Rus devlet bağlantılı bir gruptan olduğuna inanılan yeni ve son derece sofistike bir siber saldırı ortaya çıktı. Bu yenilikçi yöntem, insanları çok faktörlü kimlik doğrulama (MFA) gibi ortak güvenlik önlemlerini atlayarak uygulamaya özgü şifreler (ASP’ler) oluşturmaya ve teslim etmeye kandırır.
Bu sofistike saldırı, Citizen Lab (Toronto Üniversitesi’nde bir araştırma grubu) ve Google’ın Tehdit İstihbarat Grubu (GTIG) tarafından ortaklaşa açıklandı. Soruşturmaları, Rus bilgi operasyonları konusunda tanınmış bir uzman ve Chatham House’da kıdemli bir ortak olan Keir Giles’in, hedeflendikten sonra yardım için Citizen Lab ile temasa geçtikten sonra başladı.
Kötü niyetli yeni bir yaklaşım
Bu yeni saldırı tipik kimlik avından farklıydı. Yavaş ve çok ikna ediciydi. 22 Mayıs 2025’te, Bay Giles’in ABD Dışişleri Bakanlığı yetkilisi gibi davranan Claudie S. Weber adında birinden bir e -posta aldığı zaman başladı. E -posta, “CC” satırındaki diğer resmi adreslerle bile gerçek görünüyordu. Saldırganlar zamanını aldı, güven oluşturmak için birkaç haftada ondan fazla e -posta gönderdi. Uzmanlar, mesajlarını çok doğal hale getirmek için gelişmiş araçlar kullanmış olabileceklerini düşünüyorlar.
Ana hile, Bay Giles’ın sahte bir MS DOS konuk kiracı platformuna kaydolmasını sağlamaktı. Ona talimatlarla profesyonel görünümlü bir PDF gönderdiler. Bu PDF, Google hesabı için uygulamaya özgü bir şifre (ASP) oluşturmaya yönlendirdi.
Bilgileriniz için ASP, modern güvenlik ile çalışmayan eski uygulamalar için özel bir 16 haneli koddur. Bilgisayar korsanları, bu ASP’nin onu güvenli bir hükümet sistemine girmesine izin vermesini sağladı, ancak aslında onlara hesaplarının tam kontrolünü verdi.
Rus bağlantısı ve gelecekteki uyarılar
GTIG, bu saldırıların arkasındaki grubu UNC6293 olarak tanımladı. Biraz kesin olarak, UNC6293’ün Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağlı bir siber casusluk grubu olan APT29’a (Cozy Bear) bağlı olduğuna inanıyorlar. Google daha sonra Bay Giles’ın hesaplarına yönelik saldırıyı tespit etti, onları güvence altına almak için adımlar attı ve saldırganın e -posta adresini devre dışı bıraktı.
Bu olay artan bir endişeyi vurgulamaktadır: MFA gibi standart güvenlik daha yaygın hale geldikçe, saldırganlar onu atlamak için yeni yollar buluyor. Uzmanlar, uygulamaya özgü şifreleri hedefleyen daha fazla sosyal mühendislik saldırısı bekliyor.
Siber güvenlik ekiplerinin artık ASP’lerin kuruluşlarında nasıl kullanıldığı konusunda dikkatli olmaları ve kullanıcıları bu yeni riskler hakkında eğitmeleri tavsiye edilmektedir. Google, Google çalışma alanlarındaki işletme kullanıcıları için ASP’leri aşamalı olarak çalışmak için çalışıyor, ancak yine de güvenliği kişisel Gmail hesapları için kullanıcı ihtiyaçları ile dengeliyor.