Profilleme ve Siber Tehdit İstihbaratı — 2

Kaldığımız yerden devam edelim.

Hadise meydana geldi ve siz olay sırasında bu malumata erişemediniz. Dolayısıyla müşterinize de bildiremediniz. Peki bu çok mu önemli? Sanıldığının aksine çoğu zaman önemli değil. Zaten istihbarat stratejiniz suçluların facebooktan yaptığı “paracıklaarrrrrrrr” temalı gönderilere dayanıyorsa orada baştan bir sorun var demektir.

Strateji böyle bir şey değil

Fakat hadiseden sonra bile câri istihbarat elde etmek adına yapabileceğiniz bazı şeyler var. Hatta esas önemli adımlar tam olarak da bu aşamada gerçekleşiyor. Yani post-mortem analizi sonucunda elde edilen bilgiler aslında câri istihbaratın temelini oluşturuyor.

Peki böyle bir şeyin olduğunu öğrendiniz öyleyse ilk adım ne? İlk önce hadisenin ayrıntıları araştırılıp tanımlayıcı istihbaratın üretilmesi gerekir. Bu adımda genellikle şu beş soruya yanıt aranır; ne olmuş, kim yapmış, ne zaman olmuş, nasıl yapılmış ve neden yapılmış. Bildiğimiz 4N1K yani. Ne, nasıl ve neden soruları en önemlileridir. Özellikle nasıl sorusuna dair mümkün olduğunca çok ayrıntı toplamak gerekir.

Kim sorusunu yanıtlamak ise her durumda mümkün olmayabilir. Fakat burada kim’den kastedilen şey doğrudan doğruya gerçek bir kişinin kimliği olmak zorunda değildir. Bir rumuz, bir grup veya sadece sizin verdiğiniz bir etiket bile olabilir. Onun kullanımını da artık başka bir yazıda anlatırım.

Kapsamlı bir tanımlayıcı istihbarat raporunun en azından şu bilgileri içermesi gerekir:

1. 4N1K sorusunun cevapları
2. Saldırının ayrıntılı anatomisi (killchain, ttp vesaire)
3. Hadisenin öncesinde ve sonrasında meydana gelen olaylar**

Bu şekilde hazırlanan bir rapor câri istihbarat için güzel bir temel oluşturacaktır.

İkinci adımda bu hadisenin benzer başka hadiselerle ilişkilendirilmesi gerekir. Benzerlik ilişkisinin nasıl kurulacağı ise neyi araştırdığınıza göre değişir. Saldırının hedefindeki kurbanın nitelikleri (ülke, sektör, firma) üzerinden ilişkilendirme yapılabilir. Eğer saldırının faili belliyse bunun üzerinden ilişki kurulabilir. Saldırının türü ve anatomisindeki diğer benzerlikler (ttp, ioc vesaire) üzerinden ilişkiler kurulabilir.

Örnek olarak aşağıda birbiriyle ilişkilendirilmiş bir vakalar kümesini görmektesiniz.

kaynak: https://twitter.com/issuemakerslab/status/1303284096622239752

Kendi örneğimizden devam edecek olursak aşağıdaki parametreleri kullanarak bir ilişkilendirme çalışması yapmak mümkündür:

1. Aynı failin gerçekleştirdiği diğer saldırılar (yöntem ve hedef gözetmeksizin)
2. Kriptopara kullanıcılarının hedef alındığı diğer saldırılar (fail ve yöntem gözetmeksizin)
3. SIM kart klonlama metodu kullanılarak yapılan diğer saldırılar (fail ve hedef gözetmeksizin)

Hangi parametreyi kullandığınıza bağlı olarak elde edeceğiniz bilgi de farklılık gösterecektir. Bu aşamada incelediğiniz aktör, bölge veya sektörde uzmanlaşmış bir analistten görüş almanız faydalı olacaktır. Örneğin Emotet çetesi, APAC bölgesi veya bankacılık sektörü üzerine uzmanlaşmış bir analist o konuda açık kaynaklardan elde edemeyeceğiniz bilgi ve içgörülerle analizinize katkı sağlayabilir.

Üçüncü adımda bu vakalar kümesinin analiz edilip tümevarım yapılması gerekir. Hipotez üretimi ve analizi oldukça ayrıntılı, kendi başlığında ele alınması gereken bir konudur. Fakat göz önünde bulundurulması gereken en önemli şey şudur; işin doğası gereği hiçbir zaman tam tümevarım yapamayız. Yalnızca ve yalnızca kısmi tümevarımda bulunabiliriz. Dolayısıyla hipotezlerimiz her zaman varsayımlara dayanmak mecburiyetindedir. Her hipotez en az bir varsayım içerir ve bu varsayımları gözler önüne sermek analizin önemli bir parçasıdır.

Örneğimizde tanımlama-ilişkilendirme-analiz çalışmalarının ardından vakayla ilgili aşağıdaki bilgilere ulaşmış olalım:

1. Hadise farklı yeteneklere sahip birden fazla kişinin organize çalışmasıyla vuku bulmuştur. Bu kişilerden her biri daha öncesinde bağımsız eylemler gerçekleştirmiştir. Fakat daha öncesinde bir arada faaliyet yürüttüklerine dair bir bulguya rastlanılmamıştır. Dolayısıyla şimdilik birlikte gerçekleştirdikleri bilinen tek faaliyet budur.
2. Kriptopara kullanıcıları birçok türde tehditle karşı karşıyadır. Oltalama siteleri, zararlı yazılımlar ve daha geleneksel dolandırıcılık saldırıları bunlardan bazılarıdır. SIM kart klonlama yoluyla hesapların ele geçirilmesi yöntemine diğer saldırı yöntemlerine kıyasla daha az rastlanılmaktadır.
3. İncelenen olayda SIM klonlama yöntemine ek olarak kriptoborsa kullanıcılarına ait isim, telefon numarası ve bakiye gibi bilgilerin yer aldığı sızdırılmış verilerin kullanıldığı iddiasına ulaşılmıştır. Saldırının etkilediği kullanıcı sayısı göz önüne alındığında bu iddianın doğru olma ihtimali vardır.
4. Bu vakanın haricinde SIM kart klonlama yöntemi banka hesaplarını soymak için sıklıkla başvurulan bir yöntemdir. Soymak istediği bir banka hesabının bilgilerine sahip bir kişi “2fa bypass” hizmeti sağlayan birisine bu bilgileri vererek komisyon karşılığı bankadaki bakiyeyi çalabilmektedirler.

bu bölüm de fazla uzadı. üçüncü bölümde bu bilgilerle nasıl câri istihbarat üretebileceğimizi, göstergeler belirleyip bunları kullanarak nasıl öngörülerde bulunabileceğimizi anlatacağım.

görüşmek üzere.