2017 yılının üçüncü çeyreği bizlere, Çince konuşan siber saldırganların kaybolmadığını; bunun tam aksine, birçok ülkeye ve endüstrinin birçok alanına karşı aktif bir şekilde siber casusluk kampanyalarını yürüttüklerini açıkça gösterdi. Kaspersky Lab tarafından, 3. çeyrekte hedefli gelişmiş saldırılarla ilgili yürütülen 24 araştırma projesinin 10'u, Çin bölgesindeki birden fazla siber saldırganın aktivitelerine odaklandı. Bu ve diğer eğilimlere, Kaspersky Lab'ın son üç aylık tehdit istihbarat özetinde değinildi.
Temmuz-Eylül 2017 döneminde yapılan araştırmalarda, Çince, Rusça, İngilizce ve Korece konuşan siber saldırganlar tarafından düzenlenen hedefli saldırılarda bazı gelişmeler olduğu ortaya çıktı. Özellikle Çinli suçlular bu dönemde faal durumdaydı. Onların bu faaliyetleri, sadece çeşitli organizasyonları değil; bölgesel anlaşmaların yanı sıra, ülkeleri ve politik grupları etkileyerek uluslararası ilişkileri gelişmiş saldırıların hedefi haline getirdi.
2017 3. çeyreğindeki önemli gelişmeler arasında şunlar yer alıyor:
Çinçe konuşan kişiler tarafından gerçekleştirilen siber casusluk saldırılarındaki artış: Yapılan saldırıların en ilginçleri, her ikisi de yasal yazılımların yükleme paketlerine eklenen belirli arka kapılardan meydana gelen Netsarang/ShadowPad ve CCleaner’dı. CCleaner tek başına 2 milyon bilgisayara bulaşarak 2017 yılındaki en büyük saldırılardan birisi oldu.
Çince konuşan siber saldırganların stratejik tesisler ve ekonomi sektörlerine yönelik saldırılara ilgisinin artması.
En az iki ayrı raporda bu konuyla ilgili olaylar yer aldı:
1. Rus ve Moğol Havayolu şirketlerine ve araştırma tesislerine yönelik IronHusky saldırısı. Bu saldırı Temmuz ayında, iki ülke Poison Ivy’nin Çince konuşan bir siber saldırgan tarafından geliştirilen versiyonuyla hedef alındığında keşfedildi. Saldırı, bu senenin başda Rusya ile gerçekleştirilen görüşmelerin anahtar konusu olan Moğol hava savunma alımlarına bağlandı.
2. Rusya ve Hindistan enerji sektörlerine yönelik H2Odecomposition saldırısı. İki ülkenin enerji sektörleri “H2Odecomposition” diye adlandırılan yeni bir zararlı yazılımla hedef alındı. Bazı durumlarda bu yazılım ünlü bir Hindistan antvirüs programı (QuickHeal) olarak gizlendi.
Ayrıca, 2017’nin üçüncü çeyreğinde Kaspersky Lab uzmanları Rusça konuşan siber saldırganlar hakkında birçok rapor yayınladı. Bunlardan birçoğu finans sektörüne yönelik saldırılar ve ATM saldırılarıydı. Ancak, bir raporda Sofacy’nin yaz aktiviteleri incelendi ve grubun hala aktif olduğu belirtildi.
İngilizce konuşan siber saldırganlar incelendiğinde ise, 3. çeyrekte Lambert’lerin bir diğer üyesi olan Red Lambert’ın ortaya çıktığı görüldü.. Lambert’lar 2008’ den bu yana yüksek profilli kurbanlara karşı bir veya birden fazla tehdit etkeni tarafından kullanılan bir karmaşık saldırı araçları ailesidir.
Ağ odaklı bir arka kapı olan Red Lambert, Grey Lambert üzerinde yapılan önceki analizlerde keşfedildi. Red Lambert, komut ve kontrol iletişiminde doğrudan programın içine gömülü SSL sertifikalarının yerini alarak çalışıyor.
Kaspersky Lab Global Araştırma ve Analiz Ekibi Yönetici Güvenlik Araştırmacısı Brian Bartholomew, ‘’Hedefli saldırıların tehdit ettiği alan sürekli büyüyor. Bu büyüme sadece siber suçluların daha hazırlıklı ve teknolojik yönden daha gelişmiş hale gelmesi şeklinde değil hedeflenen coğrafi alan yönünden de gerçekleşiyor. Çince konuşan siber saldırganlardaki artış tehlike istihbaratına yatırım yapılmasının ve organizasyonları en son eğilimler ve gelişmelerle ilgili analizlerle donatmanın önemini bizlere bir kez daha gösterdi.’’
Q3 APT Trends raporu Kaspersky Lab’in yalnızca aboneleriyle paylaştığı tehdit istihbaratı raporlarındaki bulguların özetlerinden oluşur. 2017 'ın üçüncü çeyreğinde, Kaspersky Lab'in Küresel Araştırma ve Analiz ekibi aboneler için, 24 özel rapor oluşturdu. Raporlarla birlikte Gizlilik İhlaşi Göstergeleri (IOC) verisi ve zararlı yazılım avı ve incelemesinde yardımcı olacak YARA kuralları da iletildi.