elamun aleyküm öncelikle arkadaşlar. bu yazımda APT gruplarından bahsedeğim bildiğim kadarı ile, bunu yazarken zamanım kısıtlı olduğu için emoji kulllanamayacağım maalesef, karadüzen olucak biraz ama bildiğim kadarını buraya aktarmak isterim en azından sizinle de paylaşmak üzere.uzatmadan başlayalım. Bu son cümleyi sonradan ekliyorum, en önemlileri anlatıp geçicem sanırım zaman iyice az gibi.
APT NEDİR VE NEDEN ÖNEMLİDİR: Açılışı Advanced Persistent Threat olan APT kavramı, devlet destekli veya organize suç gruplarının belirli bir hedefe karşı yürüttüğü uzun süreli ve gelişmiş operasyonlar olarak tanımlayabiliriz. Amaçlar daha çok para, jeopolitik etki, caydırıcılık veya hactivistlik gibi sebeplerle tanımlanabilir. APT operasyonlarını diğer operasyonlardan ayıran en önemli özellik ise zero day açıkları ve özel C2 altyapısı, OPSEC disiplini ve çok aşamalı saldırı zinclrierinin bulunması, uzun süre dahi hedefe birşey yapmasa bile hedef ağda farkedilmeden kalabilmeleridir ve en önemli özellikleri de çoğunun devlet sponsorluğunda olmasıdır. Gruplara geçmeden önce biraz önemli MITRE saldırı çerçevesinden bahsedeceğim biraz.
MITRE ATT&CK ÇERÇEVESİ TEMEL KAVRAM VE KONSEPTLER:
TA0043: hedef hakkında bilgi toplama
TA0042: altyapı ve araç geliştirme
TA0001: hedefe ilk giriş
TA0002: kod yürütme
TA0003: kalıcılık sağlama
TA0004: Yetki yükseltme
TA0005: güvenlik önlemlerini atlatma
TA0006: kimlik bilgisi elde etme
TA0007: ağ keşfi
TA0008: lateral movement
TA0009: veri toplama
TA0010: Command and kontrol(C2)
TA0040: Yıkım ve etki(pek kullanılmaz)
Not: Şunuda ek bilgi olarak eklemek isterim ki "Prosedürler" belirli bir tehtid aktörünün bir tekniği nasıl uyguladığına dair somut ve belgelenmiş örneklerdir.
neyse geçiyorum gruplara,
APT28: Rusya menşeyli gruplardan biri olup GRU yani rus askeri istihbarat teşkilatı tarafından sponsorize edilmektedir. En az 20004 ten beri aktiftir ve Fancy bear,sofacy, yanlış değilsem STRONTIUM,Tsar Team gibi diğer isimleri de bulunur. NATO üyeleri, AVrupa hükumetleri, askeri kurumlar gibi yerleri hedef alır çoğunlukla. X-Agent, X-Tunnel, LoJax UEFI rootkıt gibi hepimizin bildiği saldırıları ve yazılımları gerçekleştirmişlerdir. Spear-phishing, zero day istismarı, watering hole saldırısı, UEFI firmware manipülasyonu gibi teknikler kullanır genellikle.Altyapı olarak ise özel C2 altyapısı, VPN zincirleri, ele geçirilmiş web sunucuları gibi şeylere sahiptirler.
2016 abd seçim müdahalesi, 2015 ALman Bundestag saldırısı, WADA veri sızıntısı ve 2007 fransa seçim müdahalesi gibi operasyonlarıyla öne çıkmaktadırlar. Rus askeri istihbaratının 85.Ana Özel Servis merkezine bağlı olduğu düşünülmektedir ancak net bir bilgi yoktur ortada.
APT29: Yine Rusya menşıyalı bir APT grubudur ve SVR yani rusya dış istihbaratı tarafından sponsorize edilmektedir. En az 2008 den beri aktiflerdir. Cozy bears, The DUkes(zaten birçok saldırılarının isminde duke geçer), NOBELIUM, Dark Halo gibi diğer isimleriyle tanınır. Batı hükumetleri, teknoloji şirketleri, sağlık kurumları gibi yerleri hedef alır. CozyDUke, MiniDuke, CloudDUke gibi birçok duke ile biten saldırısı vardır ancak en büyük operasyonları şuana kadar SolarWinds Orion tedarik zinciri saldırısıdır, 18k+ kurum etkilenmiştir. 2016 DNC saldırısını da APT28 ile birlikte ortak yürütmüşlerdir. en yakın tarih operasyonları ise Microsoft kurumsal e-postalarını 2024 te ele geçirmiş olmalarıdır. Sabırlı ve uzun süreli operasyonları ile öne çıkmışlardır, daha çok casusluk üzerine yoğunlaşmışlardır. HA demeyi unutmuşum altyapı olarak Bulut servisleri, Tor ağları, meşru hizmetler üzerinden C2 kullanırlar.
