Kaspersky, Ağustos ayı başlarında Doğu Avrupa ve Afganistan'daki askeri-endüstriyel kuruluşlara ve kamu kurumlarına yönelik saldırıları zaten tespit etmişti. Kullanılan kötü amaçlı yazılım, Çince konuşan bir APT grubununkine benzer.
Kaspersky ICS CERT, Afganistan'ın yanı sıra Rusya, Ukrayna ve Beyaz Rusya dahil olmak üzere birçok Doğu Avrupa ülkesindeki endüstriyel tesislere, araştırma enstitülerine, devlet kurumlarına, bakanlıklara ve ofislere yönelik bir dizi hedefli saldırı tespit etti. APT aktörleri, kurbanların tüm BT altyapısının kontrolünü ele geçirmeyi ve endüstriyel casusluk yapmayı başardı.
Askeri şirket ve kuruluşlara yönelik saldırılar
Ocak 2022'de Kaspersky uzmanları, endüstriyel tesisler, tasarım ofisleri, araştırma enstitüleri, devlet kurumları, bakanlıklar ve departmanlar dahil olmak üzere askeri şirketlere ve kamu kuruluşlarına yönelik hassas bilgileri çalmayı ve BT sistemleri üzerinde kontrol elde etmeyi amaçlayan çok sayıda gelişmiş saldırı keşfetti. Saldırganlar tarafından kullanılan kötü amaçlı yazılım, Çince konuşan bir APT grubu olan TA428 APT'ninkine benzer.
Hedeflenen saldırganlar, bazıları hedeflenen kuruluşa özgü, e-postanın gönderildiği sırada herkese açık olmayan bilgiler içeren, dikkatle hazırlanmış hedef odaklı kimlik avı e-postaları yoluyla kurumsal ağlara sızar. Kimlik avı e-postaları, rastgele kodun ek etkinlik olmadan çalışmasına izin veren bir güvenlik açığından yararlanmak için kötü amaçlı kod içeren bir Microsoft Word belgesi içeriyordu. Güvenlik açığı, Microsoft Office'in bir bileşeni olan Microsoft Equation Editor'ın eski sürümlerinde bulunmaktadır.
Altı farklı arka kapı kullanımı
Saldırganlar, kötü amaçlı programlardan birinin bir güvenlik çözümü tarafından algılanıp kaldırılması durumunda, virüs bulaşmış sistemlerle ek iletişim kanalları kurmak için aynı anda altı farklı arka kapı kullandı. Bu arka kapılar, virüslü sistemleri kontrol etmek ve hassas verileri toplamak için kapsamlı işlevsellik sağlar. Saldırının son aşaması, etki alanı denetleyicisini ele geçirmek ve şirketin tüm iş istasyonları ve sunucuları üzerinde tam kontrol elde etmekti. Bir vakada, saldırganlar siber güvenlik çözümleri için kontrol merkezini bile ele geçirebildiler. Saldırganlar, etki alanı yönetici hakları ve Active Directory'ye erişim elde ettikten sonra, herhangi bir kuruluşun kullanıcı hesaplarını taklit etmek ve saldırıya uğrayan kuruluşun içerdiği hassas verileri içeren belgeleri ve diğer dosyaları aramak için "altın bilet" adı verilen bir saldırı gerçekleştirdi. Saldırganlar, çalınan verileri farklı ülkelerdeki sunucularda barındırdı.
Altın Bilet Saldırıları
ICS CERT Kaspersky güvenlik uzmanı Vyacheslav Kopeytsev, "Altın bilet saldırıları, Windows 2000'in kullanıma sunulmasından bu yana kullanımda olan Varsayılan Kimlik Doğrulama Protokolünü kullanır" diye açıklıyor. “Kurumsal ağ içinde Kerberos Bilet Verme Biletleri (TGT'ler) oluşturarak, saldırganlar ağa ait herhangi bir hizmete süresiz olarak erişebilirler. Sonuç olarak, yalnızca parolaları değiştirmek veya güvenliği ihlal edilmiş hesapları kilitlemek yeterli değildir. Önerimiz: tüm şüpheli etkinlikleri dikkatlice inceleyin ve güvenilir güvenlik çözümleri kullanın."
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi