APT Saldırısı Nedir?

981

APT saldırıları, hedef olarak devletler, devlet kurumları, büyük firmaları seçen ve diğer siber saldırı türlerinden farklı olarak uzun vadeli erişimin ön planda olduğu saldırı türüdür. Maliyeti yüksek olan bu saldırıları genel olarak yine devletler veya büyük suç örgütlerinin organize etmesinin yanı sıra güçlü bağımsız gruplar tarafından da yapılabilir. Genel olarak politik ve ekonomik nedenler barındıran APT grupları ticari sırlar, hassas veriler gibi önemi yüksek olan bilgileri elde etmeyi amaçlayan nitelikli ekiplerden oluşur. ABD ve İsrail’in arka planda oluğu 2010 yılında ortaya çıkmış İran nükleer programına yapılan STUXNET saldırısı APT saldırılarına örnek olup aynı zamanda gelişen ve değişen dünyamızda çokça duyduğumuz Siber Savaş (Cyber Warfare) unsurlarına da büyük bir örnektir. Amaçlanan hedeflerin gerçekleşmesinde hızdan ziyade kalıcılık ön planda tutulup tüm ağ üzerinde hakimiyet sağlanmak istenir. İşleyiş açısından 3 aşamalı olan bu saldırı türünün aşamaları şunlardır ;

Ağa Sızma
Genişleme
Verilerin Çıkarılması

Bu aşamalarda önemli olan farkedilmeden uzun süre ağ içerisinde kalabilmektir. Ağa Sızma İlk erişim için birçok saldırı türünde olduğu gibi APT saldırılarında da aktif veya pasif bilgi toplama metotları kullanılır. Bilgi sahibi olunan hedef üzerinde yanıltıcı saldırılar uygulanabilir, bu sayede hedef sisteme erişim daha az dikkat çeker aynı zamanda sistemde başka açıklarda meydana gelebilir. Erişim sağlandıktan sonra herhangi bir güvenlik önlemine karşı erişim kaybı yaşamamak için hedef sistemde bir arka kapı (backdoor) oluşturulması tercih edilir. Genişleme Erişimin sağlandığı sistemde diğer adım ağda kritik bilgilere ulaşabilmektir. Bunun için saldırganın kritik sistemlere ulaşılabilirliği olan personel, yönetici, vs. hedef olarak seçerek topolojide üst katmanlara çıkmayı amaçlar. APT saldırılarında amaç kritik sistemlerin sabote edilmesi de olabilir, hedef sisteme en çok zararı verecek yetkiye sahip oluncaya dek ağda genişleme eylemi devam eder. Verilerin Çıkarılması Hedeflenen veriler, fark edilmemek ayrıca ağ üzerinde iz bırakmamak amacıyla hemen aktarılmaz ve hedef sistemde herhangi bir yerde depolanır. Yeteri kadar veri toplanıp depolandıktan sonra çıkarma başlatılır. Verilerin çıkarılması sürecinde yine fark edilmemek için yanıltıcı saldırılar gerçekleştirilebilir. Bu sayede saldırgan grup verileri çıkarıp izleri temizlemek için gerekli zamanı kazanmış olurlar. Bu saldırıların tespiti ve korunma uygulamaları zor olmakla beraber uygulanabilir metotlar mevcuttur. Bunlar ;