Siber Tehdit Aktörleri – Kimler Siber Saldırıda Bulunur?

Bilgi sistemleri güvenliğinin aşılarak kötü niyetli siber tehdit faaliyetlerinin yürütüldüğü çevrimiçi alana siber tehdit ortamı adı verilir. Bu ortamda mağdurların verilerine, cihazlarına erişmek veya yetkisiz bir şekilde ele geçirerek yararlanmayı amaçlayan devletler, gruplar ve bireyler vardır. İnternetin yapısı bu tehdit aktörlerinin dünya üzerinde fiziksel olarak istedikleri yerde bulunmalarına izin verir. Siber saldırıda bulunan aktörler yetenek, eğitim, kaynak ve destek bakımından eşit şartlarda değildir. Siber saldırılara karşı önlem alabilmek için sistemi hedef alabilecek tehdit aktörlerini ve motivasyon kaynaklarını iyi tanımlamak gerekir. Tehdit aktörlerinin motivasyon kaynakları hakkında bilgi sahibi olmak için Siber Saldırıların Motivasyon Kaynakları başlıklı yazımızı inceleyebilirsiniz.

Peki kimler siber saldırıda bulunur?

1-Devlet Destekli Gruplar

Gelişmiş donanım ve yazılımlarla devlet tarafından finanse edilirler. Genellikle Advanced Persistent Threats (APT) adı verilen sistemde uzun süre varlığını sürdürerek veri toplayan gelişmiş kalıcı tehditlerde bulunurlar. Başka bir devleti hedef alan büyük ölçekli saldırılar da bu gruplar tarafından yapılır. Bazı ülkeler bu grupları ekonomilerini finanse etmek için kullanırlar. Ancak bu tehdit aktörleri mali kazançtan çok ulusal güvenlik, siyasi casusluk, askeri istihbarat gibi politik çıkarlarla motive olmaktadır. Destek veren ülkeye uluslararası pazarda rekabet avantajı kazandıracak, fikri mülkiyete ait verileri hedef alabilirler. Uluslararası işbirliğinin de söz konusu olduğu bu alanda bilgisayar ağları çok gelişmiş altyapı ile donatılmış, yüksek maliyetlidir.

Dünya üzerindeki APT Devlet Destekli Siber Saldırı Grupları:
A-Rusya Destekli Fancy Bear

2010 yılında Almanya, ABD, Ukrayna, Demokratik Ulusal Komite’yi hedef alarak kurulmuştur. Cannon, Coreshell, Responder, MimiKatz, Spear-phishing tekniklerini kullanarak “Piyon Fırtınası” Operasyonu (2014), EFF Beyaz Saray ve NATO saldırısı (2015), Demokratik Ulusal Komite saldırısı (2016), Dünya Dopingle Mücadele Ajansı saldırısı (2016), Hollanda bakanlıklarına saldırı (2017) , IAAF Hack (2017), Almanya seçimleri (2017), Uluslararası Olimpiyat Komitesi saldırısı (2018), Olympic Destroyer (2018), ABD Adalet Bakanlığı iddianamesi (2018), Alman Think Tank Saldırıları (2019) gerçekleştirmiştir. APT28, Sofacy, Sednit bu grupla hareket eder.

B-Kuzey Koreli Lazarus Group

Bitcoin, Cryptocurrency, Ekvador, Meksika, Sony Corp, Güney Kore, Amerika Birleşik Devletleri’ni hedef alarak 2010 yılında kurulmuştur. Bankshot, DDoS, EternalBlue, Mimikatz, Wannacry tekniklerini kullanarak 2014 yılında Sony Pictures Hackleme ve Troy Operasyonu gerçekleştirmiştir. APT38, Gods Apostles, Gods Disciples, Guardians of Peace, ZINC, Whois Team, Hidden Cobra bu grupta yer alır.

C-Çin Destekli Mirage

APT15, Ke3chang, Vixen Panda, GREF, Playful Dragon, RoyalAPT işbirliğiyle 2010 yılında kurulmuştur. Avrupa Birliği, Hindistan, İngiltere öncelikli hedefleridir. Cobalt Strike, Mimikatz, MirageFox, MS Exchange Tool, Phishing, Royal DNS yöntemleriyle “Ke3chang” Operasyonu Suriye casusluğu (2010), İngiltere Hükümetine hizmet veren taşeronlara saldırı (2017), “MirageFox” uzaktan erişim trojan operasyonu (2018) gerçekleştirmiştir.

