Dünyanın En Güçlü APT Grubu: Equation
Siber dünyada iz bırakmış en sofistike tehdit aktörünün anatomisi
Siber dünyada iz bırakmış en sofistike tehdit aktörünün anatomisi
Giriş
Siber güvenlik dünyasında çok fazla "en tehlikeli" ya da "en gelişmiş" etiketi yapıştırılmış grup var. Bunların büyük çoğunluğu zamanla bu ünvanı hak etmediğini ispatlıyor. Equation Group ise farklı. Ona bu unvanı yapıştıranlar analistler değil, bizzat Kaspersky Lab'ın kendi araştırmacıları — hem de kapsamlı teknik kanıtlarla.
2015 yılında Kaspersky'nin yayımladığı araştırma raporu, sektörde şok etkisi yarattı. Raporda açıkça şu söylendi: Equation Group, şimdiye kadar tespit edilmiş en sofistike siber tehdit aktörüdür. Peki bu grupla ilgili bizi bu kadar rahatsız eden ne? Sadece yetenekleri mi? Yoksa yıllarca, hatta on yıllarca kimsenin farkına varamamış olması mı?
Equation Group Kimdir?
Kaspersky araştırmacıları bu gruba "Equation" adını, grubun kullandığı karmaşık şifreleme ve obfuscation tekniklerinden ilham alarak verdi. Matematiksel hassasiyetle yazılmış zararlı yazılımlar, onların imzası haline geldi. Equation Group'un ne zaman kurulduğu kesin olarak bilinmese de bazı implantlardaki kod izleri 1996'ya kadar geri gidiyor. Yani söz konusu aktör, interneti bugünkü haliyle pek çok insanın tanımadığı dönemde bile aktif durumdaydı.
Kaspersky'nin örtük biçimde — açıkça söylememekle birlikte — işaret ettiği kaynak ABD Ulusal Güvenlik Ajansı (NSA). Sonradan sızdırılan Shadow Brokers materyalleri ve Edward Snowden belgelerine bakıldığında bu bağlantı oldukça güçlü görünüyor. Ama Equation Group'u diğer devlet destekli gruplardan ayıran asıl mesele budur zaten: Olağanüstü kaynaklara sahip olmak onu bu noktaya taşımıyor. Asıl mesele, o kaynakların nasıl kullandığıdır.
Teknik Kabiliyet: Sadece Gelişmiş Değil, Sınıf Atlayan
Equation Group'u diğer APT aktörlerinden birkaç ışık yılı öne çıkaran en kritik özelliği, sabit disk yazılımlarını (firmware) reprogramlayabilme kapasitesidir. Bu, siber güvenlik tarihinde bir ilkti. Kaspersky analistleri, grubun Seagate, Western Digital, Toshiba, Samsung gibi markaların sabit disk firmware'ini değiştirebildiğini belgeledi.
Bunun ne anlama geldiğini biraz açalım: Firmware seviyesinde yerleşen bir zararlı, işletim sistemi formatlanmış olsa bile varlığını sürdürür. Diski silip Windows'u baştan yükleseniz bile, firmware katmanına gömülmüş olan kötü amaçlı kod orada kalmaya devam eder. Bu, geleneksel antivirüs araçlarının tespit bile edemeyeceği bir kalıcılık mekanizmasıdır. Adeta mülkü satın alıp tapusunu yakıyorsunuz, ev hâlâ onların.
Bunun ötesinde grup, EquationDrug ve GrayFish adlı iki modüler implant platformu geliştirmişti. GrayFish özellikle dikkat çekici: Windows'un önyükleme kaydına (MBR) gömülerek sistemin en derin katmanında faaliyet gösteriyordu. İmplantlar, iletişimlerini gizlemek için özel şifreli dosya sistemleri kullanıyor; hatta bazı durumlarda şifreli veri, sabit diskin gizli sektörlerine yazılıyordu. Kaspersky analistleri bu düzeyde bir mühendislik karşısında açıkça şaşkınlıklarını dile getirdi.
Fanny Solucanı ve Stuxnet Bağlantısı
Equation Group ile Stuxnet arasındaki bağ, ilk başta sezgisel bir çıkarım gibi görünüyordu. Ancak teknik analizler somut bir köprü kurdu: Fanny. Kaspersky'nin incelediği Fanny solucanı, Stuxnet'te de kullanılan iki sıfır-gün açığını Stuxnet'ten önce kullanmıştı. Bu, iki projenin aynı ortak silah deposuna erişimi olduğunu, dolayısıyla en azından kaynakları paylaştıklarını kuvvetle düşündürüyordu.
