Avrupa Birliği (AB), Çekya ve Almanya üye devletlerinin hükümetleri ve İngiltere dahil diğer ortakların yanı sıra, Fancy Bear olarak bilinen Rus istihbarat destekli gelişmiş kalıcı tehdit (APT) aktörünün gerçekleştirdiği siber saldırı kampanyasını kınadı. APT28, Stronsiyum ve Orman Blizzard olarak bilinir.
Duyuru, Berlin ve Prag tarafından ilk olarak Alman Sosyal Demokrat Parti yönetimine ait çeşitli e-posta hesaplarının, ikinci olarak ise çeşitli hükümet kurumlarının ele geçirilmesini detaylandıran açıklamaların yayınlanmasıyla birlikte geldi.
AB, Litvanya, Polonya, Slovakya ve İsveç dahil olmak üzere diğer üye ülkelerdeki organların da, 2015 yılında Alman Federal Parlamentosu’na düzenlenen siber saldırı nedeniyle daha önce AB tarafından onaylanan Fancy Bear tarafından hedef alındığını söyledi.
Açıklamada, kötü niyetli kampanyanın, BM’nin siber uzayda sorumlu devlet davranışı normlarına aykırı olarak ve uluslararası kuralları hiçe sayarak, Avrupa genelinde demokratik kurumları, devlet kurumlarını ve kritik altyapıyı hedef alan, Rusya’nın “siber uzayda sürekli sorumsuz davranış modeli” gösterdiği belirtildi. güvenlik ve istikrar.
Brüksel, “AB, bu yılki seçimleri göz önünde bulundurarak, AB’de ve dünya genelinde 60’tan fazla ülkede yapılan seçimleri dikkate alarak, bu tür kötü niyetli davranışlara, özellikle de kritik altyapımızı bozmayı, toplumsal uyumu zayıflatmayı ve demokratik süreçleri etkilemeyi amaçlayan faaliyetlere tolerans göstermeyecektir” dedi. Bir deyim. “AB ve üye devletleri, açık, özgür, istikrarlı ve güvenli bir siber alanı teşvik etmek için uluslararası ortaklarımızla işbirliği yapmaya devam edecek. AB, Rusya’nın siber uzaydaki kötü niyetli davranışlarını önlemek, caydırmak ve bunlara yanıt vermek için tüm tedbirleri kullanmaya kararlıdır.”
Alman hükümetinin bir sözcüsü şunları söyledi: “Siyasi partilere, devlet kurumlarına ve kritik altyapı sağlayan şirketlere yönelik siber saldırılar demokrasimize, ulusal güvenliğimize ve liberal fikirli toplumumuza tehdit oluşturuyor.
“Federal Hükümet, devlet destekli Rus aktörlerin tekrarlanan ve kabul edilemez kötü niyetli siber faaliyetlerini en güçlü şekilde kınıyor ve Rusya’yı bu tür davranışlardan kaçınmaya bir kez daha çağırıyor. Almanya, bu tür kötü niyetli siber faaliyetlere karşı Avrupalı ve uluslararası ortaklarıyla birlikte çalışmaya kararlıdır.”
Çek hükümeti şunları ekledi: “Siyasi oluşumları, devlet kurumlarını ve kritik altyapıyı hedef alan siber saldırılar yalnızca ulusal güvenliğe yönelik bir tehdit olmakla kalmıyor, aynı zamanda özgür toplumumuzun dayandığı demokratik süreçleri de bozuyor. Çek yetkilileri kamu kurumlarının ve özel sektörün dayanıklılığını güçlendirmek için adımlar atmaya devam edecek.
Açıklamada, “Çekya, devlet aktörleri tarafından tekrarlanan bu siber saldırılardan derin kaygı duymaktadır” denildi. Bu kabul edilemez davranışa Avrupalı ve uluslararası ortaklarımızla birlikte güçlü bir şekilde yanıt vermeye kararlıyız.”
Çekya ve Almanya’ya yönelik her iki kampanyada da APT28’in Microsoft Outlook’taki bir güvenlik açığından yararlandığı anlaşılıyor. Bu muhtemelen Mart 2023 Salı Yaması güncellemesinde açıklanan ve Fancy Bear’ın muhtemelen 2022 kadar uzun bir süre önce çok sayıda siber saldırıda kullandığı bilinen CVE-2023-23397 olabilir.
Enerji üretimi ve dağıtımı gibi alanlarda kamu kurum ve kuruluşlarına karşı da kullanılmış; boru hattı operasyonları; ve malzeme, kişisel ve hava taşımacılığı.
Hedeflenen ülkeler Bulgaristan, Çekya, İtalya, Ürdün, Litvanya, Lüksemburg, Karadağ, Polonya, Romanya, Slovakya, Türkiye, Ukrayna, BAE ve ABD’nin yanı sıra Avrupa’ya dağılmış olan NATO Yüksek Hazırlık Kuvvetleri Karargahıydı. İngiltere, Fransa, Almanya, Yunanistan, Polonya ve Türkiye.
Potansiyel bir hedefe özel olarak hazırlanmış bir e-posta gönderilerek istismar edilen CVE-2023-23397, e-posta sunucusu tarafında tetiklendiğinden özellikle tehlikelidir; bu da sıradan birinin tabiriyle, e-posta açılıp görüntülenmeden önce istismar edilebileceği anlamına gelir. Bir tehdit aktörünün kurbanın Net-NTLMv2 karmasına erişmesine ve bunu kendisiymiş gibi davranarak kimlik doğrulaması yapmak için kullanmasına ve böylece kimlik doğrulama önlemlerini aşmasına olanak tanır. İlk olarak Ukraynalı siber yetkililer tarafından keşfedildi.
İngiltere’nin tepkisi
Birleşik Krallık’ta Westminster, Fancy Bear’ın eylemlerini güçlü bir şekilde kınayarak AB’ye katılmakta hızlı davrandı ve etkilenen ülkeleri etkiledi.
Dışişleri, Milletler Topluluğu ve Kalkınma Ofisi sözcüsü, “Müttefiklerimizin bugünkü açıklamaları, Rusya’nın siber uzaydaki kabul edilemez davranışlarının boyutunu, kalıcılığını ve ciddiyetini gösteriyor” dedi.
“Rus GRU siber grubu APT28’in, Alman Sosyal Demokrat Parti yöneticisinin hedef alınması da dahil olmak üzere son faaliyetleri, Rus İstihbarat Servislerinin dünya çapında demokratik süreçleri baltalamaya yönelik bilinen davranış modelinin sonuncusudur.
“7 Aralık 2023’te Birleşik Krallık, Rus İstihbarat Servislerinin siber operasyonlar yoluyla yüksek profilli Birleşik Krallık kişi ve kuruluşlarını hedef almaya yönelik bir dizi girişimini açığa çıkardı” dediler. “Aynı zamanda siyasi müdahaleden sorumlu iki Rus vatandaşına da yaptırım uyguladık.
“2024’te dünya çapında çok sayıda seçim yapılmasıyla birlikte, Birleşik Krallık’a ve uluslararası ortaklarımıza yönelik tehdit konusunda farkındalığın artırılması, kolektif dayanıklılığımız açısından hayati öneme sahip olmaya devam ediyor. Bugün, geniş bir müttefik koalisyonunun parçası olarak, Rus devletine bu tür kabul edilemez faaliyetleri tespit etmeye, ifşa etmeye ve bunlara yanıt vermeye devam edeceğimizi açıkça belirtiyoruz.”