D-ABD Desteğiyle Equation Group

2001 yılında Afganistan, İran, Hindistan, Mali, Pakistan, Suriye devletlerini hedef alarak kurulmuştur. DarkPulsar, DOUBLEFANTASY, DoublePulsar, EQUATIONDRUG, EQUATIONLASER, EQUESTRE, FANNY, GROK, Lambert, Plexor, Regin, TRIPLEFANTASY teknik yöntemlerini kullanarak en büyük eylemini 2010 yılında İran’ın nükleer programı Stuxnet üzerinde yapmıştır.

E-İran Destekli Oil Rig

2012 yılında APT 34, Crambus, Helix Kitten, Twisted KittenAPT 34, Crambus, Helix Kitten, Twisted Kitten iş birliğiyle İran, İsrail, Suudi Arabistan, Amerika Birleşik Devletleri’ne saldırmak üzere kurulmuştur. GoogleDrive RAT, HyperShell, ISMDoor, Mimikatz, PoisonFrog, SpyNote, Tasklist, Webmask yöntemleriyle Shamoon (2012), Orta Doğu’daki Bankalara Yönelik Hedefli Saldırılar (2016) Shamoon v3, Orta Doğu Asya’daki hedeflere karşı saldırı (2018) eylemlerini gerçekleştirmiştir.

F-Pakistan Destekli Mythic Leopard

2016 yılında Hindistan ve Hint Ordusu’na saldırmak üzere APT 36, ProjectM, TEMP. Lapis, Transparent Tribe desteğiyle oluşturulmuştur. Andromeda, beendoor, Bozok, Breachrat, Spear-phishing yöntemleri kullanarak “Şeffaf Kabile” Operasyonu (2016), “C-Major” Operasyonu (2016), Merkez Soruşturma Bürosu ve Hint Ordusu’nun Hint Think Tankını taklit eden Spear Phishing (2017) saldırısında bulunmuştur.

Bunların dışında Sandworm Team, OceanLotus, Energetic Bear, Patchwork, Muddy Water, Ricochet Chollima, . Charming Kitten, Elfin, Cozy Bear, Dynamite Panda, Numbered Panda, PLATINUM, Comment Crew, FIN7 gibi dünyaca ünlü Gelişmiş Kalıcı Tehdit çalışmalarında bulunan devlet destekli siber saldırganlar mevcuttur.

2-Organize Suç Şebekeleri

Maksimum maddi kazanç getirecek eylemleri tercih eden bu grup karmaşık yapıdaki kişisel veriler ve banka bilgilerini hedef almaktadır. Ele geçirdikleri bu verileri Darkweb gibi ortamlarda satarak gelir elde ederler. Ayrıca sistemleri sabote eden fidye yazılımları başlıca gelir kaynaklarındandır. Profesyonel olarak çalışan bu ekipler hackleme, zafiyetleri sömürme ve sosyal mühendislik alanında yetkindirler. Sosyal güvenlik numaraları, kredi kartı bilgileri, şirketlere ait önemli bilgiler mali kazanç motivasyonlarını artırır.

Dünya Üzerindeki Siber Organize Suç Ekipleri:
 A-Sodinokibi

Merkezi henüz belirlenemeyen bu ekip 2019 yılından beri Doğu Avrupa ve Asya’daki küresel güçteki hizmet sağlayıcılar ve küçük işletmeleri hedef almaktadır. REvil Ransomware, Privilege Escalation, PowerShell, Sodinokibi RansomWare, MinerGate, XMRig, RIG Exploit Kit tekniklerini kullanarak Yüzlerce diş hekimi muayenehanesini etkileyen hizmet sağlayıcılarına 2019 yılında saldırmıştır.

B-Magecart

Cobalt ve FIN6 ile bağları bulunan en az 6 gruptan oluşur. 2015 yılından beri online alışveriş siteleri, Magento e-Ticaret platformlarını hedef alırlar. Web-skimmers, Skimmer scripts yöntemleriyle British Airways (2018), Newegg (2018), Ticketmaster verileri (2018), Forbes dergisi (2019), yüzlerce kolej kampüsü kitapçısı (2019) saldırıdan etkilenmiştir.

3-Hacktivistler

İdeolojik düşüncelerine dayanarak saldırılarını propaganda aracı olarak görürler. Hacktivist kelimesi hacker ve aktivist birleşiminden türetilmiştir. Düşüncelerine aykırı olan kuruluşlara yüksek boyutta siber saldırıda bulunurlar.  Amaçları sorun olarak gördükleri konulara dikkat çekmek ve kendilerine fayda sağlamaktır. Aynı fikirde olan birçok grubun birleşiminden meydana gelebilir. Saldırılar benzer araç gereçlerle belli bir çerçevede gerçekleşir. Hedeflerine ulaşmakta inançlı ve ihtiyaçlarını gündeme göre belirlemede başarılı olduklarından ciddi bir tehdit olarak görülmektedir.