SANDWORM: yine Rusyaya bağlı bir APT grubudur ve rusyanın GRU Unit 74455 birimine bağlıdır.2009 dan beri aktiflerdir. en bilinen diğer isimleri Voodoo Bear'dır. Genellikle Kritik altyapılar, ukrayna hükumeti, medya kuruluşlarını hedef alırlar. Tüm zamanların En Yıkıcı Siber saldırısı olan NotPetya'yı gerçekleştirmişlerdir(zaman bulabilirsem bu saldırının anatomisini ve analizini de hazırlayacağım) gerçekleştirmişlerdir. 2015 Ukrayna elektrik kesintisi, 2016 UKrayna elektrik altyapı saldırısı gibi bilinen saldırıları bulunur. Bana kalırsa ICS sistemlerine odaklı oldukları için aktif olarak dünyanın en yıkım potansiyeli yüksek APT grubudur. Altyapı olarak LOTOS, ele geçirilmiş yönlendiriciler ve tor hidden servislerine sahiptirler.
TURLA: Rusya menşiyalı APT gruplarından biri olup Rusya Federal Güvenlik Servisine bağlıdır. 1996 den beri aktiftir ve bilinen en eski APT gruplarından biridir. KRYPTON ve İron hunter gibi farklı isimleri de bulunur. Orta Doğu ve Orta Asya hükumetleri, Savunma bakanlıkları, istihbarat ajanları gibi hedefleri ele alır. ComRAT, HyperStack, TinyTurla bilinen zararlı yazılımlarından bazılarıdır. DNS hacking, living off the land, watering hole gibi TTP ler kullanır. Altyapı olarak ise ele geçirilmiş web sitelerini hatırlıyorum sadece, üşendim şimdi bakmaya. 2008 Pentagon USB worm, Uygu interneti C2 ve 2023 Ukrayna/ABD diplomatik casusluğu bilinen önemli saldırılarındandır.
APT41: Double Dragon gibi diğer isimleriyle bilinir, devlete bağlı olduğu öngörülür de... bunların biraz farklı bir geleneği var.Mesai saatlerinde casusluk yaparken gece mesai dışı saatlerinde ise ceplerini doldurmak için ransomware ile video oyun şirketlerine ve kripto para platformlarına saldırırlar. Double Dragon ismi de buradan gelir. Hedefleri daha çok Sektörler ve oyun camiasıdır ve Supply chain gibi ataklar kullanır. Meşru araçları kullanma ve sertifika hırsızlığı da yaparlar. En öne çıktıkları diğer bir özellik te dünyada yeni bir sıfır gün açığı çıktığı zaman APT41 bu açığı en hızlı şekilde kendi bünyesine katan gruplardan biridir.
VOLT TYPHOON: Çin merkezli ve PRC Devlet aktörleri tarafından sponsorize edilmektedir. Pek eski bir grup değildir aslında, 2021'den beri aktiftir en az. ABD kritik altyapısını hedef almasıyla bilinir. Living off the land, SOHO cihaz ele geçirme, kimlik bilgisi hervenstingleme, VPN tünelleme, ağ keşfi gibi teknikler kullanır. Altyapı olarak genellikle ele geçirilmiş SOHO cihazlar ve meşru bulut hizmetleri kullanırlar.
APT38(Namı değer Lazarus): Kuzey Kore menşıyalı APT grubudur. RGB tarafından sponsorize edilir. 2009 dan beri aktiftir. finansal kolu APT38'dir. Finansal kurumlar, kripto para borsaları, savunma ve havacılık, medya, kritik altyapı, DeFi protokollerini hedef alır. WANNACRY, FASTCASH, HOPLİGHT gibi saldırıları gerçekleştirmişlerdir. SWIFT sistemlerine saldırı, kripto para hırsızlığı, fake iş ilanları, wiper malware gibi teknikler kullanır. Altyapı olarak Kripto para karıştırıcıları, çoklu proxy zincirleri ve coğrafi dağıtık altyapıları bulunur.2014 Sony Pictures saldırısı, 2016 Bangladesh Merkez Banka soygunu(81 milyon dolar), WannaCry ransomware atack(2017 de 150 ülke etkilendi) diye devam edersek say say bitmez bunların operasyonları ancak en bilindikleri bunlardır. Söz yok vallaha. Aynı zamanda şuan halen daha dünyanın en aktif APT grubudur.
