APT29
APT29'un geçmiş yıllarda birçok takma adı olmuştur: IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Cloaked Ursa ve son olarak Midnight Blizzard. Peki bunlar kim ve nasıl faaliyet gösteriyorlar? Şirketinizi onlardan en iyi şekilde korumak için bunu çözelim.
APT29'un Kökeni
APT29'un Rus hükümetinin Dış İstihbarat Servisi (SVR) ile bağlantılı olduğuna inanılıyor ve bu da devlet destekli siber faaliyetlere işaret ediyor.
Grup, teknik disiplini, karmaşıklığı ve savunmacı BT güvenlik taktiklerine uyum sağlama becerisiyle tanınıyor.
APT29 2008'den beri aktiftir ve Pentagon'un ağını ihlal etmek, Demokratik Ulusal Komite sunucularını tehlikeye atmak ve halka açık IP adreslerinde güvenlik açığı taraması yapmak gibi önemli operasyonlar gerçekleştirmiştir.
APT29'un 2021'deki SolarWinds Compromise ve Ocak 2024'te Microsoft'a yapılan saldırıdan sorumlu olduğuna inanılıyor.
Resim: Raymond Andrè Hagen
APT29 tarafından hedef alınan ülkeler
APT29 Avrupa ve NATO üyesi ülkelerdeki hükümet ağlarını hedef almakta ve burada firmalara ve düşünce kuruluşlarına karşı siber casusluk faaliyetlerinde bulunmaktadır.
Kaynak: MITRE & SOCradar
APT29 Tarafından Hedeflenen Sektörler
APT29'un başlıca hedefleri arasında hükümetler, siyasi kuruluşlar, araştırma firmaları ve Enerji gibi kritik sektörler yer almaktadır, sağlık hizmetleri, eğitim, Finans ve teknoloji.
APT29'un Saldırı Yöntemi
APT29, halka açık uygulamalardaki güvenlik açıklarından yararlanır ve hedef ağlara giriş yapmak için kötü niyetli bağlantılar veya eklerle kimlik avı yapar.
Ayrıca, daha geniş erişim için güvenilir ilişkilerden yararlanmak üzere BT ve yönetilen hizmet sağlayıcılarını da tehlikeye attılar.
Grup, Kullanıcı Hesabı Denetimi'ni (UAC) atlamak ve yükseltilmiş ayrıcalıklar için yazılım açıklarından yararlanmak için teknikler kullanmaktadır.
Bu, operasyonlarının derinliği ve gizliliği için kritik olan daha yüksek erişim seviyelerine sahip kod çalıştırmalarını sağlar.
APT29, fark edilmemek için güvenlik araçlarını ve güvenlik duvarı ayarlarını devre dışı bırakma veya değiştirme konusunda ustadır.
Varlıklarını ve faaliyetlerini gizlemek için yazılım paketleme ve kötü amaçlı dosyaları meşru isimlerle maskeleme gibi şaşırtma teknikleri kullanırlar.
Grup, hesaplara ve kimlik bilgilerine erişmek ve bunları manipüle etmek için kaba kuvvet saldırıları ve tarayıcılardan kimlik bilgilerini çalma ya da şifre boşaltma gibi çeşitli yöntemler kullanmaktadır.
Kaynaklar üzerinde erişim ve kontrol sağlamak için bulut ve e-posta hesaplarını manipüle ederler.
APT29, ağ yapılandırmaları, etki alanı hesapları ve dahili kaynaklar hakkında bilgi toplamak için araçlar ve komut dosyaları kullanarak kapsamlı keşif işlemleri gerçekleştirir.
Bu, değerli hedefleri belirlemek için uzak sistemleri, etki alanı gruplarını ve izin gruplarını numaralandırmayı içerir.
APT29, ele geçirilmiş kimlik bilgilerini kullanarak ve hesap izinlerini manipüle ederek ağlar arasında hareket eder ve kısıtlı alanlara erişir.
Tehlikeli ortamlarda sorunsuz gezinme için uzak hizmetlerden, proxy tekniklerinden ve yönetici hesaplarından yararlanırlar.
Grup, hassas bilgi havuzlarını, e-posta hesaplarını ve yerel sistem verilerini ayıklamayı hedefliyor.
Değerli istihbarat ve özel bilgilere odaklanarak, sızıntı için verileri aşamalandırmak, sıkıştırmak ve güvenli hale getirmek için yöntemler kullanırlar.
APT29, çeşitli komut dosyası yorumlayıcıları ve komut satırı yardımcı programları kullanarak güvenliği ihlal edilmiş ağlar üzerinden komutları ve yükleri yürütür.
malware adresini dağıtmak ve ağlar üzerindeki kontrollerini artırmak için uzak hizmetleri ve zamanlanmış görevleri kullanırlar.
