ve odak eksikliğini göz önüne alarak, Kaspersky kampanyayı Lazarus yahut bilinen rastgele bir APT tehdit aktörüyle ilişkilendirmiyor.

Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Bu epey sıra dışı bir kampanya ve elimizdeki çeşitli bilgileri hala bir araya getiriyoruz. Lakin açık bir gerçek var: Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz.”

ICS CERT’de PseudoManuscrypt kampanyası hakkında daha fazla bilgi edinebilirsiniz.

Kaspersky uzmanları, PseudoManuscrypt’ten korunmak için kuruluşlara şunları tavsiye ediyor:

• Tüm sunuculara ve iş istasyonlarına uç nokta müdafaa yazılımı yükleyin
• Tüm uç nokta muhafaza bileşenlerinin sistemlerde etkinleştirildiğini ve birinin yazılımı devre dışı bırakmaya çalışması durumunda yönetici parolasının girilmesini gerektiren prensiplerin yürürlükte olduğunu denetim edin.
• Active Directory unsurlarının, kullanıcıların sistemlerde oturum açma teşebbüslerine ilişkin kısıtlamalar içerdiğini denetim edin. Kullanıcıların sırf işlerine dair sorumlulukları yerine getirmek için erişmeleri gereken sistemlere giriş yapmalarına izin verilmelidir.
• OT ağındaki sistemler arasında VPN dahil ağ ilişkilerini kısıtlayın. Operasyonların sürekliliği ve güvenliği için gerekli olmayan tüm irtibat noktalarındaki irtibatları bloke edin.
• Bir VPN teması kurarken ikinci kimlik doğrulama faktörü olarak akıllı kartlar (belirteçler) yahut tek seferlik kodlar kullanın. Bunun uygulanabilir olduğu durumlarda, bir VPN kontağının başlatılabileceği IP adresleri listesini kısıtlamak için Erişim Denetim Listesi (ACL) teknolojisini kullanabilirsiniz.
• Kuruluş çalışanlarını internet, e-posta ve başka irtibat kanallarıyla inançlı bir şekilde çalışma konusunda eğitin. Bilhassa doğrulanmamış kaynaklardan evrak indirmenin ve yürütmenin muhtemel sonuçlarını açıklayın.
• Yerel yönetici ve tesir alanı yöneticisi ayrıcalıklarına sahip hesapları sırf iş sorumluluklarını yerine getirmek için gerekli olduğunda kullanın.
• Yüksek seviyede bilgi ve güvenlik uzmanlarının uzmanlığına süratle erişebilmek için Yönetilen Tehdit Algılama ve Cevap hizmetlerini kullanmayı düşünün.
• Atölyeleriniz için özel muhafaza kullanın. Kaspersky Industrial CyberSecurity, endüstriyel uç noktaları korur ve makus niyetli aktiflikleri belirlemek ve engellemek için OT ağını izlemesini sağlar.