KAYNAKÇALAR:
*MITRE ATT&CK Framework
*CISA Advisories
*Google Threat İntelligence
*CrowdStrike Adversary Universe
*Microsoft MSTIC Blog
*UNit 42 Threat İntelligence
*Recorded Future İntelligence Cloud
*MITRE D3FEND
*TheRecord.media
Müsait olduğum bir zaman Hindistan ve İran menşıyalı gruplara da değinirim başka bir yazıda.
APT NEDİR VE NEDEN ÖNEMLİDİR: Açılışı Advanced Persistent Threat olan APT kavramı, devlet destekli veya organize suç gruplarının belirli bir hedefe karşı yürüttüğü uzun süreli ve gelişmiş operasyonlar olarak tanımlayabiliriz. Amaçlar daha çok para, jeopolitik etki, caydırıcılık veya hactivistlik gibi sebeplerle tanımlanabilir. APT operasyonlarını diğer operasyonlardan ayıran en önemli özellik ise zero day açıkları ve özel C2 altyapısı, OPSEC disiplini ve çok aşamalı saldırı zinclrierinin bulunması, uzun süre dahi hedefe birşey yapmasa bile hedef ağda farkedilmeden kalabilmeleridir ve en önemli özellikleri de çoğunun devlet sponsorluğunda olmasıdır. Gruplara geçmeden önce biraz önemli MITRE saldırı çerçevesinden bahsedeceğim biraz.
MITRE ATT&CK ÇERÇEVESİ TEMEL KAVRAM VE KONSEPTLER:
TA0043: hedef hakkında bilgi toplama
TA0042: altyapı ve araç geliştirme
TA0001: hedefe ilk giriş
TA0002: kod yürütme
TA0003: kalıcılık sağlama
TA0004: Yetki yükseltme
TA0005: güvenlik önlemlerini atlatma
TA0006: kimlik bilgisi elde etme
TA0007: ağ keşfi
TA0008: lateral movement
TA0009: veri toplama
TA0010: Command and kontrol(C2)
TA0040: Yıkım ve etki(pek kullanılmaz)
Not: Şunuda ek bilgi olarak eklemek isterim ki "Prosedürler" belirli bir tehtid aktörünün bir tekniği nasıl uyguladığına dair somut ve belgelenmiş örneklerdir.
neyse geçiyorum gruplara,
APT28: Rusya menşeyli gruplardan biri olup GRU yani rus askeri istihbarat teşkilatı tarafından sponsorize edilmektedir. En az 20004 ten beri aktiftir ve Fancy bear,sofacy, yanlış değilsem STRONTIUM,Tsar Team gibi diğer isimleri de bulunur. NATO üyeleri, AVrupa hükumetleri, askeri kurumlar gibi yerleri hedef alır çoğunlukla. X-Agent, X-Tunnel, LoJax UEFI rootkıt gibi hepimizin bildiği saldırıları ve yazılımları gerçekleştirmişlerdir. Spear-phishing, zero day istismarı, watering hole saldırısı, UEFI firmware manipülasyonu gibi teknikler kullanır genellikle.Altyapı olarak ise özel C2 altyapısı, VPN zincirleri, ele geçirilmiş web sunucuları gibi şeylere sahiptirler.
2016 abd seçim müdahalesi, 2015 ALman Bundestag saldırısı, WADA veri sızıntısı ve 2007 fransa seçim müdahalesi gibi operasyonlarıyla öne çıkmaktadırlar. Rus askeri istihbaratının 85.Ana Özel Servis merkezine bağlı olduğu düşünülmektedir ancak net bir bilgi yoktur ortada.
APT29: Yine Rusya menşıyalı bir APT grubudur ve SVR yani rusya dış istihbaratı tarafından sponsorize edilmektedir. En az 2008 den beri aktiflerdir. Cozy bears, The DUkes(zaten birçok saldırılarının isminde duke geçer), NOBELIUM, Dark Halo gibi diğer isimleriyle tanınır. Batı hükumetleri, teknoloji şirketleri, sağlık kurumları gibi yerleri hedef alır. CozyDUke, MiniDuke, CloudDUke gibi birçok duke ile biten saldırısı vardır ancak en büyük operasyonları şuana kadar SolarWinds Orion tedarik zinciri saldırısıdır, 18k+ kurum etkilenmiştir. 2016 DNC saldırısını da APT28 ile birlikte ortak yürütmüşlerdir. en yakın tarih operasyonları ise Microsoft kurumsal e-postalarını 2024 te ele geçirmiş olmalarıdır. Sabırlı ve uzun süreli operasyonları ile öne çıkmışlardır, daha çok casusluk üzerine yoğunlaşmışlardır. HA demeyi unutmuşum altyapı olarak Bulut servisleri, Tor ağları, meşru hizmetler üzerinden C2 kullanırlar.
