Lazarus APT grubu, siber güvenlik dünyasında en tehlikeli ve en sofistike tehdit aktörlerinden biri olarak kabul edilmektedir. Kuzey Kore ile bağlantılı olduğu düşünülen bu grup, 2009 yılından itibaren dünya çapında birçok kritik saldırı gerçekleştirmiştir.
Finans sektöründen hükümet kurumlarına, medya şirketlerinden kritik altyapılara kadar geniş bir hedef yelpazesine sahip olan Lazarus, istihbarat toplamak, maddi kazanç elde etmek ve siber savaş operasyonları yürütmek için faaliyet göstermektedir.
Bu grubun en dikkat çeken saldırılarından biri 2014 yılında Sony Pictures’a yapılan saldırıdır. The Interview adlı filmde Kuzey Kore liderinin hicvedilmesi nedeniyle gerçekleştirildiği düşünülen bu saldırı sonucunda, Sony’nin gizli belgeleri, e-postaları ve çalışan bilgileri sızdırılmıştır. Şirket büyük bir prestij ve maddi kayıp yaşamış, aynı zamanda bu olay siber saldırıların şirketler üzerindeki yıkıcı etkisini gözler önüne sermiştir. Bunun ardından 2016 yılında gerçekleşen SWIFT saldırısı, Lazarus’un küresel finans sistemine yönelik en büyük saldırılarından biri olarak kayıtlara geçmiştir. Bangladeş Merkez Bankası’ndan 81 milyon dolar çalınmış, bu olay bankacılık sektörünün siber güvenlik açıklarını gözler önüne sermiştir. Lazarus, bu saldırıyı SWIFT mesajlaşma sistemindeki güvenlik açıklarını istismar ederek gerçekleştirmiş ve uluslararası finans dünyasında büyük bir endişeye yol açmıştır.
2017 yılında dünyayı etkileyen WannaCry fidye yazılımının arkasında da Lazarus’un olduğu düşünülmektedir. Microsoft’un SMB protokolündeki bir güvenlik açığını kullanarak yayılan WannaCry, dünya çapında yüz binlerce bilgisayarı etkilemiş, hastaneler, fabrikalar ve hükümet kurumları dahil birçok sektörü felç etmiştir. Bu saldırı, Lazarus’un sadece finansal kazanç için değil, aynı zamanda kaos yaratmak için de faaliyet gösterdiğini göstermektedir. Son yıllarda özellikle kripto para borsalarına yönelik saldırılar gerçekleştiren grup, Kuzey Kore’nin ekonomik yaptırımları aşmasına yardımcı olmak amacıyla DeFi platformlarını ve büyük kripto borsalarını hedef almıştır. Güvenlik şirketlerinin raporlarına göre Lazarus, milyonlarca dolarlık kripto para çalmış ve bunları izlerini gizlemek için çeşitli yollarla aklamıştır.
Lazarus’un saldırılarında kullandığı yöntemler oldukça gelişmiş olup sürekli olarak evrim geçirmektedir. Genellikle sıfırıncı gün açıklarını kullanarak hedef sistemlere sızan grup, oltalama saldırılarıyla kurbanlarını kandırmakta ve zararlı yazılımlarını sistemlere bulaştırmaktadır. Bunun yanı sıra tedarik zinciri saldırıları düzenleyerek yazılım geliştiricilerini hedef almakta ve kötü amaçlı kodlarını meşru yazılımlara entegre etmektedir. Fidye yazılımları ve uzaktan erişim trojanları gibi kötü amaçlı yazılımlar kullanarak kurbanların sistemlerini ele geçiren grup, saldırılarını genellikle devlet destekli istihbarat operasyonlarıyla entegre etmektedir.
Bu tür gelişmiş saldırılara karşı korunmak için kurumların ve bireylerin alması gereken çeşitli önlemler bulunmaktadır. İlk olarak işletim sistemleri ve yazılımlar düzenli olarak güncellenmeli, kritik güvenlik yamaları hızla uygulanmalıdır. Çok faktörlü kimlik doğrulama (MFA) kullanılarak hesap güvenliği artırılmalı, özellikle finans sektöründe güçlü erişim kontrol mekanizmaları devreye sokulmalıdır. Oltalama saldırılarına karşı farkındalık eğitimleri düzenlenmeli ve çalışanlar bilinmeyen e-postalar veya ekler konusunda dikkatli olmaları için bilinçlendirilmelidir. Ağ izleme sistemleri kullanılarak anormal veri hareketleri tespit edilmeli ve sistemlere yönelik olası saldırılar proaktif olarak engellenmelidir.
