Kaspersky ICS CERT, birçok Doğu Avrupa ülkesinde ve Afganistan’da askeri-endüstriyel kompleks işletmelere ve kamu kurumlarına yönelik hedefli bir saldırı dalgası tespit etti.
Siber suçlular, endüstriyel casusluk amacıyla kurbanların tüm BT altyapısının kontrolünü ele geçirmeyi başardılar.
Ocak 2022’de Kaspersky araştırmacıları, askeri kuruluşlara ve kamu kuruluşlarına yönelik birkaç gelişmiş saldırıya tanık oldu. Saldırıların temel amacı, şirketlerin özel bilgilerine erişmek ve BT sistemlerini kontrol altına almaktı. Saldırganlar tarafından kullanılan kötü amaçlı yazılım, Çince konuşan bir APT grubu olan TA428 APT tarafından dağıtılana benziyordu.
Saldırganlar, bazıları e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, özenle hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak saldırılara hazırlandıklarını ve hedeflerini önceden seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın herhangi bir etkinlik olmadan rastgele kod yürütmesine olanak tanıyan bir güvenlik açığından yararlanmak için kötü amaçlı kod içeren bir Microsoft Word belgesi içeriyordu. Söz konusu güvenlik açığı, Microsoft Office’in bir bileşeni olan Microsoft Denklem Düzenleyicisi’nin eski sürümlerinde bulunuyor.
Saldırganlar ayrıca aynı anda altı farklı arka kapı kullandılar. Bunu kötü amaçlı programlardan birinin güvenlik çözümü tarafından tespit edilip kaldırılması durumunda virüslü sistemlerle ek iletişim kanalları kurmak için yaptılar. Bu arka kapılar, virüslü sistemleri kontrol etmek ve gizli verileri toplamak için kapsamlı işlevsellik sağladı.
Saldırının son aşaması, etki alanı denetleyicisini ele geçirmeyi ve kuruluşun tüm iş istasyonları ve sunucularının tam kontrolünü ele geçirmeyi içeriyordu. Hatta vakalardan birinde siber güvenlik çözümleri kontrol merkezini bile ele geçirdiler. Etki alanı yöneticisi ayrıcalıkları ve Active Directory’ye erişim kazandıktan sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ve saldırıya uğrayan kuruluşun hassas verilerini ve diğer dosyaları aramak için “altın bilet” adı verilen esas saldırıyı gerçekleştirdiler.
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Altın bilet saldırıları, Windows 2000’in kullanıma sunulmasından bu yana kullanılan varsayılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ içinde taklit edilerek, saldırganlar ağa ait herhangi bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için yalnızca parolaları değiştirmek veya güvenliği ihlal edilmiş hesapları engellemek yeterli olmayacaktır. Tavsiyemiz, tüm şüpheli etkinlikleri dikkatlice kontrol etmeniz ve güvenilir güvenlik çözümlerine yönelmenizdir.”