Fanny'nin özellikle ilginç olan yanı, hava boşluklu (air-gapped) sistemlere — yani internete fiziksel olarak bağlı olmayan makinelere — ulaşmak için USB bellekleri komuta-kontrol kanalı olarak kullanmasıydı. İnternete kapalı bir sisteme nasıl sızarsınız? Fiziksel erişim üzerinden. Fanny tam da bunu yapıyordu: USB'yi bir tür posta kutusu gibi kullanarak bilgi toplayıp komut alıyordu.
Hedefler: Kimler, Neden?
Equation Group'un hedef portföyü son derece seçici ve jeopolitik açıdan tutarlı. İran, Rusya, Pakistan, Afganistan, Çin, Suriye, Mali gibi ülkelerden askeri kurumlar, telekomünikasyon şirketleri, enerji altyapıları, finans kuruluşları, medya organları ve hükümet yapıları hedef alındı. İslami aktivistler ve akademisyenler de listede yer aldı.
Hedefleme şeklinin kendisi de bir mesaj veriyor: Bu, parola çalan ya da kredi kartı bilgisi toplayan sıradan bir siber suç grubu değil. Hedefleri stratejik, enfeksiyon vektörleri özenle kurgulanmış ve mümkün olduğunca düşük profil korunuyor. Yıllarca kimsenin dikkatini çekmemeleri tesadüf değil — bu, bilinçli bir operasyonel disiplinin sonucu.
Shadow Brokers: Equation'ın Silahları Çalındı mı?
2016-2017 yılları arasında Shadow Brokers adını kullanan anonim bir grup, NSA'e ait olduğu iddia edilen siber silahları internete sızdırmaya başladı. Yayımlanan materyallerin önemli bir kısmı, Kaspersky'nin daha önce Equation Group'a atfettiği araçlarla örtüşüyordu. Bu sızıntı iki anlama birden geliyordu: Birincisi, Equation Group-NSA bağlantısı neredeyse kesinleşti. İkincisi, bu kadar güçlü bir aktörün araçlarının ele geçirilmiş olması, siber istihbarat dünyası için ağır bir ders oldu.
Sızdırılan araçlar arasında EternalBlue de vardı. Bu istismar kodu, NSA'nın Windows'taki bir SMB açığını kullanmak için geliştirdiği bir silahtı. Shadow Brokers'ın sızdırmasından kısa süre sonra bu kod, WannaCry ve NotPetya saldırılarında kullanıldı. Yüz binlerce sistemi etkileyen, hastaneleri, fabrikaları, bankaları çökerten bu saldırıların temelinde Equation Group'un silah deposu yatıyordu.
Neden Hâlâ "En Güçlü" Diyoruz?
Siber güvenlik camiasında zaman zaman bu unvana itiraz geliyor: Cozy Bear daha mı tehlikeli, Lazarus Group daha mı etkili? Bu tartışmalar meşru. Ama Equation Group'u ayrı bir kategoriye yerleştiren birkaç nesnel kriter var.
Her şeyden önce, firmware seviyesinde kalıcılık sağlama kapasitesi bugüne kadar başka bir tehdit aktöründe belgelenmemişti. Bu, teknik çıtanın ciddi biçimde yukarı taşınması demek. İkincisi, grubun on yılı aşkın süre boyunca tespit edilemeden faaliyet sürdürmesi, operasyonel güvenlik anlayışının ne kadar olgun olduğunu gösteriyor. Üçüncüsü, birden fazla sıfır-gün açığını aynı anda kullanabilmeleri, arkalarında devasa bir araştırma-geliştirme kapasitesinin olduğuna işaret ediyor.
Buna ek olarak, Equation Group'un faaliyetleri salt izleme ya da veri çalmakla sınırlı değil. Stuxnet üzerinden fiziksel altyapıyı — İran'ın nükleer santrifüjlerini — bizzat tahrip ettikleri biliniyor. Bu, siber operasyonların fiziksel dünyaya doğrudan etki etmesinin tarihsel olarak tescillenmiş ilk örneği.
Sonuç
Equation Group, siber güvenlik tarihinin en önemli dönüm noktalarından birini temsil ediyor. Onları analiz etmek yalnızca geçmişe bakmak değil — bugün kullandığımız savunma anlayışını, tehdit modelleme yaklaşımlarını ve hatta uluslararası siber normlara ilişkin tartışmaları şekillendiren bir referans noktasını anlamak demek.
Bir siber tehdit aktörünü "güçlü" kılan ne yalnızca teknik yetenekleri, ne de arkasındaki bütçe. Asıl fark, bu ikisini disiplinli bir sabırla, uzun vadeli bir vizyonla birleştirme kapasitesindedir. Equation Group'un mirası, yalnızca sızdırılan silahlarda ya da Kaspersky raporunun sayfalarında yaşamıyor. Her yeni nesil gelişmiş kalıcı tehdit, onun kurduğu çıtayı hedefliyor.
Ve bu, bizi rahatsız etmeye devam edecek.
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