SANDWORM: yine Rusyaya bağlı bir APT grubudur ve rusyanın GRU Unit 74455 birimine bağlıdır.2009 dan beri aktiflerdir. en bilinen diğer isimleri Voodoo Bear'dır. Genellikle Kritik altyapılar, ukrayna hükumeti, medya kuruluşlarını hedef alırlar. Tüm zamanların En Yıkıcı Siber saldırısı olan NotPetya'yı gerçekleştirmişlerdir(zaman bulabilirsem bu saldırının anatomisini ve analizini de hazırlayacağım) gerçekleştirmişlerdir. 2015 Ukrayna elektrik kesintisi, 2016 UKrayna elektrik altyapı saldırısı gibi bilinen saldırıları bulunur. Bana kalırsa ICS sistemlerine odaklı oldukları için aktif olarak dünyanın en yıkım potansiyeli yüksek APT grubudur. Altyapı olarak LOTOS, ele geçirilmiş yönlendiriciler ve tor hidden servislerine sahiptirler.
TURLA: Rusya menşiyalı APT gruplarından biri olup Rusya Federal Güvenlik Servisine bağlıdır. 1996 den beri aktiftir ve bilinen en eski APT gruplarından biridir. KRYPTON ve İron hunter gibi farklı isimleri de bulunur. Orta Doğu ve Orta Asya hükumetleri, Savunma bakanlıkları, istihbarat ajanları gibi hedefleri ele alır. ComRAT, HyperStack, TinyTurla bilinen zararlı yazılımlarından bazılarıdır. DNS hacking, living off the land, watering hole gibi TTP ler kullanır. Altyapı olarak ise ele geçirilmiş web sitelerini hatırlıyorum sadece, üşendim şimdi bakmaya. 2008 Pentagon USB worm, Uygu interneti C2 ve 2023 Ukrayna/ABD diplomatik casusluğu bilinen önemli saldırılarındandır.
APT41: Double Dragon gibi diğer isimleriyle bilinir, devlete bağlı olduğu öngörülür de... bunların biraz farklı bir geleneği var.Mesai saatlerinde casusluk yaparken gece mesai dışı saatlerinde ise ceplerini doldurmak için ransomware ile video oyun şirketlerine ve kripto para platformlarına saldırırlar. Double Dragon ismi de buradan gelir. Hedefleri daha çok Sektörler ve oyun camiasıdır ve Supply chain gibi ataklar kullanır. Meşru araçları kullanma ve sertifika hırsızlığı da yaparlar. En öne çıktıkları diğer bir özellik te dünyada yeni bir sıfır gün açığı çıktığı zaman APT41 bu açığı en hızlı şekilde kendi bünyesine katan gruplardan biridir.
VOLT TYPHOON: Çin merkezli ve PRC Devlet aktörleri tarafından sponsorize edilmektedir. Pek eski bir grup değildir aslında, 2021'den beri aktiftir en az. ABD kritik altyapısını hedef almasıyla bilinir. Living off the land, SOHO cihaz ele geçirme, kimlik bilgisi hervenstingleme, VPN tünelleme, ağ keşfi gibi teknikler kullanır. Altyapı olarak genellikle ele geçirilmiş SOHO cihazlar ve meşru bulut hizmetleri kullanırlar.
APT38(Namı değer Lazarus): Kuzey Kore menşıyalı APT grubudur. RGB tarafından sponsorize edilir. 2009 dan beri aktiftir. finansal kolu APT38'dir. Finansal kurumlar, kripto para borsaları, savunma ve havacılık, medya, kritik altyapı, DeFi protokollerini hedef alır. WANNACRY, FASTCASH, HOPLİGHT gibi saldırıları gerçekleştirmişlerdir. SWIFT sistemlerine saldırı, kripto para hırsızlığı, fake iş ilanları, wiper malware gibi teknikler kullanır. Altyapı olarak Kripto para karıştırıcıları, çoklu proxy zincirleri ve coğrafi dağıtık altyapıları bulunur.2014 Sony Pictures saldırısı, 2016 Bangladesh Merkez Banka soygunu(81 milyon dolar), WannaCry ransomware atack(2017 de 150 ülke etkilendi) diye devam edersek say say bitmez bunların operasyonları ancak en bilindikleri bunlardır. Söz yok vallaha. Aynı zamanda şuan halen daha dünyanın en aktif APT grubudur.
KAYNAKÇALAR:
*MITRE ATT&CK Framework
*CISA Advisories
*Google Threat İntelligence
*CrowdStrike Adversary Universe
*Microsoft MSTIC Blog
*UNit 42 Threat İntelligence
*Recorded Future İntelligence Cloud
*MITRE D3FEND
*TheRecord.media
Müsait olduğum bir zaman Hindistan ve İran menşıyalı gruplara da değinirim başka bir yazıda.
Moderatörün son düzenlenenleri:
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
