APT Saldırısı Nedir?

APT Saldırısı Nedir ?

APT saldırıları, hedef olarak devletler, devlet kurumları, büyük firmaları seçen ve diğer siber saldırı türlerinden farklı olarak uzun vadeli erişimin ön planda olduğu saldırı türüdür. Maliyeti yüksek olan bu saldırıları genel olarak yine devletler veya büyük suç örgütlerinin organize etmesinin yanı sıra güçlü bağımsız gruplar tarafından da yapılabilir. Genel olarak politik ve ekonomik nedenler barındıran APT grupları ticari sırlar, hassas veriler gibi önemi yüksek olan bilgileri elde etmeyi amaçlayan nitelikli ekiplerden oluşur. ABD ve İsrail’in arka planda oluğu 2010 yılında ortaya çıkmış İran nükleer programına yapılan STUXNET saldırısı APT saldırılarına örnek olup aynı zamanda gelişen ve değişen dünyamızda çokça duyduğumuz Siber Savaş (Cyber Warfare) unsurlarına da büyük bir örnektir. Amaçlanan hedeflerin gerçekleşmesinde hızdan ziyade kalıcılık ön planda tutulup tüm ağ üzerinde hakimiyet sağlanmak istenir. İşleyiş açısından 3 aşamalı olan bu saldırı türünün aşamaları şunlardır ;

  • Ağa Sızma
  • Genişleme
  • Verilerin Çıkarılması

Bu aşamalarda önemli olan farkedilmeden uzun süre ağ içerisinde kalabilmektir.

Ağa Sızma

İlk erişim için birçok saldırı türünde olduğu gibi APT saldırılarında da aktif veya pasif bilgi toplama metotları kullanılır. Bilgi sahibi olunan hedef üzerinde yanıltıcı saldırılar uygulanabilir, bu sayede hedef sisteme erişim daha az dikkat çeker aynı zamanda sistemde başka açıklarda meydana gelebilir. Erişim sağlandıktan sonra herhangi bir güvenlik önlemine karşı erişim kaybı yaşamamak için hedef sistemde bir arka kapı (backdoor) oluşturulması tercih edilir.

Genişleme

Erişimin sağlandığı sistemde diğer adım ağda kritik bilgilere ulaşabilmektir. Bunun için saldırganın kritik sistemlere ulaşılabilirliği olan personel, yönetici, vs. hedef olarak seçerek topolojide üst katmanlara çıkmayı amaçlar. APT saldırılarında amaç kritik sistemlerin sabote edilmesi de olabilir, hedef sisteme en çok zararı verecek yetkiye sahip oluncaya dek ağda genişleme eylemi devam eder.

Verilerin Çıkarılması

Hedeflenen veriler, fark edilmemek ayrıca ağ üzerinde iz bırakmamak amacıyla hemen aktarılmaz ve hedef sistemde herhangi bir yerde depolanır. Yeteri kadar veri toplanıp depolandıktan sonra çıkarma başlatılır. Verilerin çıkarılması sürecinde yine fark edilmemek için yanıltıcı saldırılar gerçekleştirilebilir. Bu sayede saldırgan grup verileri çıkarıp izleri temizlemek için gerekli zamanı kazanmış olurlar.

Bu saldırıların tespiti ve korunma uygulamaları zor olmakla beraber uygulanabilir metotlar mevcuttur. Bunlar ;

  • Trafiğin düzenli olarak izlenmesi
  • Beklenmedik veri geçişleri
  • Sunucularda erişim takibi
  • Kaynağı belirsiz ve güvensiz bağlantılardan kaçınmak
  • Olası arka kapı (backdoor) varlığının araştırılması

gibi metotlar nitelikli kişiler tarafından uygulanmalıdır.

İlgili Yazılar

DES-619_BlogHeader_PassTheTicket-1167x500

Pass The Ticket

Yazar: Onur Savaş Pass-the-ticket saldırısı, Windows Active Directory ortamında bilet adı verilen kimlik doğrulama bilgilerinin çalınmasını ve yeniden kullanılmasını içeren bir...
DEVAMI...
  • 30 Ocak 2024
adli-bilisimin-onemi

Adli Bilişimin Önemi

Küçük yerel bir işletme veya dünya devi bir şirket fark etmez, kurumsal yapının omuriliği bilgi işlem altyapısıdır. Mahiyetine bakmaksızın, bilgi...
DEVAMI...
  • 26 Ocak 2024
dijital-delil-tespiti-nasil-istemeliyim

Dijital Delil Tespiti Nasıl İstemeliyim?

Dijital Delil Tespiti Nasıl İstemeliyim? Türkiye’de veya dünyanın neresinde olursa olsun, ADALET önemli bir yapı taşıdır. İnsanların yaşadıkları toplumlarda hava...
DEVAMI...
  • 26 Ocak 2024

İletişim Bilgileri

Kurumsal

Menü

Sosyal Medya

Facebook Youtube Linkedin Instagram

Bizi Takip Edin

Copyright © 2024