Dezenformasyonla Mücadele Merkezi’nin güncellemesine göre, ABD’ye yönelik yeni bir siber saldırı turu, kentsel altyapı sistemlerine erişmeye yönelik gizli girişimlerle ilgili endişeleri artırdı.
Müfettişler, saldırganların siber suçlarda yaygın olarak kullanılan iki araç olan SocGholish ve RomCom’a güvendiklerini tespit etti. Bu araçlar yeni olmasa da, bu vakada kullanılmaları, suç faaliyetini taklit etme ve atıf yapmayı önemli ölçüde zorlaştırma yönünde kasıtlı bir çabayı akla getiriyor.
Güvenlik analistleri, bu yaklaşımın, Rus özel servislerinin suç kampanyaları ile devlet destekli operasyonlar arasındaki çizgiyi bulanıklaştırmaya çalıştığı ABD’ye yönelik siber saldırılarda daha yaygın hale geldiğini söylüyor. Bunu yaparak, adli analizleri karmaşık hale getiriyorlar ve ABD istihbarat teşkilatlarının tepkisini yavaşlatarak hedeflenen ağlarda kendilerine daha fazla zaman kazandırıyorlar.
ABD Mühendislik Firmasına Yönelik Siber Saldırılar
İhlal edilen mühendislik şirketi, su tedarik ağlarını, ulaşım sistemlerini ve acil müdahale hizmetlerini işleten yüklenicilerle yakın işbirliği içinde çalışıyor. İzinsiz giriş sırasında bilgisayar korsanlarının dahili iş akışları ve bu sektörlerle bağlantılı kritik erişim noktaları hakkındaki bilgilere eriştiği bildirildi.
Bu tür bilgiler ABD altyapısının nasıl yönetildiğini, sürdürüldüğünü ve savunulduğunu anlamak isteyen herkes için değerlidir. Ani bir kesintiye neden olmasa bile, bu süreçlere dair içgörü kazanmak, rakiplerin zayıf noktaları belirlemesine veya gelecekteki müdahaleleri planlamasına yardımcı olabilir.
İhlal aynı zamanda üçüncü taraf yüklenicilerin Amerikan altyapısının daha geniş ekosistemini inceleyen saldırganlar için nasıl cazip bir giriş noktası olmaya devam ettiğini de gösteriyor.
SocGholish – RomCom Zincirinin Kullanımı Atıf Endişelerini Artırıyor
SocGholish-RomCom zincirinin kullanımı dikkat çekicidir çünkü sıklıkla finansal amaçlı siber suçlarla ilişkilendirilir. Ancak bu durumda analistler, dağıtımın bir tesadüften çok bir kılıf gibi göründüğünü söylüyor.
Bilinen suç araçlarına dayanarak Rusya bağlantılı gruplar şunları yapabilir:
- Operasyonun gerçek doğasını gizleyin
- Düzenli siber suç trafiğine uyum sağlayın
- Etkinliğin izlenmesi için gereken süreyi geciktirin
- Araştırmacıları yanıltıcı göstergelerin katmanlarını incelemeye zorlayın
Bu taktik, ABD’ye yönelik siber saldırıların etrafında etkili bir “sis” yarattı ve bir olayın rutin bir suç faaliyeti mi yoksa daha koordineli bir şey mi olduğunun hızlı bir şekilde belirlenmesini zorlaştırdı.
Olası Nedenler
Bir mühendislik firmasını hedef almak, saldırganların yalnızca satacak verileri aramadıklarını gösteriyor. Analistler, amacın keşif, özellikle de altyapı sistemlerinin nasıl yapılandırıldığını ve yüklenicilerin erişim ayrıcalıklarını nasıl yönettiğini anlamak olduğuna inanıyor.
Bu tür bilgiler gelecekte güvenlik açıklarından yararlanmak veya sabotaj gerçekleştirmek için kullanılabilir. Uzmanlar ayrıca tamamlanmamış bir saldırının bile Amerikan siber güvenlik ekiplerinin nasıl tepki verdiği, tehditleri ne kadar hızlı kontrol altına aldıkları ve hangi savunma araçlarına güvendikleri konusunda yararlı bilgiler sunduğuna dikkat çekiyor.
Rapor aynı zamanda uluslararası ortakların kendi siber güvenlik çabalarını artırmaya devam etmesiyle birlikte geliyor. Hollanda yakın zamanda artan dijital tehditleri gerekçe göstererek Birleşik Krallık’ın Ukrayna’yı destekleyen siber programına katılmak için 10 milyon Euro taahhüt etti.
Bu arada Kanada, yaptırımlarını Rusya’nın “gölge filosundan” 100’den fazla gemiyi ve ülkenin siber altyapısına bağlı çeşitli kuruluşları kapsayacak şekilde genişletti. Hareket, Rus siber operasyonlarını destekleyen ağları ve kaynakları sınırlamaya yönelik daha geniş bir çabanın parçası.