Devlet dayanaklı siber tehdit kümeleri, direkt erişemedikleri büyük amaçlara ulaşmak için güvenlik açıkları bulunan taşeron firmaları kullanarak tedarik zinciri taarruzlarını artırırken, kelam konusu tehditlere karşı global işbirliği ve katmanlı savunma stratejileri öne çıkıyor.
Tedarik zinciri taarruzları, yazılım yahut donanım üreticileri ve hizmet sağlayıcıları üzere üçüncü tarafları gaye alarak, dolaylı yollarla daha büyük ölçekli maksatlara sızmayı amaçlayan akın tiplerini içeriyor.
Son yıllarda dünya genelinde yazılım güncellemelerine yahut uzaktan idare araçlarına eklenen makus hedefli yazılımlar, binlerce şirketi ve devlet kurumunu etkileyerek milyonlarca insanın bilgilerinin açığa çıkmasına neden oldu.
Özellikle 2020’de SolarWinds atağıyla gündeme gelen bu sistem, saldırganların tek bir noktadan birçok maksada erişmesini mümkün kılıyor.
Uzmanlar, global iktisadın dijitalleşmesiyle şirketlerarası bağımlılığın artmasının tedarik zinciri güvenliğini daha da kritik hale getirdiğine işaret ediyor. Güvenlik açıkları, sırf akına uğrayan şirketi değil, onunla iş yapan tüm kurumları ve dolaylı olarak tüm kullanıcıları etkileyebiliyor.
“Kullanılan taktikler her geçen gün daha sofistike hale geldi”
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Başkanı Dmitry Galov, AA muhabirine yaptığı değerlendirmede, gelişmiş kalıcı tehdit (APT) kümesi olarak tanımlanan devlet dayanaklı siber saldırganların kullandığı taktiklerin her geçen gün daha sofistike hale geldiğini söyledi.
Geçen yıl binlerce Linux sunucusunu etkileyen XZ güvenlik açığını anımsatan Galov, tanınan açık kaynak sıkıştırma aracı XZ Utils’a gizlice eklenen ve SSH kimlik doğrulamasını atlatabilen art kapının, saldırganlara sistemlere uzaktan erişim imkanı sağladığını belirtti.
Galov, “Bu tip akınlar her amaç için özel olarak tasarlandığı için öngörülemiyor. Saldırganlar, akından evvel geliştiricilere toplumsal mühendislik uygulayarak aylarca, hatta yıllarca hazırlık yapabiliyor. Saldırganlar uzun soluklu bu taarruz senaryoları için vakit ve para harcamaktan da çekinmiyor. Artık yalnızca yazılım geliştiriciler değil, açık kaynak dediğimiz ve geliştiricilerin projelerinde kullandığı herkese açık kod yahut yazılım bileşenleri ve hizmet sağlayıcılar da maksat alınıyor.” dedi.
Kaspersky’nin, davranış tahlilleri ve yapay zeka dayanaklı teknolojiler kullanarak bu çeşit hücumlara karşı tedbir almaya çalıştığını belirten Galov, “Güvenilir görünen bir yazılımla dahi son basamakta yüklenmeye çalışılan ziyanlı yazılımlar yahut makus gayeli kodlar, eserlerimiz tarafından tespit edilip engellenebiliyor.” tabirini kullandı.
Galov, tedarik zinciri ataklarında saldırganların, büyük şirketlerin kıymetli datalarını çalmayı amaçladığını, bu nedenle maksat şirketin, güvenlik düzey ve etraf muhafazalarının güçlü olmasıyla “doğrudan” amaç alınmadığını, “iki kademeli bir oyun” yoluyla bilgilere erişim sağlanmaya çalışıldığını söyledi.
“Büyük bir şirketin tedarik zincirini gaye alan saldırganlar evvel taşeronları inceler”
Saldırganların birinci kademede büyük şirketlerle ortak çalışan küçük ölçekli taşeron şirketlere odaklandığını, onların siber güvenlik zafiyetlerini kullanarak muvaffakiyet talihlerini artırdığını kaydeden Galov, bu akınların nasıl gerçekleştirildiği şöyle anlattı:
“Büyük bir şirketin tedarik zincirini amaç alan saldırganlar evvel taşeronları inceler, yazılım geliştiren yahut hizmet sağlayan firmaları araştırır ve bunları kullanarak gayelerine ulaşmaya çalışırlar. Burada iki zayıf noktayı berbata kullanırlar. Birincisi, taşeronların siber güvenliği genelde çok daha zayıftır, daha küçük ölçekli olduklarından yahut gereğince yatırım yapmadıklarından ötürü saldırganlar onları daha kolay maksat alabilir.
