ABD Adalet Bakanlığı, Rus Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü’ne (GRU) bağlı 161. Uzman Eğitim Merkezi olan 29155 Numaralı Birim’in üyeleri olarak beş Rus bilgisayar korsanını açıkladı. Bu kişilerin, 2022’de Ukrayna hükümet kuruluşlarına ve kritik altyapılarına yönelik WhisperGate silme yazılımı saldırılarından ve sonrasında NATO üyesi ve müttefik ülkelere yönelik bilgisayar ağı operasyonlarından sorumlu oldukları düşünülüyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı tarafından dokuz müttefik ülkenin siber güvenlik ve hükümet kurumlarının yardımıyla derlenen bir güvenlik duyurusunda, “2022’nin başlarından bu yana siber aktörlerin temel odak noktasının Ukrayna’ya yardım sağlama çabalarını hedef almak ve aksatmak olduğu görülüyor” denildi.
“Etkinlik, web sitesi tahrifatları, altyapı taramaları, veri sızdırma ve veri sızıntısı operasyonları gibi siber kampanyaları içerir. Bu aktörler, ihlallerinden elde edilen sızdırılmış kurban verilerini satar veya kamuya açıklar.”
Grubun hedefleri
29155 Nolu Birim, GRU ile ilişkili 26165 Nolu Birim (Süslü Ayı) ve 74455 Nolu Birim’den (Kum Solucanı) ayrıdır.
Ajanslara göre, Birim 29155 (diğer adıyla Cadet Blizzard, diğer adıyla Ember Bear), “deneyimli Birim 29155 liderliğinin yönetimi altındaki genç aktif görevdeki GRU subaylarıdır”, ancak aynı zamanda bilinen (Rus) siber suçlular tarafından da yardım almaktadırlar.
Örneğin; ABD Adalet Bakanlığı, GRU’ya bağlı beş hacker’ın yanı sıra, bu hacker’ların yıkıcı ve yıkıcı faaliyetlerine yardım ettiği iddia edilen bir sivili de suçladı.
ABD Dışişleri Bakanlığı, mühürleri açılan iddianamenin yanı sıra sanıkların konumları veya kötü niyetli siber faaliyetleri hakkında bilgi verenlere 10 milyon dolara kadar ödül teklif ediyor.
Grup, hükümet kurumlarını hedef almasının yanı sıra NATO üyeleri, AB, Orta Amerika ve Asya ülkelerinin finansal hizmetleri, ulaşım sistemleri, enerji ve sağlık sektörlerine de saldırmaya odaklandı.
“Birim 29155, en azından 2020’den beri saldırgan siber operasyonları içerecek şekilde mesleklerini genişletti,” diyor danışma. “FBI, NSA ve CISA, Birim 29155’in Avrupa genelinde darbe girişimlerinden, sabotaj ve etki operasyonlarından ve suikast girişimlerinden sorumlu olduğunu değerlendiriyor.”
29155 Nolu Birim saldırıları nasıl gerçekleştiriyor?
Grup, aşağıdaki amaçlar için geniş yelpazede kamuya açık araçlar kullanmaktadır:
- Dış ve iç keşif (Shodan, WPScan, VirusTotal, Netcat, Nmap, MASSCAN, vb.)
- Active Directory (AD) numaralandırması (Impacket, ldapdomaindump, BloodHound)
- Güvenlik açığı taraması (Acunetix, Amass, Droopescan, eScan ve JoomScan)
GitHub depolarındaki CVE istismar betiklerini kullanarak savunmasız IoT ve ağ cihazlarını, bilgisayarları ve web sunucularını ve araçlarını barındırmak, keşif yapmak, mağdur altyapısını istismar etmek ve mağdur verilerini sızdırmak için sanal özel sunucuları hedef alıyorlar.
“Özel çözümler oluşturmak yerine, Birim 29155 siber aktörleri siber operasyonları yürütmek için yaygın kırmızı takım tekniklerini ve kamuya açık araçları kullanıyor. Sonuç olarak, birçok TTP diğer siber aktörlerin TTP’leriyle çakışıyor ve bu da yanlış atıflara yol açabiliyor,” diye belirtti danışma.
“Birim 29155 aktörleri ve siber suçlu iştirakleri genellikle karanlık web forumlarında hesaplar tutuyor; bu, Raspberry Robin ve SaintBot gibi kötü amaçlı yazılım ve kötü amaçlı yazılım yükleyicileri gibi çeşitli hacker araçlarını elde etme fırsatı sağladı. Birim 29155 siber aktörleri, Ukrayna’ya karşı WhisperGate kötü amaçlı yazılımını kullanmalarıyla tanınsa da, WhisperGate’in kullanımı gruba özgü değil.”
Tavsiye, mevcut güvenlik kontrollerini test etmek ve Birim 29155 saldırılarının tehlikesini azaltmak için tavsiyelerde bulunmak üzere MITRE ATT&CK tekniklerinin ana hatlarını vererek sona eriyor.