Lazarus’un faaliyetleri, siber tehditlerin devletler tarafından nasıl kullanıldığını ve siber savaşın nasıl bir boyut kazandığını açıkça göstermektedir. Küresel güvenlik topluluğu, bu tür tehdit gruplarına karşı daha etkili savunma stratejileri geliştirmeye çalışsa da Lazarus’un sürekli olarak yeni saldırı teknikleri geliştirmesi, mücadeleyi zorlaştırmaktadır. Siber güvenlik dünyası, Lazarus ve benzeri gelişmiş tehdit aktörlerine karşı hazırlıklı olmak zorundadır. Önümüzdeki yıllarda bu grubun hedeflerinin ve saldırı yöntemlerinin nasıl değişeceği büyük bir merak konusu olmaya devam etmektedir.
Lazarus APT grubunu MITRE ATT&CK çerçevesine göre analiz ettiğimizde, grubun gelişmiş, organize ve sürekli evrim geçiren saldırı taktikleriyle hareket ettiği görülmektedir. MITRE ATT&CK, siber tehdit aktörlerinin kullandığı taktikler, teknikler ve prosedürleri (TTPs) kategorize eden bir çerçevedir ve Lazarus’un saldırı yöntemlerini anlamak için oldukça faydalıdır.
Lazarus, hedef sistemlere sızmak için çeşitli giriş noktalarını kullanmaktadır:
Oltalama (Phishing) (T1566) → Hedef kişilere kötü amaçlı e-postalar veya sosyal mühendislik teknikleriyle sahte bağlantılar göndererek zararlı yazılım bulaştırır.
Kötü Amaçlı Yazılım Yükleme (Drive-by Compromise) (T1189) → Kullanıcıları zararlı web sitelerine yönlendirerek, güvenlik açıklarından faydalanan saldırılar gerçekleştirir.
Tedarik Zinciri Saldırıları (Supply Chain Compromise) (T1195) → Meşru yazılımlara kötü amaçlı kod enjekte ederek geniş çaplı saldırılar düzenler.
Örneğin, Lazarus’un 2017 yılında Bitcoin borsalarına yaptığı saldırılarda, finans kuruluşlarının çalışanlarını hedef alan oltalama e-postaları kullanıldığı tespit edilmiştir.
Yürütme (Execution)
Sistemde kötü amaçlı kod çalıştırmak için Lazarus’un sıkça başvurduğu yöntemler şunlardır:
Uzaktan Kod Yürütme (Command and Scripting Interpreter) (T1059) → Powershell, CMD ve Python gibi araçları kullanarak kötü amaçlı komutlar yürütür.
Makrolarla Kod Çalıştırma (T1204) → Kullanıcıları, kötü amaçlı Word veya Excel makrolarını çalıştırmaya ikna eder.
İşletim Sistemi Açıkları (Exploitation for Client Execution) (T1203) → Güncellenmemiş sistemlerdeki açıklardan faydalanarak zararlı kod çalıştırır.
Lazarus’un özellikle Microsoft Office belgesine gömülü makrolarla zararlı yazılım indirdiği bilinen bir taktiktir.
Kalıcılık (Persistence)
Sisteme girdikten sonra Lazarus, kalıcılığını sağlamak için farklı yöntemler kullanır:
Başlangıçta Çalıştırma (Registry Run Keys / Startup Folder) (T1547) → Zararlı yazılımı sistem başlangıcına ekleyerek her açılışta çalışmasını sağlar.
Geri Kapılar (Backdoor) (T1574) → Sistemde gizli bağlantılar kurarak uzun vadeli erişim elde eder.
Meşru Hesapları Ele Geçirme (Valid Accounts) (T1078) → Yetkili kullanıcı hesaplarını ele geçirerek kimlik doğrulama süreçlerini atlar.