Veriler, çalınan verilerin ağ dışına güvenli bir şekilde aktarılmasını sağlayacak yöntemler kullanılarak şifrelenmiş kanallar üzerinden dışarıya sızdırılır.
APT29 verileri parola korumalı arşivlere yerleştirir ve veri aktarımı için web protokollerini kullanarak gizlilik ve güvenliği vurgular.
Grubun faaliyetleri önemli ölçüde veri hırsızlığına, casusluğa ve kritik sistemlerin potansiyel olarak kesintiye uğramasına yol açabilir.
Etki alanı güven ayarlarını değiştirerek ve verileri manipüle eden veya şifreleyen malware adresini dağıtarak APT29, sistem bütünlüğünü ve kullanılabilirliğini zayıflatarak ulusal güvenlik ve kurumsal operasyonlar için ciddi riskler oluşturmaktadır.
APT29, halka açık uygulamalardaki güvenlik açıklarından yararlanır ve hedef ağlara giriş yapmak için kötü niyetli bağlantılar veya eklerle kimlik avı yapar.
Ayrıca, daha geniş erişim için güvenilir ilişkilerden yararlanmak üzere BT ve yönetilen hizmet sağlayıcılarını da tehlikeye attılar.
Grup, Kullanıcı Hesabı Denetimi'ni (UAC) atlamak ve yükseltilmiş ayrıcalıklar için yazılım açıklarından yararlanmak için teknikler kullanmaktadır.
Bu, operasyonlarının derinliği ve gizliliği için kritik olan daha yüksek erişim seviyelerine sahip kod çalıştırmalarını sağlar.
APT29, fark edilmemek için güvenlik araçlarını ve güvenlik duvarı ayarlarını devre dışı bırakma veya değiştirme konusunda ustadır.
Varlıklarını ve faaliyetlerini gizlemek için yazılım paketleme ve kötü amaçlı dosyaları meşru isimlerle maskeleme gibi şaşırtma teknikleri kullanırlar.
Grup, hesaplara ve kimlik bilgilerine erişmek ve bunları manipüle etmek için kaba kuvvet saldırıları ve tarayıcılardan kimlik bilgilerini çalma ya da şifre boşaltma gibi çeşitli yöntemler kullanmaktadır.
Kaynaklar üzerinde erişim ve kontrol sağlamak için bulut ve e-posta hesaplarını manipüle ederler.
APT29, ağ yapılandırmaları, etki alanı hesapları ve dahili kaynaklar hakkında bilgi toplamak için araçlar ve komut dosyaları kullanarak kapsamlı keşif işlemleri gerçekleştirir.
Bu, değerli hedefleri belirlemek için uzak sistemleri, etki alanı gruplarını ve izin gruplarını numaralandırmayı içerir.
APT29, ele geçirilmiş kimlik bilgilerini kullanarak ve hesap izinlerini manipüle ederek ağlar arasında hareket eder ve kısıtlı alanlara erişir.
Tehlikeli ortamlarda sorunsuz gezinme için uzak hizmetlerden, proxy tekniklerinden ve yönetici hesaplarından yararlanırlar.
Grup, hassas bilgi havuzlarını, e-posta hesaplarını ve yerel sistem verilerini ayıklamayı hedefliyor.
Değerli istihbarat ve özel bilgilere odaklanarak, sızıntı için verileri aşamalandırmak, sıkıştırmak ve güvenli hale getirmek için yöntemler kullanırlar.
APT29, çeşitli komut dosyası yorumlayıcıları ve komut satırı yardımcı programları kullanarak güvenliği ihlal edilmiş ağlar üzerinden komutları ve yükleri yürütür.
malware adresini dağıtmak ve ağlar üzerindeki kontrollerini artırmak için uzak hizmetleri ve zamanlanmış görevleri kullanırlar.
Veriler, çalınan verilerin ağ dışına güvenli bir şekilde aktarılmasını sağlayacak yöntemler kullanılarak şifrelenmiş kanallar üzerinden dışarıya sızdırılır.
APT29 verileri parola korumalı arşivlere yerleştirir ve veri aktarımı için web protokollerini kullanarak gizlilik ve güvenliği vurgular.
Grubun faaliyetleri önemli ölçüde veri hırsızlığına, casusluğa ve kritik sistemlerin potansiyel olarak kesintiye uğramasına yol açabilir.
