Ukrayna savaşının patlak vermesinden bu yana Batı hedeflerine yönelik bir dizi dağıtılmış hizmet reddi (DDoS) saldırısının arkasında olan Rusya bağlantılı KillNet bilgisayar korsanlığı grubu, yeteneklerini istikrarlı bir şekilde artırmaya devam ediyor ve daha etkili saldırılar gerçekleştirmek için muhtemelen yeni oluşturulan veya bünyesine alınan bağlı kuruluş gruplarını kullanıyor, ancak birincil hedefi muhtemelen dikkat çekmeye devam ediyor.
Bu, yakın zamana kadar KillNet grubunun saldırılarının “kısa süreler boyunca yalnızca sığ etkiler” yarattığını söyleyen Google Cloud destekli Mandiant’taki tehdit araştırmacıları tarafından yürütülen grup analizine göre.
Bununla birlikte, yeni, ilişkili grupların ortaya çıkışı – en önemlisi, ne anonim ne de Sudanlı olan Anonim Sudan – daha fazla kuruluşun oturup dikkat çekmesine neden oluyor, dedi Mandiant.
“Kendini hacker grubu ilan eden Anonymous Sudan, KillNet’in yeteneklerini artırmış gibi görünüyor ve grup, iddia edilen DDoS saldırılarının çoğunu yürüterek 2023’te kolektifin en üretken üyesi haline geldi. Anonim Sudan, daha önce KillNet üyeleri tarafından gözlemlenmeyen düzeyde önemli kesintilere neden oldu” diye yazdı araştırma ekibi.
Mandiant’ın hesabına göre, bu yıl topluluğa atfedilen DDoS saldırılarının yaklaşık %63’ünü Anonymous Sudan gerçekleştirdi, bunu UserSec (%14) ve KillNet’in kendisi (%10) izledi.
En önemlisi, Storm-1359 olarak da izlenen Anonim Sudan, Microsoft’a karşı Haziran ayının başında Azure, OneDrive ve Outlook ürünleri kullanıcıları için hizmet kesintilerine neden olan son derece başarılı bir DDoS saldırısından sorumluydu.
Bu arada UserSec, bu hafta Birmingham ve London City havalimanlarının web sitelerinin kısa bir süreliğine kesintiye uğramasına neden olan bir olayın arkasında bulundu.
KillNet topluluğu ayrıca REvil fidye yazılımı grubuyla bağlantılı operatörleri aralarına kattığını iddia etti ve Conti ile bağlantıları olduğunu öne sürdü.
Mandiant, grubun kapsayıcı yapısının, liderliğinin ve yeteneklerinin açıkça önemli değişimler geçirdiğini ve KillNet’in kendisinin çizdiklerine ek olarak küresel dikkat çekmek için hareket eden bu daha yeni ve yüksek profilli siber suç “markalarını” içeren bir modele doğru ilerlediğini söyledi.
Mandiant Intelligence’ın baş analisti John Hultquist’e göre, dikkat çekmek bir dereceye kadar kolektifin ana hedefi.
Hultquist, Computer Weekly’ye “Rus yanlısı bilgisayar korsanları, gösterişli hedefleri vurarak ve bir dizi kimliği ele geçirerek gerçekten dikkatimizi kırmaya çalışıyor” dedi. “Ciddi bir olayı gerçekleştirmeyi başarabilirler, ancak acil etkilerin onlar için güvenlik duygumuzu baltalamak kadar önemli olmadığını unutmamalıyız.”
Tutarlı hedefleme ancak Kremlin bağlantılarının kanıtı yok
Mandiant, KillNet’in Rusya’nın jeopolitik hedefleriyle uyumlu tutarlı hedeflemeyi sürdürürken, grubun Rus istihbarat ve güvenlik servisleriyle işbirliği yaptığını veya onlar tarafından görevlendirildiğini doğrudan doğrulayan herhangi bir kanıt elde edemediğini söyledi.
Araştırma ekibi, “KillNet ve bağlı kuruluşlarının DDoS saldırılarına devam edeceğini ve kuruluşları hedef almada daha küstahlaşacağını tahmin ediyoruz” dedi.