Örneğin, Lazarus’un 2014’te Sony Pictures saldırısında sistemlere yerleştirdiği kötü amaçlı yazılımlar, ağ içinde aylarca fark edilmeden kalabilmiştir.
Yetki Yükseltme (Privilege Escalation)
Sıradan bir kullanıcı erişimiyle yetinmeyen Lazarus, yöneticilik yetkilerini ele geçirmeye çalışır:
Sistem Açıklarından Faydalanma (Exploitation for Privilege Escalation) (T1068) → Güncellenmemiş işletim sistemi veya yazılımlardaki açıkları kullanır.
Kimlik Bilgileri Çalma (Credential Dumping) (T1003) → LSASS sürecinden Windows şifrelerini çalar.
Hizmetleri Kötüye Kullanma (Abusing System Services) (T1543) → Yüksek yetkilere sahip servisleri ele geçirerek kötü amaçlı işlemleri çalıştırır.
Özellikle bankacılık saldırılarında Lazarus’un, Mimikatz gibi araçlarla sistemlerden kullanıcı şifrelerini çaldığı bilinmektedir.
Savunmadan Kaçınma (Defense Evasion)
Lazarus, tespit edilmemek için gelişmiş kaçınma teknikleri kullanır:
Kod Karartma ve Şifreleme (Obfuscated Files or Information) (T1027) → Zararlı yazılım kodlarını şifreleyerek güvenlik yazılımlarının tespitini zorlaştırır.
Antivirüs Atlatma (Disabling Security Tools) (T1562) → Antivirüs ve güvenlik çözümlerini devre dışı bırakır.
Sahte Dijital İmzalar (Code Signing) (T1553) → Zararlı yazılımları güvenilir göstermek için sahte sertifikalar kullanır.
Örneğin, 2020’de Lazarus’un, dijital olarak imzalanmış zararlı yazılımlar kullanarak güvenlik duvarlarını aştığı belgelenmiştir.
Kimlik Bilgileri Elde Etme (Credential Access)
Hedef sistemin parolalarını ele geçirmek için şu teknikleri uygular:
Kimlik Bilgisi Depolarını Ele Geçirme (Credential Dumping) (T1003) → LSASS, SAM, ve NTDS.dit gibi veritabanlarını hedef alır.
Anahtar Kaydediciler (Keylogging) (T1056) → Klavye girişlerini kaydederek kullanıcı şifrelerini çalar.
Kimlik Bilgisi Tahmini (Brute Force) (T1110) → SSH, RDP gibi sistemlerde kaba kuvvet saldırıları gerçekleştirir.
Özellikle finans sektörüne yönelik saldırılarında, Lazarus’un SSH bağlantılarında kaba kuvvet saldırıları gerçekleştirdiği bilinmektedir.
Yanlamasına Hareket (Lateral Movement)
Ağ içinde daha fazla sisteme yayılmak için Lazarus şu yöntemleri kullanır:
- SMB Üzerinden Yayılma (T1021) → WannaCry saldırısında EternalBlue açığını kullanarak ağ içinde yayıldığı görülmüştür.
- Uzaktan Komut Çalıştırma (Remote Services) (T1021) → RDP ve SSH gibi protokolleri kullanarak diğer sistemlere erişir.
- Uzak Erişim Araçları (Remote Access Tools – RATs) (T1219) → Kendi geliştirdiği özel arka kapılarla sistemlere uzaktan erişim sağlar.
Etki (Impact)
Lazarus, hedeflerine zarar vermek veya şantaj yapmak için şu teknikleri uygular:
- Veri Şifreleme (Data Encrypted for Impact) (T1486) → Fidye yazılımlarıyla sistemleri şifreler ve fidye talep eder.
- Veri Silme (Data Destruction) (T1485) → Sony saldırısında olduğu gibi, hassas verileri tamamen yok eder.
- Servis Kesintisi (Service Stop) (T1489) → Kritik sistemleri çökertmek için hizmetleri devre dışı bırakır.
Özellikle WannaCry saldırısı, Lazarus’un fidye yazılım kullanarak küresel çapta kaos yaratabileceğini göstermiştir.
