ABD hükümeti ve uluslararası ortaklardan oluşan bir koalisyon, Rus bir bilgisayar korsanı grubunun izlendiğini resmen duyurdu. Kadet Kar Fırtınası Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü (GRU) 161’inci Uzman Eğitim Merkezi’ne (Birim 29155).
Kurumlar, “Bu siber aktörler, en az 2020’den beri casusluk, sabotaj ve itibar zedeleme amaçlarıyla küresel hedeflere karşı bilgisayar ağı operasyonlarından sorumludur” dedi.
“2022 yılı başından bu yana siber aktörlerin temel odak noktasının Ukrayna’ya yardım sağlama çabalarını hedef almak ve aksatmak olduğu görülüyor.”
Saldırıların hedefleri, Kuzey Atlantik Antlaşması Örgütü (NATO) üyeleri, Avrupa Birliği, Orta Amerika ve Asya ülkelerinin hükümet hizmetleri, finansal hizmetleri, ulaştırma sistemleri, enerji ve sağlık sektörleri de dahil olmak üzere kritik altyapı ve temel kaynak sektörlerine odaklandı.
Geçtiğimiz hafta Operasyon Oyuncak Asker adı verilen koordineli bir tatbikatın parçası olarak yayınlanan ortak duyuru, ABD, Hollanda, Çek Cumhuriyeti, Almanya, Estonya, Letonya, Ukrayna, Kanada, Avustralya ve İngiltere’deki siber güvenlik ve istihbarat yetkililerinden geliyor
Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056 ve UNC2589 olarak da bilinen Cadet Blizzard, Ocak 2022’de Rusya’nın ülkeye yönelik tam kapsamlı askeri işgalinden önce çok sayıda Ukraynalı kurban kuruluşa karşı yıkıcı WhisperGate (diğer adıyla PAYWIPE) kötü amaçlı yazılımını dağıtmasıyla dikkat çekti.
Haziran 2024’te, Amin Timovich Stigal adlı 22 yaşındaki bir Rus vatandaşı, Ukrayna’ya karşı silici kötü amaçlı yazılımı kullanarak yıkıcı siber saldırılar düzenlemedeki iddia edilen rolü nedeniyle ABD’de suçlandı. Bununla birlikte, WhisperGate kullanımının gruba özgü olmadığı söyleniyor.
ABD Adalet Bakanlığı (DoJ), 29155 Numaralı Birim ile bağlantılı beş memuru Ukrayna, ABD ve diğer 25 NATO ülkesindeki hedeflere karşı bilgisayarlara izinsiz girme ve elektronik dolandırıcılık komplosu kurmakla suçladı.
Beş memurun isimleri aşağıda listelenmiştir –
- Yuriy Denisov (Юрий Денисов), Rus ordusunda albay ve 29155. Birimin Siber Operasyonlar komutanı
- Rus ordusunda siber operasyonlar üzerinde çalışan Birim 29155’e atanan teğmenler Vladislav Borovkov, Denis Denisenko, Dmitriy Goloshubov ve Nikolay Korchagin
“Sanıklar bunu Ukrayna vatandaşları arasında hükümet sistemlerinin ve kişisel verilerinin güvenliği konusunda endişe yaratmak için yaptılar,” dedi Adalet Bakanlığı. “Sanıkların hedefleri arasında askeri veya savunmayla ilgili hiçbir rolü olmayan Ukrayna Hükümeti sistemleri ve verileri vardı. Daha sonraki hedefler arasında Ukrayna’ya destek sağlayan dünyanın dört bir yanındaki ülkelerdeki bilgisayar sistemleri vardı.”
İddianameyle eş zamanlı olarak, ABD Dışişleri Bakanlığı’nın Adalet İçin Ödül programı, sanıklardan herhangi birinin konumları veya kötü niyetli siber faaliyetleri hakkında bilgi sağlayanlara 10 milyon dolara kadar ödül verileceğini duyurdu.
29155 Numaralı Birimin, Avrupa genelinde darbe girişimleri, sabotaj ve etki operasyonları ile suikast girişimlerinden sorumlu olduğu ve düşmanın en azından 2020’den beri saldırgan siber operasyonları da kapsayacak şekilde ufuklarını genişlettiği belirtiliyor.
Bu siber saldırıların nihai hedefi, casusluk amacıyla hassas bilgileri toplamak, söz konusu verileri sızdırarak itibar zedelemek ve değerli veriler içeren sistemleri sabote etmeyi amaçlayan yıkıcı operasyonlar düzenlemektir.
Duyuruya göre 29155 numaralı birimin, görevlerini kolaylaştırmak için bilinen siber suçlulara ve Stigal gibi diğer sivil destekçilere güvenen, genç, aktif görevdeki GRU subaylarından oluştuğu düşünülüyor.
Bunlara web sitesi tahribatı, altyapı taraması, veri sızdırma ve bilgilerin kamuya açık web sitesi alanlarında yayınlanması veya diğer aktörlere satılması gibi veri sızıntısı operasyonları dahildir.
Saldırı zincirleri, Atlassian Confluence Sunucusu ve Veri Merkezi, Dahua Güvenliği ve Sophos’un güvenlik duvarındaki bilinen güvenlik açıklarından yararlanarak kurban ortamlarına sızan tarama faaliyetleriyle başlıyor, ardından istismar sonrası ve yanal hareket için Impacket kullanılıyor ve en sonunda veriler özel altyapıya sızdırılıyor.
“Siber aktörler, Raspberry Robin kötü amaçlı yazılımını erişim aracısı rolünde kullanmış olabilir,” diye belirtti kurumlar. “Siber aktörler, geçerli kullanıcı adları ve parolalar elde etmek için parola püskürtme ile kurbanların Microsoft Outlook Web Access (OWA) altyapısını hedef aldı.”
Kuruluşların rutin sistem güncellemelerine öncelik vermeleri, bilinen istismar edilen güvenlik açıklarını gidermeleri, kötü amaçlı faaliyetlerin yayılmasını önlemek için ağları segmentlere ayırmaları ve tüm dışarıya bakan hesap hizmetleri için kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı (MFA) uygulamaları önerilir.