Popüler Rus yanlısı hacker grubu NoName057’nin siber güvenlik yazılım şirketi Avast’a karşı bir DDoS saldırısı başlattığı iddia edildi. Dark web araştırmacıları The Cyber Express’e saldırının kasıtlı göründüğünü ve Avast ile BT ekibine karşı bir kargaşayı ateşlemeyi amaçladığını söyledi.
Saldırı, eski adıyla NortonLifeLock ve Avast’ın şu anki holding şirketi olan Gen Digital’in müşterilerine veri ihlali bildirimleri göndermesinden günler sonra gerçekleşti. Gen Digital’e göre, bilgisayar korsanları kimlik bilgisi doldurma saldırıları kullandı ve Norton Password Manager hesaplarını ihlal etti.
Avast ve AVG markaları altında ürünler sunan Prag merkezli Çek çok uluslu siber güvenlik yazılım şirketinin 400 milyondan fazla müşterisi var. Avast, önde gelen küresel özel sermaye şirketleri CVC Capital Partners ve Summit Partners tarafından desteklenmektedir.
Şirket, Eylül 2022’de rakip NortonLifeLock ile birleşti. NortonLifeLock daha sonra Gen Digital olarak yeniden markalandı. Şirketin mevcut portföyü Norton, Avast, LifeLock, Avira, AVG, ReputationDefender ve CCleaner’ı içermektedir.
Avast ve Gen Digital’e yönelik siber saldırı
Gen Digital, son zamanlarda binlerce Norton parola yöneticisi kullanıcısını, kişisel bilgilerine ve saklanan parolalarına yetkisiz bir tarafça erişilmiş olabileceği konusunda uyardı.
Şirket, e-postada, olayın şirketin iç sistemlerinin ihlalinden ziyade bir kimlik bilgisi doldurma saldırısının neden olduğunu belirtti.
Gen’in siber güvenlik hizmetleri portföyü, yaklaşık 8.000 şifre yöneticisi kullanıcısı da dahil olmak üzere yaklaşık 925.000 aktif ve aktif olmayan kullanıcının saldırıda hedef alınmış olabileceği toplam 500 milyon kullanıcı tabanına sahiptir.
Şirkete göre, Norton’un izinsiz giriş tespit sistemleri 12 Aralık’ta alışılmadık sayıda başarısız oturum açma girişimi tespit etti ve daha ayrıntılı araştırmaların ardından şirket, saldırının 1 Aralık civarında başladığını belirledi.
Norton, saldırıda verilere erişildiğini onaylar onaylamaz hem düzenleyicileri hem de müşterileri derhal bilgilendirdi. Güvenliği ihlal edilmiş olabilecek kişisel veriler, kullanıcıların tam adlarını, telefon numaralarını ve posta adreslerini içerir.
Norton ayrıca, saldırıda kullanıcıların kullanıcı adları ve parolaları da dahil olmak üzere parola yöneticisi kasa verilerinin ele geçirilmiş olabileceğini göz ardı edemeyeceğini belirtti.
Önlem olarak Norton, etkilenen kullanıcılara kredi izleme hizmetlerine erişim sunuyor.
Avast ve İsimsiz
Eylül 2022’de Avast, tehdit grubu hakkında bilgileri açığa çıkaran NoName057 hakkında ayrıntılı bir rapor paylaştı.
Avast, NoName057’nin Rusya yanlısı bilgisayar korsanlığı hareketinin bir üyesi olduğunu ve DDoS Saldırıları ile Ukrayna’daki şirketleri hedef aldığını belirtti. Rapor, tehdit grubunun değişen siyasi manzarayı ustalıkla yönlendirerek Ukrayna’daki ve Estonya, Litvanya, Norveç ve Polonya gibi komşu ülkelerdeki Ukrayna yanlısı oluşumlara odaklandığını ileri sürdü.
İlginç bir şekilde, araştırma %40’lık bir başarı oranı bildirdi ve grubun sözde zaferlerinin beşte birini fiilen düzenlememiş olabileceğini ekledi.
#NoName057Rusya yanlısı 🇷🇺 #hacklemek grubun başlattığı iddia edildi. #DDoS saldırmak #Dur (@Dur), Çek Cumhuriyeti merkezli antivirüs yazılımı şirketi 🇨🇿… pic.twitter.com/PukSHu2yAV
— BetterCyber (@_bettercyber_) 23 Ocak 2023
Avast, tehdit gruplarının çalışmalarını açıklarken, farkında olmadan ya da kasıtlı olarak tehdit grubunun DDoS saldırılarının “düşük yoğunluğuna” değindi.
“Pekala… Avast’ın faaliyetlerimiz hakkında nasıl konuştuğunu ve uzmanların bize sözde düşük yoğunlukta DDoS saldırısına sahip olduğumuzu söylediğini açıkça hatırlıyorsunuz.” BetterCyber.
Grup ayrıca bir Çek BT şirketinin internet altyapısını kullanarak Avast’a nasıl saldırabildiklerini de açıkladı.
Mitolojilerine göre, tehdit grubu önce Avast portalının kodunu çözdü ve bir DDoS saldırısı başlatarak güvenlik şirketini portalda trafik seliyle baş başa bıraktı.
Bir sonraki saldırı aşaması üzerinde Avast forumu, ardından Avast WEBforum, İş Ortağı hesap portalı ve çoklu oturum açma çıkışı. Tüm bu varlıklar Avast’a aittir ve tehdit aktörü bunları başarıyla kullanarak Avast’ı daha sonra temizlenmesi gereken büyük bir karmaşayla baş başa bırakmıştır.
Avast, Çek Cumhuriyeti ve Ukrayna
Son zamanlarda, Rus yanlısı hacker grubu Genesis Day, Güney Koreli holding Samsung’a yapılan saldırının sorumluluğunu üstlendi.
Rusya yanlısı bilgisayar korsanları, Rusya ile bağlantıları olduğuna inanılan bir grup birey veya bilgisayar korsanlığı grubudur. Veri ihlalleri, web sitesi tahrifatları ve hizmet reddi saldırıları dahil olmak üzere siber saldırılar gerçekleştirmeleriyle tanınırlar.
Çek Cumhuriyeti, Şubat 2022’de Rus işgalinin başlamasından bu yana Ukrayna’nın ateşli bir destekçisi olmuştur. Ülke, Ağustos 2022 itibarıyla Ukrayna’dan gelen 420.000’e yakın mülteciyi barındırmaktadır.
Rusya yanlısı bilgisayar korsanlığı grupları ve bireyler, sinsi bir kurt sürüsü gibi yükseliyor ve arkasında siber bir yıkım izi bırakıyor. Veri ihlallerinden ve web sitesi tahrifatlarından bu karanlık rakamlar, son zamanların en yüksek profilli siber saldırılarından bazılarıyla ilişkilendirildi.
Siber suçun gölgeli dünyasında, birkaç kötü şöhretli oyuncu öne çıkıyor – Süslü Ayı olarak da bilinen APT28, Rahat Ayı olarak bilinen APT29 ve SandWorm Ekibi.
Bu grupların Rusya ile bağlantılı olduğuna ve birkaç yüksek profilli siber saldırıyla bağlantılı olduğuna inanılıyor.
Bazı uzmanlar, bu grupların sadece haydut aktörler değil, daha ziyade Rus hükümeti tarafından casusluk ve etki operasyonları için bir araç olarak kullanılan devlet destekli kuruluşlar olduğunu düşünüyor..