Etki alanı güven ayarlarını değiştirerek ve verileri manipüle eden veya şifreleyen malware adresini dağıtarak APT29, sistem bütünlüğünü ve kullanılabilirliğini zayıflatarak ulusal güvenlik ve kurumsal operasyonlar için ciddi riskler oluşturmaktadır.
APT29 tarafından kullanılan TTP'ler
APT29 ile Nasıl Tespit Edilir Vectra AI
Sıkça Sorulan Sorular
Kuruluşlar APT29'un faaliyetlerini nasıl tespit edebilir?
APT29'u tespit etmek, taviz'un ince işaretlerini belirleyebilen gelişmiş tehdit tespit çözümleri gerektirir. Vectra AI gibi yapay zeka odaklı bir tehdit tespit platformu, APT29 operasyonlarının karakteristiği olan gizli kalıpları ve kötü niyetli davranışları ortaya çıkarmaya yardımcı olabilir.
APT29'dan en çok hangi sektörler risk altında?
APT29, özellikle hükümet, diplomatik, düşünce kuruluşu, sağlık ve enerji sektörlerine odaklanarak geniş bir endüstri yelpazesini hedeflemektedir. Bu sektörlerdeki kuruluşlar özellikle dikkatli olmalıdır.
APT29 ağlara ilk erişimi nasıl elde ediyor?
APT29 genellikle kötü niyetli ekler veya bağlantılar içeren kimlik avı yöntemini kullanır, halka açık uygulamalardaki güvenlik açıklarından yararlanır ve hedeflenen ağlara ilk erişimi elde etmek için güvenliği ihlal edilmiş kimlik bilgilerinden yararlanır.
APT29 izinsiz girişine yönelik bir müdahale planına neler dahil edilmelidir?
Müdahale planı, etkilenen sistemlerin derhal izole edilmesini, ihlalin kapsamını belirlemek için kapsamlı bir araştırmayı, cybercriminels araçlarının ve erişiminin ortadan kaldırılmasını ve güvenlik duruşlarını geliştirmek ve gelecekteki ihlalleri önlemek için kapsamlı bir incelemeyi içermelidir.
APT29 ele geçirilmiş bir ağda kalıcılığını nasıl koruyor?
APT29, otomatik başlatma yürütmesi için kayıt defteri anahtarları eklemek, meşru komut dosyalarını ele geçirmek ve kalıcılığı sürdürmek için güvenliği ihlal edilmiş sunucularda web kabukları oluşturmak gibi teknikler kullanır.
APT29 ile ilişkili belirli araçlar veya malware var mı?
APT29'un Python'da yazılmış SUNBURST, TEARDROP ve malware dahil ancak bunlarla sınırlı olmamak üzere çeşitli özel araçlar ve malware kullandığı bilinmektedir. Ayrıca kimlik bilgisi hırsızlığı için Mimikatz gibi araçlar da kullanmaktadırlar.
APT29'a karşı korunmak için en iyi strateji nedir?
APT29'ye karşı koruma, güvenlik açıklarının düzenli olarak yamalanmasını, sağlam uç nokta korumasını, phishing farkındalığı konusunda çalışan eğitimini ve gelişmiş tehdit tespit ve müdahale araçlarının konuşlandırılmasını içeren çok katmanlı bir güvenlik stratejisini içerir.
APT29'un faaliyetleri belirli siber kampanyalarla ilişkilendirilebilir mi?
Evet, APT29, SolarWinds Orion yazılım tedarik zinciri de dahil olmak üzere birçok yüksek profilli siber casusluk kampanyasıyla bağlantılıdır taviz. Rus hükümetinin stratejik çıkarlarıyla örtüşen kuruluşları sürekli olarak hedef almışlardır.
APT29 tespit edilmekten nasıl kaçıyor ve bu tekniklere karşı ne yapılabilir?
APT29, güvenlik araçlarını devre dışı bırakmak, malware adresini gizlemek ve iletişim için şifreli kanallar kullanmak gibi çeşitli savunma atlatma teknikleri kullanmaktadır. Karşı önlemler arasında, ince ve karmaşık tehdit davranışlarını tespit edip bunlara yanıt verebilen yapay zeka odaklı tehdit tespit platformlarının kullanılması, ağ genelinde görünürlüğün artırılması ve anormal faaliyetlerin sürekli olarak izlenmesi yer almaktadır.
APT29 ihlalinin sonuçları nelerdir?
Bir APT29 ihlali, önemli istihbarat ve veri kaybına, casusluğa ve kritik altyapıların potansiyel olarak bozulmasına yol açabilir. APT29'dan etkilenen kuruluşlar itibar kaybı, mali kayıp ve hassas ulusal güvenlik bilgilerinin taviz potansiyeliyle karşı karşıyadır.