İkinci olarak, taşeronlar yahut hizmet sağlayıcılar genelde ana şirkete birtakım ayrıcalıklı erişimler sağlarlar. İç sistemlere ve ağlara erişim yahut şirket içinde kullanılan yazılımlar için güncelleme sağlama üzere. Bu çeşit inanç bağlantıları saldırganlar için ikinci kademede devreye girer. Evvel taşeronu ele geçirirler, bilgilerini elde ederler, sonra asıl amaç olan büyük şirkete geçerler. Tüm bunlar da bize şirketlerin bu tıp ataklardan korunması için alması gereken en temel tedbirlerin ne kadar değerli olduğu gerçeğine götürür.”
Galov, şirketlerin rastgele bir yazılım satın alan aldığında taşeronlarının siber güvenlik düzeyine de dikkat etmesi gerektiği konusunda ihtarda bulunarak, şöyle devam etti:
“Taşeronlar şirketleri hizmete alırken büyük şirketlerin en kıymetli seçim kriterlerinden biri de onların siber güvenlik düzeyi olmalı. Bunun anlaşılması için de sızma testi yapılmalıdır. Böylelikle şirketin etrafının kendi sistemleri kadar inançlı olup olmadığı doğrulanır. İkinci olarak, şirkete hangi yazılımların girdiğinin de çok sıkı bir halde denetlenmesi gerekir. Gelen yazılımları rastgele bir kontrol yapmadan kullanamazsınız, siber güvenlik testlerinden geçirmelisiniz. Ayrıyeten taşerona dışarıdan birtakım müsaadeler yahut yetkiler veriyorsanız, hangi dataya kimin eriştiğini de takip etmelisiniz. Bunun hakikaten gerekli olup olmadığını da doğrulamanız gerekir.”
Siber savunma kalkanı zayıf Afrika saldırganların gaye tahtasında
Kaspersky’nin açık kaynak yazılımlar için geliştirdiği özel tarayıcısı sayesinde potansiyel tehditleri tahlil edebildiğini belirten Galov, bu sistem sayesinde geliştiricilerin kullandığı tüm açık kaynak kütüphanelerini denetim ederek güvenliğini doğrulayabildiklerini tabir etti.
Galov, siber güvenliğin daima bir yarış olduğunun altını çizerek, “Siber saldırganlar yeni teknolojileri süratle benimseyebiliyor. Yapay zeka, makine tahsili ve büyük lisan modelleri (LLM) hem bizim hem de saldırganların elinde. Biz savunma tarafında bir adım önde olmak zorundayız.” diye konuştu.
Siber güvenlikte bölgesel farklara da değinen Galov, Orta Doğu’daki kimi ülkelerde siber güvenlik farkındalığının yüksek olduğunu, lakin Afrika’da dijitalleşmenin yeni yeni başladığını ve bu nedenle saldırganlar için daha cazip bir maksat haline geldiğini söyledi.
Galov, “Olgunlaşmış tehdit aktörleri daha savunmasız bölgelere yönelerek deneyimlerini kullanıyor. Bu nedenle siber güvenlikte global işbirliği ve tehdit istihbaratının paylaşılması büyük kıymet taşıyor. Bu yüzden biz de her akın kampanyası ve kullanılan teknikleri raporlayarak paylaşıyoruz ki herkes bu tehditlere karşı hazırlıklı olsun.” biçiminde konuştu.
Tedarik zinciri akınlarına karşı tek bir teknolojinin tahlil olmadığını belirten Galov, “Katmanlı güvenlik ve işbirliği koşul. Hükümetler, siber güvenlik şirketleri ve kullanıcılar birlikte hareket etmeli.” tekliflerinde bulundu.
About The Author
More Stories
Fransa’da X Platformu ve Yöneticilerine Dış Müdahale Soruşturması
Gaziantep’te Akıllı Meyve Zerzevat Hali İnşası
Kuşadası’nda Yunusların Harika Gösterisi