APT Nedir?

APT İngilizcesi Advanced Persistent Threat olan ülkemizde ise “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı” olarak iki farklı şekilde duyulabilen özel bir saldırı türüdür.

APT’yi özel bir saldırı türü olarak sınıflandırmamdaki neden oluşturduğu tehdidin diğerlerinden farklı olmasıdır. Bilgi güvenliği konusunda tehdit kelimesinin risk anlamından biraz daha farklı kullanılmasında fayda olacaktır. Bizim için tehdidi oluşturan bileşenler saldırganın motivasyonu (gerekçesi), beceri düzeyi ve olayların tarihçesidir. Elbette, geçmişte bir saldırı olması, tekrar saldırı olacağı veya hiç saldırı olmamış olması bir saldırı olmayacağı anlamına gelmez ancak bizlere tehlikenin boyutu hakkında önemli bilgiler verir.

Saldırganların motivasyonlarını anlamak için çeşitli saldırgan profilleri ve temel motivasyonlarına, yani saldırıyı gerçekleştirmedeki amaçlarına, bakarsak aşağıdaki durumu görürüz.

Siber suçlular: kolay ve çok para kazanma fırsatı

Hacktivist: İdeolojik bir amaca hizmet

Hacker grupları: Ünlü olma, adını duyurma

Egemen devletler: Ulusal güvenlik ve ulusal çıkarlar

Suç örgütleri: Belli şahısların becerilerini veya karşılarına çıkan fırsatları değerlendirip para kazanmak

Saldırganların motivasyon düzeyini değerlendirmek için amacı uğruna ne kadar süreyle çalışmayı göze aldığına bakmak lazım. İlk birkaç denemeden sonra daha kolay ele geçirebilecekleri bir hedef aramaya başlayacak siber suçlular, hacktivistler veya suç örgütlerinin aksine APT olarak adlandırabileceğimiz saldırıları gerçekleştirecek gruplar amaçlarına ulaşana kadar saldırmaya devam ederler.

Sürekli veya devamlı niteliklerinin yanında APTler saldırganların teknik kabiliyetleriyle de diğer suçlardan ayrılır. Cryptolocker gibi fidye talep eden bir yazılıma dayalı bir operasyon yürütmek için çok derin teknik bilgiye ihtiyaç yoktur. Bu yazılımı ve yazılımı kontrol edecek sistemler yasadışı kaynaklardan kiralanıp işletilebilir. 

Tehditleri saldırganların yeteneklerine göre sınıflandıracak olursak karşımıza şu kademeler çıkabilir;

Basit tehdit: “wifi hackleme” ve “facebook patlatma” seviyesinde 1-2 kaynak okumuş “meraklı”, metodoloji bilmeyen, başlangıç seviyesi olarak nitelendirebileceğimiz saldırganlardır.

Sürekli basit tehdit (basit tehdit beceri düzeyi + saldırgan motivasyonu)

Akıllı tehdit

Sürekli akıllı tehdit (Akıllı tehdit beceri düzeyi + saldırgan motivasyonu): Kevin Mitnick bu seviyeye iyi bir örnek oluşturmaktadır. İleri düzey teknik becerisi, hedef aldığı şirket veya kuruma sızmak için yürüttüğü sosyal mühendislik çalışmalarının tamamı Kevin’i “sürekli” bir tehdit haline getirmiştir.

İleri seviye tehdit

Sürekli ileri seviye tehdit (ileri seviye tehdit + saldırgan motivasyonu): Rusya’nın APT28 ve Çin’in APT1 grupları bunlara tipik örneklerdir.

APT olarak adlandırdığımız tehdit türü (sürekli ileri seviye tehdit) en gelişmiş teknik beceri ve en yüksek seviyede motivasyon gerektiren saldırılardır.

Basit tehdit sürekli olsa bile saldırganın teknik beceri düzeyinin düşük olması nedeniyle, gerekli tedbirlerin alınması koşuluyla, çok az durumda başarıya ulaşır. Akıllı tehditler ise teknik bilgi ve becerisi belli bir düzeyinin üzerinde olan saldırganlarca düzenlendiği için, özellikle sürekli olması halinde, ciddi bir tehdit oluşturmaktadır. İleri seviye tehditler, gerekli teknik beceri seviyesi itibariyle “Akıllı” olarak nitelendirdiğimiz tehdit grubundan çok da farklı değildir. 

Bir tehdidi ileri seviye olarak nitelendirmek için temelde 4 unsurun bulunması gerekir;

• Hedef ve saldırı ile ilgili stratejik düşünce
• Saldırılarda sistematik/askeri niteliklerde yaklaşım
• Kimlik gizleme becerisi
• Saldırganların kullanabileceği daha geniş bir saldırı vektörü havuzu 

APT olarak adlandırabileceğimiz saldırılarda kullanılan zararlı yazılımlar Stuxnet, Flame, Duqu veya Wiper ile sınırlı değildir. APTlerde birden fazla saldırı vektörünün (örneğin sosyal mühendislik) ve sıradan bir saldırgandan farklı bir yaklaşım görüyoruz. Aşağıda kısaca özetlediğim Duqu örneğinde görüldüğü gibi saldırganlar ele geçirdikleri sistemden veri çalmaya çalışmak yerine stratejik öneme sahip olabilecek bilgileri toplamaya çalışmışlardır.  

Duqu ilk olarak 2011 yılında tespit edilmiştir ismini oluşturduğu dosyaların ismini DQ ile başlatmasından almakta ve temelde bulaştığı sistem hakkında bilgi toplamayı amaçlamaktadır. Duqu’yu yazanların büyük ölçüde Stuxnet’in kaynak kodundan faydalanmış olabilecekleri düşünülmektedir.

Hedef sisteme eposta ekinde gönderilen bir Word belgesinin içindeki kodla bulaşan Duqu sistem üzerinde bir arka kapı açar. Yerel ağ üzerinde yayılma becerisine de sahip olan Duqu bulaştığı sistemden aşağıdaki bilgileri sızdırır:

• Sistem bilgisi
• Klavye hareketleri
• Sistem üzerinde ve sistemden erişilen sistemlerde kullanılan parolalar
• Ekran görüntüleri
• Yerel ağdaki diğer sistemlerin bilgileri (bu özelliği ile potansiyel Stuxnet hedeflerini belirlemekte kullanılmış olabileceği düşünülebilir).

APT saldırılarının metodolojisi temel bir kaç işlevde hacker metodolojisine benzese de yaklaşım ve “felsefe” bakımından farklılıklar sergilemektedir. Temel olarak APT saldırganlarında gördüğümüz bazı özellikler şunlardır;

• Ciddi hazırlık süreci
• Çok detaylı bilgi toplama aşaması
• Planlama ve uygulamada sabırlı yaklaşım
• Saldırı adımlarının sosyal bileşenleri konusunda bilgi
• Etkili olmaya öncelik vermeleri (bu anlamda basit saldırıları da kullanırlar)
• Yaratıcı düşünme yeteneği
• Asıl saldırı vektörünü gizlemeye yönelik dikkat dağıtma çabası
• Henüz yaygınlaşmamış/duyulmamış istismar kodlarının kullanılması
• Fiziksel sızma eyleminden çekinmemeleri

APT saldırıları özellikle Kamu Kurumları, kritik altyapıları, büyük şirketleri, finans sektörünü ve telekom operatörlerini hedef almaktadır. Hedef olabilecek bir yerde çalışıyorsanız mevcut durumunuzu 7 adımdan oluşan ve incelenen olaylarda kullanıldığını bildiğimiz APT metodolojisine göre değerlendirmenizde fayda vardır.