İranlı APT Qrupu Xaos Haker Proqramı ilə Casusluq Edir

Hadisənin Xülasəsi

Kibertəhlükəsizlik tədqiqatçıları, İran hökuməti ilə əlaqəli olduğu düşünülən bir İnkişaf etmiş Davamlı Təhdid (APT) qrupunun həyata keçirdiyi yeni və aldadıcı bir kiberhücum kampaniyasını aşkar ediblər. İlk baxışda adi bir haker proqramı hücumu kimi görünən bu əməliyyatın, əslində hədəf alınan təşkilatlardan həssas məlumatları oğurlamaq və sonra rəqəmsal izləri məhv etmək üçün hazırlanmış bir kiber casusluq fəaliyyəti olduğu aydın olub. Təcavüzkarlar diqqəti yayındırmaq və əsl məqsədlərini gizlətmək üçün "Xaos" (Chaos) adlı bir haker proqramından qalxan kimi istifadə edirlər. Bu taktika, qurbanların və hadisəyə cavab qruplarının vəziyyəti yanlış qiymətləndirməsinə, dəyərli vaxtlarını haker proqramına yönəlmiş həllərə sərf etməsinə səbəb olur, APT qrupu isə arxa planda səssizcə hədəflərinə çatır.

Hücumun Texniki Tərəfi və Xaos Tələsi

Bu hücum, adi kiber cinayət fəaliyyətlərindən daha mürəkkəb və planlı bir quruluşa malikdir. Təcavüzkarların istifadə etdiyi üsullar, bir dövlət aktyorunun resurslarını və uzunmüddətli hədəflərini əks etdirir. Hücumun texniki mərhələləri və aldatma mexanizmi bunlardır:

• İnkişaf etmiş Davamlı Təhdid (APT) nədir? APT, adətən bir dövlət tərəfindən dəstəklənən, müəyyən hədəflərə qarşı uzunmüddətli və gizli kiberhücumlar təşkil edən qruplara verilən addır. Məqsədləri ani maliyyə qazancından daha çox, strateji, siyasi və ya hərbi üstünlük əldə etmək üçün casusluq etmək, kritik infrastrukturları sabotaj etmək və ya intellektual mülkiyyəti oğurlamaqdır.
• İlkin Giriş (Initial Access): İranlı APT qrupunun hədəflərinin şəbəkələrinə daxil olmaq üçün adətən internetə açıq, zəiflikləri olan serverlərdən və ya fişinq (phishing) e-poçtlarından istifadə etdiyi müşahidə edilib. Xüsusilə yenilənməmiş VPN xidmətləri, veb serverlər və ya uzaqdan giriş protokolları kimi zəif nöqtələri hədəf alaraq sistemə ilk addımı atırlar.
• Şəbəkə Daxilində Yayılma (Lateral Movement): Təcavüzkarlar, ilkin girişi təmin etdikdən sonra şəbəkə daxilində səssizcə hərəkət edərək daha çox səlahiyyətə malik hesabları ələ keçirməyə çalışırlar. Bu mərhələdə, idarəçi (administrator) səlahiyyətlərinə çatmaqla bütün şəbəkə üzərində nəzarəti ələ keçirməyi hədəfləyirlər.
• Məlumatların Sızdırılması (Data Exfiltration): Əsas hədəfləri olan həssas məlumatları (ticarət sirləri, dövlət sənədləri, şəxsi məlumatlar və s.) müəyyən etdikdən sonra, bu məlumatları gizlicə öz nəzarətlərindəki serverlərə köçürürlər. Bu proses adətən şifrələnmiş kanallar vasitəsilə və yavaş-yavaş həyata keçirilir ki, şəbəkə təhlükəsizlik sistemləri tərəfindən fərq edilməsin.
• Aldatma və Məhv Etmə Mərhələsi Xaos Haker Proqramı: Məlumatların sızdırılması başa çatdıqdan sonra, təcavüzkarlar son və ən aldadıcı addımı atırlar. Xaos adlı haker proqramını şəbəkədəki sistemlərə yayırlar. Ancaq burada vacib bir fərq var. Xaos, bu əməliyyatda ənənəvi bir haker proqramı kimi davranmır. Faylları geri qaytarıla bilməyəcək şəkildə şifrələmək və ya pozmaq üçün istifadə olunur. Yəni bir haker proqramından daha çox, bir məlumat silici (wiper) funksiyasını yerinə yetirir. Bu yolla təcavüzkarlar iki məqsədə çatırlar: birincisi, arxalarındakı izləri (log qeydləri, zərərli proqram qalıqları) məhv edirlər. İkincisi, hadisəni maliyyə motivasiyalı, adi bir kiber cinayət hadisəsi kimi göstərərək əsl məqsədləri olan dövlət dəstəkli casusluq fəaliyyətini gizlədirlər.