Dünya üzerindeki Hacktivist Gruplar:
A-Anonymous

2003 yılında merkezi olmayan küresel bir hareket olarak doğmuştur. Brezilya, Kazakistan, Rusya, Tayland, Türkiye üzerinde siber saldırıda bulunmuştur. Guy Fawkes masks, websitesine zarar verme, DDoS atak, sosyal medya hesap ele geçirme türünde faaliyet gösterir. SOHH ve AllHipHop web sitelerinin tahrif edilmesi (2008), İran seçim protestoları (2009), Facebook Operasyonu (2011), Occupy Wall Street (2011), Suriye Hükümeti E-postanın Hacklenmesi (2012), Vatikan web sitesi DDoS Saldırıları (2012) , Federal Reserve ECS Hack (2013), Hong Kong Operasyonu (2014), KKK Operasyonu (2015) öne çıkan siber saldırılarıdır.

B-Syrian Electronic Army

Deadeye Jackal, SEA birlikteliğinde 2011 yılında Suriye merkezli olarak ortaya çıkmıştır. Facebook, Forbes, Microsoft, Skype, Amerika Birleşik Devletleri, İngiltere öncelikli hedefleridir. DDoS, Kötü Amaçlı Yazılım, Kimlik Avı, Spam, Web Sitesi Defacement türü saldırılarla BBC News, Associated Press, Ulusal Halk Radyosu, CBC News, The Daily Telegraph, The Washington Post gibi haber sitelerine 2018 yılında zarar vermiştir.

4-Siber Teröristler

İnterneti tehdit ve korku aracı olarak kullanan bu aktörler siyasi ve ideolojik hedeflerini siber saldırıyla yerine getirir. Hükümeti ve toplumu baskı altına alma, korkutma ve yıldırma amacını bilgisayar virüsleri, solucanlar, kimlik avı siteleri ve zararlı yazılımlar ile gerçekleştirirler. Saldırı konusunda yetenekli siber teröristler hükümet sistemleri, hastane kayıtları ve ulusal güvenlik sistemlerine saldırarak bir toplumu veya organizasyonu kargaşa içine sokabilir. Yakın zamanda El Kaide ve IŞİD interneti iletişim kurmak ve yeni üyeler kazanmak için kullanmıştır.

5-Mutsuz veya Kindar Çalışanlar

Kurum içerisinde, iş hayatındaki olumsuzlukların intikamını içinde bulunduğu organizasyondan çıkarmak isteyen çalışanlar olabilir. Daha fazla kazanmak uğruna veya kindar davranış tutumuna girerek rakip firmalarla iş birliği yapabilirler. Dış koruması güçlü olsa da içeriden erişime açık ağlar tehlike altındadır. Kolay ve ayrıcalıklı bir erişim hakkına sahip kötü niyetli çalışan kısa sürede büyük zararlar verebilir.

6-Fırsatçı Kişiler – Script Kiddies

Saygınlık kazanmak ve tanınır olmak amacıyla siber saldırıda bulunan yeteneksiz amatörlerdir. Gerçek hackerlar tarafından yazılan kodları kullanarak saldırabilirler. Nitelikli saldırıdan çok sayı önemlidir. Kurumların güvenlik zafiyetlerini bildirerek para ödülü, teşekkür gibi beklentilerini giderirler.

7-Endüstriyel Rakipler

Ticari faaliyette bulunan firmalar pazardan daha fazla pay alabilmek adına birbirlerine zarar vermek isterler. Rakip firmanın ağ ve sistemlerine girerek kıymetli bilgileri çalar veya zarar verirler. Siber saldırıları kendi bünyelerindeki hackerlarla yapabilecekleri gibi kişi veya gruplardan yardım da alabilirler. İş stratejileri, finansal kayıtlar ve işveren bilgileri ilgi alanlarına girer.

8-İntihar Hackerları

Hapis cezası veya diğer yaptırımları gözetmeksizin bir sebeple kritik alt yapıyı çökertmeyi hedefleyen kişilerdir. İntihar bombacısı gibi kendini hedef sisteme adar. Para beklentisiyle giriştiği saldırıdan yakalansa da ailelerine yetecek parayı elde edebilir. Düşmanlarına olan intikam hislerini bastırmak, bu saldırıyla mümkün olabilir.

 

 

 

 

About Author

1 Yorum

  1. Pingback: Siber Tehdit İstihbaratı | Savunma Sanayi

Cevap Bırakın

%d blogcu bunu beğendi: