APT(Advanced Persistent Threat) Nedir?

Gelişmiş Kalıcı Tehdit (Advanced Persistant Threat) bir kişi veya grubun bir ağa yetkisiz erişim sağladığı ve uzun bir süre boyunca algılanamadığı bilgisayar ağı saldırısıdır. Bu tür saldırılar genel olarak ticari veya politik amaç güden devlet sponsorluğu ile yapılan saldırılar olmasına rağmen, son birkaç yıl içerisinde devlet sponsorluğunda olmayan belirli hedeflere yönelik geniş çaplı APT saldırıları da yaşanmıştır.

Gelişmiş, grubun gelişmiş saldırı tekniklerini kullanma yeteneğine sahip olduğunu belirtir. Bu yetenekler, çeşitli siber saldırı ve istihbarat tekniklerini içerir. APT’ler devletlerin istihbarat birimleri tarafından desteklendiğinden bu grupların, istihbarat birimleri tarafından sağlanan çeşitli istihbarat toplama yetenekleri vardır. APT’lerin siber saldırı teknikleri ise birçok saldırı aracının bir arada kullanılması veya kendi saldırı araçlarının yapılmasını kapsar.

Kalıcı, APT’leri hack gruplarından veya diğer bireysel olarak saldırı düzenleyen hackerlardan ayıran tanımlamalardan biridir. Kalıcı demek, APT’lerin bir hedefe sızdıktan sonra onun sisteminde, istenilen bilgi alınana veya saldırı öncesi yapılması planlanan şey tamamlanana kadar kalması demektir. APT’ler her zaman imkanlar dahilinde hedef sistemde kalabildikleri kadar kalmaya çalışır zira onların amacı diğer hackerlar gibi sisteme rastgele zarar vermek değildir onların amacı operasyonun amacını yerine getirmektir.

Tehdit ise APT’lerin sahip oldukları tüm yetenekleriyle gerçekten bir tehdit olduğunu tanımlamaktadır. APT’ler devlet tarafından finanse edilmiş, yüksek motivasyona sahip ve hedeflerine ulaşana kadar kararlı bir şekilde çalışmaya devam eden gruplardır. İşte bu yüzden APT’ler, siber güvenlik uzmanları tarafından “tehdit” olarak tanımlanır.

APT grupları, sofistike siber saldırılar gerçekleştirebilecek hackerlardan oluşur. Bu gruplar, daha önceden kullanılmış saldırı tekniklerini kullanabilir veya bir “zero day” zafiyeti keşfederek daha önceden gerçekleştirilmemiş siber saldırılar ortaya çıkartabilir. Bu gruplar, askeri disiplin ve kararlılığa sahiptir. Askeri disipline sahip olmaları, onların hedeflerine saldırırken koordine olmalarını ve motivasyonlarının yüksek olmasını sağlar.

APT saldırılarındaki en büyük tehlike, keşfedilseler ve mevcut tehdit ortadan kalkmış gibi görünse bile korsanların, diledikleri zaman geri gelebilmek için birden fazla kapıyı açık bırakmış olmalarıdır. Ayrıca antivirüs ve güvenlik duvarları gibi birçok geleneksel siber savunma yöntemleri her zaman bu tür saldırılara karşı koruma sağlamaz. Bireysel saldırganlar, genellikle belirli bir hedefe erişim sağlamaya niyetli olsalar bile, hem gelişmiş hem de kalıcı olacak kaynaklara nadiren sahip olduklarından, bireylerin yaptıkları saldırılar genel olarak APT olarak adlandırılmazlar.

 

Tarihçe ve Hedefler

Devletlerin siyasi ve ticari kaygılarının bir sonucu olan savaşlar, 21. yüzyıl itibariyle siber ortama taşınmış durumda. Siber savaşların değişmez personelleri olan hackerlar ise devletlerin siber ordular kurmak istemesiyle bir araya getiriliyor. Devletlerin kendi içerisinde görev yapan personellerden (asker, istihbarat personeli gibi) veya devletten bağımsız olarak devlet ile çalışmak isteyen kişilerden oluşturulan gruplar ortaya çıkartılıyor.

“Gelişmiş Kalıcı Tehdit” terimi, 2006’da Albay Greg Rattray tarafından ABD Hava Kuvvetleri’nde ortaya çıkmıştır. Ancak APT terimi, yıllar önce telekomünikasyon taşıyıcılarında da kullanılmıştır.

İran’ın nükleer programının bilgisayar donanımını hedef alan Stuxnet zararlı yazılımını çoğu özellik bakımından APT’ye örnek olarak gösterilebilir ve İran hükümeti de Stuxnet’i gelişmiş kalıcı tehdit olarak tanımlamıştır. Fakat Stuxnet bazı kriterleri karşılamadığı için çoğu siber güvenlik kuruluşu tarafından APT olarak kabul edilmez.

Bilgisayar güvenliği topluluğu içinde ve medyada giderek artan bir şekilde APT terimi, neredeyse her zaman hükümetlere, şirketlere ve siyasi aktivistlere yönelik uzun vadeli gelişmiş bilgisayar saldırısı olarak kullanılmıştır. Artan siber saldırılardan dolayı, terim anlamını azda olsa bilgisayar korsanlığına kaydırmıştır. PC World, 2010’dan 2011’e kadar gelişmiş bilgisayar saldırılarının yüzde 81 oranında arttığını yayımlamıştır.

Birçok ülke, siber alanı, bireyler ve ilgili bireysel gruplar hakkında istihbarat toplamak için bir araç olarak kullanmıştır. Çok sayıda kaynak, bazı APT gruplarının, Egemen Devletlerin Hükümetleri’ne bağlı olduğunu veya acenteleri olduklarını iddia eder. Çok sayıda kişisel olarak tanımlanabilir bilgi içeren işletmeler, aşağıdakiler de dahil olmak üzere, gelişmiş sürekli tehditler tarafından hedef alınma riski altındadır.

Bazı ülkelerin bu gruplara daha fazla önem verdiği ve siber saldırılar düzenlediği bilinen bir gerçek. Siber güvenlik şirketleri tarafından şimdiye kadar tespit edilen çoğu APT grubunun Rusya, Çin, İran ve Kuzey Kore’ye ait olduğu bilinmektedir ve ayrıca ABD’nin de “tespit edilen” APT gruplarının olduğu bilinmektedir. Eğer şimdiye kadar tespit edilen APT grupları hakkında bilgi almak için https://attack.mitre.org/groups/G0073/ sitesini ziyaret edebilirsiniz.

 

APT(Advanced Persistent Threat) Yaşam Döngüsü

Gelişmiş sürekli tehditlerin arkasındaki aktörler, sürekli bir süreç ya da öldürme zincirini izleyerek
kuruluşların finansal varlıkları, fikri mülkiyetleri ve itibarları için artan ve değişen bir risk oluşturur:
1- Tekil bir hedef için belirli kuruluşları hedefleme
2- Çevrede bir yer edinme girişimi (ortak taktikler, oltalama saldırısı e-postaları içerir)
3- Tehdit altındaki sistemleri hedef ağa erişim olarak kullanma
4- Saldırı hedefini gerçekleştirmeye yardımcı olan ek araçlar kullanma
5- Gelecekteki inisiyatiflere erişimi korumak için izleri örtme

Günümüzde milyonlarca kötü amaçlı yazılımın olması, kurumların APT’ye karşı önlem almalarını oldukça zorlaştırmaktadır. Ancak, APT ile ilişkili ağ trafiği ve komut-kontrol trafiği, ağ katmanı düzeyindeki gelişmiş yöntemlerle algılanabilir. Örneğin, derin log analizleri ve çeşitli kaynaklardan gelen log korelasyonları APT aktivitelerini tespit etmede sınırlı bir fayda sağlayabilir. Ancak, bu yöntemlerinde hata payı oldukça yüksektir.

Özetle, günümüzdeki güvenlik teknolojileri APT saldırılarını tespit etmede veya önlemede etkisiz kalmıştır. Bunun yerine, Aktif Siber Savunma, yani rakip takip faaliyetleri, siber tehdit istihbaratlarının APT’lerin tespitinde ve takibinde (bul, düzelt, bitir) daha etkin bir yol olarak benimsenmiştir.

Kaynakça:

https://www.wikiwand.com/tr/Geli%C5%9Fmi%C5%9F_S%C3%BCrekli_Tehdit

https://hackpress.org/makale/guvenlik/apt-nedir

https://www.kaspersky.com.tr/resource-center/definitions/advanced-persistent-threats

https://attack.mitre.org/groups/

https://www.sans.org/blog/why-stuxnet-isnt-apt/

About The Author

Reply