APT28, taktiklerini Office 365 şifre kırma ve kimlik bilgilerini toplamayı içerecek şekilde değiştirdi.
Microsoft’un araştırmacıları, APT28’i (Strontium, Sofacy veya Fancy Bear) Nisan ayında başlayan ve halen devam eden, yeni ortaya çıkarılmış O365 etkinliği modeline bağladılar. Saldırıların esas olarak siyasi seçimlere doğrudan dahil olan ABD ve İngiltere organizasyonlarını hedef aldığının da görüldüğü belirtildi.
APT, casusluk kampanyaları başlatmak veya ağlarda yanal olarak ilerlemek için genellikle geçerli kimlik bilgilerini elde etmeye çalışır. Microsoft araştırmacılarına göre, APT28 grubu Haziran ve Eylül ayları arasında 200’den fazla kuruluşa ait kimlik bilgilerini toplama amacıyla saldırılarını başlattı. 18 Ağustos ile 3 Eylül arasında, 28 farklı kuruluşa ait 6.912 O365 hesabını hedef aldı. Fakat bu konuda başarısız olduğu belirtilmektedir.
Cuma günü yayınlanan blog yazısında, “Hedeflenen tüm kuruluşlar seçimle ilgili değildi” şeklinde belirtiltildi. “Ancak, 2020 ABD Başkanlık Seçimleri ve Birleşik Krallık’da yapılacak seçimler için ortaya çıkan potansiyel bir tehdidi vurgulamanın önemli olduğu” belirtildi.
Bahsedilen bu etkinlik, ABD başkanlık seçimlerinden sadece aylar önce, Rusya, Çin ve İran’da oltalama ve kötü amaçlı yazılım saldırılarını artırdığına dair diğer Microsoft bulgularıyla da örtüşmektedir. APT28’in 2016’da seçime karışmaktan ve Demokratik Ulusal Komite’ye (ABD Hükümeti dahil) yönelik saldırıdan sorumlu görüldüğü de unutulmamalıdır.
APT28 ve Kimlik Bilgisi Toplama
APT28, 2016 Başkanlık seçimlerine uzanan kimlik bilgisi toplama çabalarında büyük ölçüde oltalama saldırılarını kullanırken, bu seferki taktiklerinde kaba kuvvet ve parola püskürtme saldırılarını kullanmaktadır.
Microsoft’a göre, “bu taktik değişikliğinin birkaç devlet destekli tehdit aktörleri tarafından da yapıldığı ve kapsamlı bir kimlik bilgisi toplama işlemlerini daha anonim bir şekilde yürütmelerine olanak sağlamaktadır.” Strontium aracı, kimlik doğrulama girişimlerini, çoğunluğu TOR servisiyle ilişkilendirilen yaklaşık 1,100 IP havuzuna yönlendirmektedir.”
Yapılan araştırmaya göre, bu IP havuzu, “araçlar”, oldukça akıcı ve dinamiktir. Günde ortalama yaklaşık 20 farklı IP adresinin eklenip çıkarıldığı bilinmektedir. Yapılan saldırılarda, 536 ağ bloğu ve 273 ASN ile ilişkili olmak üzere günlük ortalama 1.294 farklı IP adresi kullanıldı. Organizasyonlar birkaç saat veya gün boyunca hedeflenen hesap başına 300’den fazla kimlik doğrulama ile alakalı potansiyel denemeler görebilmektedir.
Microsoft araştırmacıları, APT28’in araçları, oltalama girişimlerini bu IP havuzunda yaklaşık olarak saniyede bir değiştiriyor olarak belirtti. Araştırmacılar, Bu tekniğin genişliği ve hızı göz önüne alındığında, APT28’in faaliyetlerini gizlemek, izlenmekten ve ilişkilendirilmekten kaçınmak için bir anonimleştirici hizmeti kullanmak üzere araçlarını uyarlaması, değiştirmesi gibi durumların muhtemel göründüğünü belirtmektedir.
APT28, yukarıda açıklanan kapsamlı kaba kuvvet saldırılarında küçük bir değişiklik olan parola püskürtme tekniğini de kullanarak ilerlemektedir. Araştırmacılar, kullanılan araçların, kullanıcı adı / şifre kombinasyonlarını oldukça yavaş bir şekilde denediğini de belirtmektedir. Bu modda çalışan araçlarla hedeflenen organizasyonlar, birkaç gün veya hafta boyunca devamlı bu denemeleri görmekte ve bu denemelerin neredeyse tamamı farklı bir IP adresinden geldiğini görmektedir.
Bu saldırılara maruz kalan organizasyonlar, izleri incelediğinde yaygın bir kimlik doğrulama girişimleri olduğunu görmektedir. Bir bilgi işlem firması, bazı durumlarda araçların, bu hesaplar arasından yalnızca geçerli olanları bulmak için çok sayıda girişimde bulunmuş olabileceğini de göz önünde tutulması gerektiğini belirtti.
Microsoft, Rus askeri istihbaratına bağlı olduğuna inanılan APT28 grubunun bu yıl siyasi kampanyalar, savunma grupları, partiler ve siyasi danışmanlar da dahil olmak üzere 200’den fazla organizasyona saldırdığını belirtti. Bu organizasyonların arasında “The German Marshall Fund of the United States, The European People’s Party” gibi düşünce kuruluşları ve cumhuriyetçiler ile demokratlara hizmet eden ABD merkezli çeşitli danışmanlar da yer almaktadır. Organizasyonlar ve kişiler, çok faktörlü kimlik doğrulama (MFA) uygulayarak ve bulut hizmeti için yapılan başarısız kimlik doğrulamalarını izleyerek kendilerini korumayı öğrenebilir ve aksiyon alabilir.
Microsoft son olarak, işletmelerin ve hedeflenen kişilerin hesaplarının güvenliğini önemli ölçüde iyileştirmek ve bu tür saldırıları çok daha zor hale getirmek için atabilecekleri çok basit adımlar olduğunu belirtti.
Benzer şekilde yine O365 hesaplarını hedef alan Water Nue grubu ile ilgili yazımıza da buradan ulaşabilirsiniz.
Kaynaklar:
