İleri ve sürekli tehdit

İki hafta önceki “Çin hacker orduları” yazımın devamını yazmam gerekecek. New York Times’a yapılan hacker saldırısında gazetenin BT sistemlerini savunmak ve saldırı yolları kapatmak amacıyla özel bir bilgisayar güvenliği danışmanlık şirketinin aylarca süren bir çalışma yaptığını anlatmıştım. Birkaç gün önce yayınlanan raporu nedeniyle adını daha çok duyacağımız bu şirket Mandiant. Rapora tinyurl.com/koc2013 adresinden ulaşabilirsiniz.
Özetle rapor “Comment Crew and APT1” isimli bir birimden bahsediyor. APT “Advanced Persistent Threat”, yani “İleri ve Sürekli Tehdit” anlamında. Şanghay’ın Pudong mahallesinde 12 katlı bir binada çalışan bu birimde yüzlerce, belki de binlerce profesyonel hacker çalışıyor. Mandiant bu birimin 2006 yılından beri ABD şirketlerine ekonomik casusluk saldırıları yaptığını ileri sürüyor. Yapılan saldırıların ölçeğine, sürdürülebilirliğine, nedenine ve devletin imkanlarının kullanıldığına (örneğin China Telecom) bakarak bu birimin Çin Ordusu tarafından yönlendirildiğine hükmediyor. Ayrıca Mandiant, Çin Komünist Partisinin en yetkili yöneticilerinin siber saldırı ve ekonomik casusluk operasyonlarını yönettiğini söylüyor.
Bu birim ABD’de RSA ve Coca Cola gibi birçok şirkete büyük zararlar vermiş. Bir buçuk sene kadar önce yine bir BThaber yazısı1 ve mülakatımda (20-26 Haziran 2011 sayısı), RSA SecurID kartlarının Master tablosunun EMC sunucularından çalındığını ve klonlanmış kartlarla Lockheed Martin firmasının sunucularına girildiğini yazmıştım. RSA bu kartların 40 milyon tanesini yenilemek zorunda kaldı. Lockheed Martin kayıplarını ise herhalde hiç öğrenemeyeceğiz.
Problem sadece bilgi veya tasarımın çalınmasından ibaret değil. Kritik altyapılara yerleştirilmiş kötü amaçlı yazılımların (malware) sabotaj amacıyla da kullanılabileceği endişesi var. Bu endişe yeni değil ama son 2 yıldır çok arttı. Son zamanlarda yapılan saldırılardan biri de Kanada şirketi Telvent’e yapıldı. Smartgrid denilen enerji dağıtım sistemlerine yazılım yapan bir şirket olan Telvent, kendi SCADA sistemlerinde malware buldu.
Hacker saldırıları aslında çok yaratıcı değil. Oldukça standart metotlar kullanıyorlar. Yazdıkları e-postalarda günlük konuşma İngilizcesi ve malware linkleri var. İnanıp da linke dokunanlar, hacker ağına bir noktadan hizmet ediyor (veya direkt saldırıya uğruyor).
Mandiant’ın çalışması çok okunacak ve üzerinde konuşulacak bir rapor.
1 https://www.bthaber.com/rsa-securid-ve-lockheed-martin/