David Pitlik, netAlly
Dünyadaki hükümetlerin çoğu eylemi oldukça iyi niyetli olsa da, ya da en azından iyi niyetli olmakla birlikte, resmi olarak onaylanmış faaliyetlerin çok daha karanlık bir tarafı var. Birçok ulus devlet için, APT (Advanced persistent threat: Gelişmiş kalıcı tehdit) grupları, gölgelerde çalışan, veri çalmak, işlemleri engellemek veya hedeflenen düşmanların altyapısını yok etmek için eşit derecede değerli bir araçtır.
netAlly'nin en son Tehdit İstihbarat Raporu’na göre, bu gruplar artıyor. Bilgi güvenliğinin en iyisini temsil eden seçkin bir mühendis ve araştırmacı grubu olan ASERT (The Atlas security engineering & response team: ATLAS güvenlik mühendisliği ve müdahale ekibi) dünya çapında yaklaşık 35 APT grubunu aktif olarak takip etmektedir. Ve buldukları şey, bu gruplardan gelen aktivitenin hızlanmasıdır, çünkü siber casusluğun ek yönlerini araç setlerine sürekli olarak eklerler, yöntemler eklerler ve yeni kurbanları hedeflerler.
Çin, Rusya, İran ve Kuzey Kore gibi büyük APT grubu sponsorları çok fazla dikkat çekerken, diğer birçok ülke kendi gruplarına sponsorluk yapıyor. ASERT, 29 ülkede yaklaşık 163 grubu takiptedir.
APT Grupları Neyi Başarmaya Çalışıyor?
ASERT’te kıdemli bir güvenlik araştırmacısı olan Jill Sopko, “Devlet destekli siber saldırıları söz konusu olduğunda, bu çabalar tipik olarak o devletin stratejik ihtiyaçları tarafından yönlendiriliyor” diyor. “Bu grupların faaliyet gösterdiği birçok ülkede, devlet, ekonomi ve dini kurumların mutlaka ayrı kuruluşlar olmadığını daha fazla hatırlamak önemlidir. Merkezi liderlik, ulusal hedeflere ulaşmak için mevcut herhangi bir aracı kullanmakta serbest bırakan daha az incelemeye veya sorumluluğa maruz kalabilir.”
APT gruplarının hedefleri geniş ölçüde değişir, ancak geniş bir kümede toplanır. Saldırılar şunları içerebilir:
Jeopolitik ilişkiler: Komşu ülkeleri ile kaygıları olan devletler, APT gruplarını ekonomik veya askeri faaliyetler, niyetler veya stratejiler hakkında istihbarat elde etmek için yakındaki ulusları izlemek ve / veya sızmak için kullanırlar.
Fikri mülkiyet hırsızlığı: APT gruplarının saldırıları genelde ev sahibi devletin ekonomik veya askeri hedeflerini ilerletmeye yardımcı olmak için fikri mülkiyetleri çalma hedefine sahiptir. Tescilli teknolojiyi çalmak, araştırma ve geliştirme maliyetlerinde milyarlarca dolar tasarruf sağlayarak, pazarda rekabet avantajı sağlayarak ya da askeri hazırlıktaki boşluğu kapatarak avantaj sağlanmasına yardımcı olabilir. Başka bir ülke veya işletmenin gizli iletişimlerini çalarak, APT grupları hükümetler ile müzakerelerde veya görüşmelerde üstünlük sağlayabilir.
Dezenformasyon kampanyaları: Dünya genelindeki serbest seçimlere son zamanlarda yapılan müdahalelerle kanıtlandığı gibi, APT grupları, siber faaliyetleri giderek hedeflenen ülkelerde oy veren nüfusu etkilemek için bir araç olarak kullanıyor. Bu, genel olarak seçmenleri, daha az muhalif olan veya sızan ülkeyle ideolojik olarak daha uyumlu olacak bir aday lehine çalışmak için yapılır.
Bozulma ve yıkma: APT grupları ayrıca iletişim sistemlerinde, endüstrileşmiş kontrol sistemlerinde ve kamu hizmetlerinde yıkıcı eylemlerde bulunabilirler. Bunlar ayrıca ekonomik olarak motive edilmiş saldırıları da içerebilir. Bazı devletler, başka bir devlette hasara yol açacak güce sahip olduklarını göstermenin, bir düşman ya da rakibin eylemlerinden caydırmak için yeterli bir tehdit olacağını umuyorlar.
Küresel İhtilaf Artıyor
Sopko,” İyi haber şu ki, küresel bir bakış açısıyla, APT gruplarının görünürlükleri daha da iyiye gidiyor.” Dünya çapındaki data operasyonlarının işbirliğinden dolayı, tüm APT aktivitesi yelpazesini görebiliyoruz. Sonuç olarak, devletler ve şirketler bu güvenlik tehditlerini çok daha ciddiye alıyor.
Tehditler artıyor olsa da, onları izlemek ve tanımlamak için de çalışmak gerekiyor. Infosec topluluğu, taktikleri, teknikleri ve prosedürleri (TTP'ler) paylaşmak ve toplu bilgi birikimini artırmak için bir araya geliyor. Büyüyen tehditleri azaltmak için bu tür tehdit istihbarat ve işbirliği kesinlikle zorunlu olacaktır.