Yakın zamanda yapılan bir siber güvenlik güncellemesinde, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Mayıs-Eylül 2023 döneminde çeşitli telekomünikasyon hizmet sağlayıcılarına ‘UAC-0165’ kod adlı bir grup tarafından 11 siber saldırı gerçekleştirildiğini duyurdu.
Bu saldırılar hizmet kesintilerine yol açarak çok sayıda müşteriyi erişimsiz bıraktı ve telekomünikasyon sektöründe siber güvenlik uygulamalarına olan acil ihtiyacın altını çizdi.
Bu saldırılar genellikle saldırganların kuruluşun ağına bakan açık RDP ve SSH arayüzlerini kullandığı bir keşif aşamasıyla başlar.
CERT-UA Güncellemesi: Ukrayna Telekom Sektörüne UAC-0165 Siber Saldırısı
CERT-UA’ya göre, bu keşif ve istismar faaliyeti, çoğunluğu internetin Ukrayna kısmına dayanan, başlangıçta güvenliği ihlal edilmiş sunuculardan kaynaklanıyor. Dante ve SOCKS5 gibi proxy’lerin kullanımı, trafiği tehdit aktörlerinden bu düğümlere yönlendirmeyi amaçlamaktadır.
Bunlar, özellikle POEMGATE ve POSEIDON olmak üzere, kimlik bilgilerinin çalınması ve ele geçirilen makinelerin uzaktan kontrol edilmesi amacıyla iki yüksek hedefli hackleme aracı kullandıkları için ayırt edilebilir.
Ayrıca beyaz kedi, saldırganların tespit ve adli analizleri atlatmak için kullandığı bir araçtır. Daha da kötüsü, çok faktörlü kimlik doğrulama korumasına sahip olmayan VPN hesapları aracılığıyla sağlayıcının altyapısına sürekli erişmeyi başarmaları.
Bir sonraki aşama, saldırganların başta Mikrotik cihazları ve veri depolama sistemleri olmak üzere ağ ve sunucu ekipmanlarını fiziksel olarak yok etme girişimlerini içeriyor.
Bu hedefe yönelik eylemler, saldırılarda yaşanan hasarı ve düzensizliği daha da kötüleştirerek, etkilenen telekomünikasyon sağlayıcılarının ve müşterilerinin bu olumsuz etkilerle başa çıkmasını zorlaştırıyor.
UAC-0006 grubu, CERT-UA ve diğer kuruluşlara dört kimlik avı dalgası gönderdi. Bu saldırılarda SmokeLoader kötü amaçlı yazılımı Ekim 2023’ün ilk haftasında başlatıldı.
Daha da kötüsü, saldırganların kimlik avı mesajları göndermek için ele geçirilmiş ancak meşru e-posta adresleri kullanması, bunun tespitini çok daha zorlaştırdı. SmokeLoader PC’ye kurulduğunda kötü amaçlar için kullanılır.
Bu kimlik avı saldırılarının temel amacı, saldırganın hesaplarını muhasebecilerin bilgisayar sistemlerine sokmak ve ardından oturum açma kimlik bilgileri, parolalar, anahtarlar veya sertifikalar gibi kimlik doğrulamayla ilişkili bilgilerin çalınmasıdır. T
Ele geçirilen kişisel veriler daha sonra saldırganlar tarafından uzak bankacılık altyapısında manipüle edilebilir ve bu da hileli işlemlerin mümkün kılınmasına neden olur.
Bu siber tehditlere yanıt olarak CERT-UA, Ukrayna’daki TSP’lere siber güvenlik önlemlerini artırmaları yönünde çağrıda bulunuyor. Ajans, düzenli olarak güvenlik denetimleri yapılmasını, VPN hesaplarının çok faktörlü kimlik doğrulamasının etkinleştirilmesini ve ağ altyapılarının potansiyel saldırganlara karşı güçlendirilmesini tavsiye ediyor.
Bu bağlamda Ukraynalı telekomünikasyon sağlayıcılarında görüldüğü gibi bu tür siber saldırılar, aynı zamanda dünyanın her yerindeki kuruluşların karşı karşıya olduğu siber güvenlik tehditlerinin kalıcılığının ve sürekli değişen özelliklerinin de altını çiziyor.
Teknolojik ilerleme, tehdit aktörlerinin gelişmiş yöntem ve yeteneklerini beraberinde getiriyor. Kuruluşlar ve hükümetler tetikte olmaya devam etmeli, ilgili bilgileri paylaşmalı ve kritik altyapıyı savunmak ve hassas verileri her zaman mevcut olan siber tehlikelerden korumak için siber güvenlik savunmasını geliştirmeye kararlı olmalıdır.
Ukrayna Telekom’u hedef alan bu siber saldırılara rağmen CERT-UA, gelişmiş siber güvenlik için çözümler sunmaya devam edeceğini garanti ediyor. Bu saldırı, gelecekteki saldırıları önlemek için etkili ve çevik bir siber güvenlik çerçevesine acil ihtiyaç olduğunu açıkça ortaya koyuyor.
Ukrayna, siber güvenlik önlemlerini aralıksız iyileştirerek ve kuruluşlar arasında işbirliklerini teşvik ederek siber dayanıklılığını artırabilir. Son zamanlardaki izinsiz girişler, siber uzayda kritik altyapının güvenliğinin sağlanması ve hassas bilgilerin güvende tutulması açısından etkileri olan devam eden risklere dair korkunç hatırlatmalar olarak öne çıkıyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.