Dalış Özeti:
- Adalet Bakanlığı, Fancy Bear olarak da bilinen Rusya devlet bağlantılı tehdit grubu Forest Blizzard tarafından kontrol edilen bir botnet’i bozdu. mahkeme kararıyla yapılan operasyonda Kötü amaçlı siber faaliyetler için kullanılan yüzlerce küçük ofis/ev ofisi yönlendiricisini devre dışı bırakmak için.
- Botnet, ABD’de hedef odaklı kimlik avı ve kimlik bilgisi toplama saldırıları gerçekleştirmek için yüzlerce savunmasız Ubiquiti Edge OS yönlendiricisine yüklenen Moobot kötü amaçlı yazılımını kullandı. Tehdit grubu daha önce NATO hükümet kuruluşlarını, kritik altyapı sağlayıcılarını ve diğer kuruluşları hedef almıştı. Etkilenen yönlendiriciler hâlâ varsayılan şifreleri kullanıyordu.
- Bu eylem, ABD’de Ocak ayından bu yana yaşanan ikinci botnet kesintisi anlamına geliyor. Volt Typhoon tarafından desteklenen KV BotnetÇin Halk Cumhuriyeti’ne bağlı bir tehdit grubu.
Dalış Bilgisi:
FBI liderliğindeki kesinti, son aylarda devlet bağlantılı haydut tehdit gruplarının kötü niyetli faaliyetlerindeki artışın ortasında gerçekleşti.
Forest Blizzard, Outlook’ta kritik bir ayrıcalık artışı güvenlik açığından aktif olarak yararlanıyor. CVE-2023-23397ile Microsoft Exchange sunucularına yetkisiz erişim elde etmek.
Microsoft’un birlikte çalıştığı Polonya Siber Komutanlığı Bilgisayar korsanlarının parola püskürtme de dahil olmak üzere birden fazla taktik kullanması nedeniyle Aralık ayında tehdidi hafifletmek için. Ukrayna siber yetkilileri bu ayın başlarında bilgisayar korsanlarının Ukraynalı askeri personelin kimlik bilgilerinin çalınması.
Araştırmacılar Palo Alto Networks’ün Birim 42’siGrubu Fighting Ursa olarak takip eden Microsoft Exchange sunucularına yönelik istismar faaliyetinin enerji üretimi, hava taşımacılığı ve boru hatlarına yönelik saldırıları içerdiğini söyledi.
Güvenlik araştırmacıları, ABD’nin seçim sezonuna doğru ilerledikçe ulus devlet tehdit faaliyetlerinin artmasını bekliyor.
Google Cloud Mandiant Intelligence baş analisti John Hultquist, “Bu eylemler her derde deva değil ve bu aktör yakında yeni bir planla geri dönecek, ancak seçimler yaklaşırken GRU operasyonlarına sürtüşme eklemek için bundan daha iyi bir zaman olmamıştı” dedi. , bir açıklamada söyledi.
Forest Blizzard, devlet bağlantılı beş aktörden biriydi OpenAI platformundan geri döndü Bu hafta. Birden fazla tehdit grubu, erken aşama araştırmaları yürütmek ve diğer faaliyetleri yürütmek için şirketin yapay zeka araçlarını kullanıyordu.
Mevcut kampanya, GRU’nun genellikle dahili olarak kötü amaçlı yazılım geliştirmesi nedeniyle alışılmadık bir durum, ancak bu durumda DOJ’a göre zaten mevcut olan suç niteliğindeki kötü amaçlı yazılımlara dayanıyordu. Moobot bir Mirai varyantı kötü amaçlı yazılım Bu daha önce 2022’de savunmasız D-Link yönlendiricilerini kullanan tehdit faaliyetleriyle bağlantılıydı.
Ocak ayının sonlarında yetkilendirilen FBI operasyonu, ele geçirilen yönlendiricilerden çalınan dosyaları ve diğer verileri kopyalayıp sildi. Operasyon aynı zamanda ABD genelinde bireyler ve küçük ofisler tarafından kullanılan cihazlara uzaktan erişimi de devre dışı bıraktı. Kullanıcılar, fabrika ayarlarına sıfırlama yoluyla cihazlara normal erişimlerini yeniden kazanabilirler.
FBI, yönlendiricilerin sahiplerini ve operatörlerini bilgilendirmek için yerel internet servis sağlayıcılarıyla birlikte çalışıyor.