Kaspersky GReAT, Sidewinder APT'nin Nükleer altyapıyı Hedef aldığını ortaya çıkardı Kaspersky araştırmacıları, kötü bir üne sahip gelişmiş kalıcı tehdit (APT) grubu SideWinder'ın odak noktasının Güney Asya'daki nükleer enerji tesislerine doğru kaydığını ve hedefli casuslukta önemli bir artış yaşandığını tespit etti. Tehdit aktörü eş zamanlı olarak Afrika, Güneydoğu Asya ve Avrupa'nın bazı bölgelerinde operasyonlarını genişletti. Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), SideWinder APT grubunun Güney Asya'daki nükleer santrallere ve enerji tesislerine daha fazla odaklandığını gösteren iki yönlü bir tehdidi belgeledi. Bu nükleer eksen, grubun geleneksel alanlarının ötesinde coğrafi genişlemesine paralel olarak ilerliyor. En az 2012'den beri aktif olan SideWinder, geçmişte kamu, askeri ve diplomatik kurumları hedef almıştı. Grup, hedeflerini Güneydoğu Asya'daki denizcilik altyapısı ve lojistik şirketlerini de kapsayacak şekilde genişletirken nükleer sektör hedeflerine de göz dikti. Kaspersky araştırmacıları, spearphishing e-postaları ve sektöre özgü terminolojiyle yüklü kötü amaçlı belgeler kullanan nükleer enerji kurumlarını hedef alan saldırılarda bir artış olduğunu belirtti. SideWinder'ı 15 ülkede ve üç kıtada takip eden Kaspersky, grup Mısır'a odaklanmadan önce Cibuti'de çok sayıda saldırı gözlemledi ve Mozambik, Avusturya, Bulgaristan, Kamboçya, Endonezya, Filipinler ve Vietnam'da ek operasyonlar başlattı. Afganistan, Cezayir, Ruanda, Suudi Arabistan, Türkiye ve Uganda'daki diplomatik kuruluşların da hedef alınması, SideWinder'ın Güney Asya'nın çok ötesine geçtiğini gösteriyor. Kaspersky GReAT Baş Güvenlik Araştırmacısı Vasily Berdnikov, şunları söylüyor: "Tanık olduğumuz şey sadece coğrafi bir genişleme değil, SideWinder'ın yeteneklerinde ve hedeflerinde stratejik bir evrim gözlemiyoruz. Tespit edildikten sonra güncellenmiş zararlı yazılım varyantlarını olağanüstü bir hızla dağıtabiliyorlar. Bu da tehdit ortamını reaktiften neredeyse gerçek zamanlı mücadeleye dönüştürüyor." Eski bir Microsoft Office açığına (CVE-2017-11882) dayanmasına rağmen SideWinder, tespit edilmekten kaçınmak için araç setinde hızlı değişikliklerden yararlanıyor. Nükleer altyapıyı hedef alan grup, düzenleyici veya tesise özgü konularla ilgiliymiş gibi görünen ikna edici kimlik avı e-postaları hazırlıyor. Bu belgeler açıldığında, saldırganlara nükleer tesislerin operasyonel verilerine, araştırma projelerine ve personel ayrıntılarına erişim sağlayabilecek bir zincir başlatıyor. Kaspersky, güvenlik açığı yönetimi çözümleri, erken aşama saldırı önleme, otomatik yanıtlı gerçek zamanlı tehdit algılama ve SideWinder'ın gelişen kötü amaçlı yazılımlarına uygun olarak sürekli güncellenen algılama kuralları dahil olmak üzere, birden fazla güvenlik katmanı aracılığıyla kurumları bu tür saldırılardan koruyor. SideWinder'ın son operasyonlarının tam teknik analizi Securelist.com adresinde bulabilirsiniz. Kaspersky güvenlik uzmanları, kurumların kritik altyapılarını sofistike hedefli saldırılara karşı korumalarına yardımcı olmak için aşağıdakileri öneriyor:
- Kapsamlı yama yönetimi uygulayın. Kaspersky Güvenlik Açığı Değerlendirmesi ve Yama Yönetimi, altyapınızdaki güvenlik açıklarını ortadan kaldırmak için otomatik güvenlik açığı tespiti ve yama dağıtımı sağlar.
- Gerçek zamanlı tehdit algılama özelliklerine sahip çok katmanlı güvenlik çözümlerini yaygınlaştırın. Kaspersky Next XDR Expert, etkili tehdit tespiti ve karmaşık saldırılara otomatik yanıt için makine öğrenimi teknolojilerini kullanarak birden fazla kaynaktan gelen verileri toplar ve ilişkilendirir.
- Çalışanlar için düzenli olarak siber güvenlik farkındalık eğitimleri düzenleyin ve özellikle sofistike oltalama girişimlerini tanımaya odaklanın.