Təkcə Bir Haker Hücumu Deyil, Bir Kiber Casusluq Əməliyyatı

Bu hadisəni təhlükəli edən ən vacib amil, motivasiyanın pul olmamasıdır. Maliyyə məqsədli bir haker proqramı hücumunda, təcavüzkarların əsas məqsədi məlumatları geri vermək qarşılığında pul almaqdır. Lakin bu hadisədə, haker proqramı bir sis pərdəsi kimi istifadə olunur. Əsl məqsəd, strateji əhəmiyyətli məlumatları oğurlamaq və sonra hədəf təşkilata maksimum əməliyyat ziyanı vurmaqdır. Məlumatların məhv edilməsi, təşkilatın fəaliyyətini dayandıra, nüfuzuna xələl gətirə və ciddi iqtisadi itkilərə səbəb ola bilər.

Təsirə Məruz Qalan Təşkilatlar və Sektorlar

Tədqiqatçılar hücumların müəyyən bir coğrafi bölgə və ya sektorla məhdudlaşmadığını, lakin adətən İranın geosiyasi maraqları ilə üst-üstə düşən hədəflərə yönəldiyini qeyd edirlər. Bu hədəflər arasında texnologiya şirkətləri, müdafiə sənayesi firmaları, dövlət qurumları və kritik infrastruktur təminatçıları var. Hücumun aldadıcı təbiəti səbəbindən bir çox qurbanın hadisənin əsl mahiyyətini anlamadığı və onu sadə bir haker proqramı hadisəsi kimi bildirdiyi ehtimal olunur.

Nə Etməlisiniz? Təşkilatlar Üçün Müdafiə Strategiyaları

Bu cür mürəkkəb və çoxqatlı hücumlardan qorunmaq, standart təhlükəsizlik tədbirlərindən kənara çıxan proaktiv bir yanaşma tələb edir:

• Hərtərəfli Zəiflik İdarəetməsi: İnternetə açıq bütün sistemlərin və proqram təminatlarının mütəmadi olaraq yoxlanılması və yamaların gecikmədən tətbiq edilməsi vacibdir.
• Çoxfaktorlu Kimlik Doğrulaması (MFA): Xüsusilə uzaqdan giriş və idarəçi hesabları üçün MFA-nın istifadəsi, şəxsiyyət məlumatlarının oğurlanmasına əsaslanan sızmaların qarşısını böyük ölçüdə alır.
• İnkişaf etmiş Təhdid Aşkarlanması: Son Nöqtə Aşkarlanması və Reaksiyası (EDR) və Şəbəkə Trafiki Təhlili (NTA) kimi müasir təhlükəsizlik həlləri, şəbəkə daxilindəki anormal fəaliyyətləri aşkar edərək təcavüzkarları erkən mərhələdə dayandıra bilər.
• Hadisəyə Cavab Planı: Bir hücum anında, məlumatların şifrələnməsindən əvvəl bir məlumat sızmasının olub-olmadığını araşdırmaq prioritet olmalıdır.

Nəticə olaraq, İranlı APT qrupunun bu kampaniyası kiber təhdid mühitinin nə qədər mürəkkəb və aldadıcı ola biləcəyinin bir sübutudur. Bir hücumun görünən tərəfinin arxasında daha təhlükəli niyyətlər gizlənə bilər.

Kaynak

https://www.securityweek.com/iranian-apt-intrusion-masquerades-as-chaos-ransomware-attack/