Fransa, bir siber casusluk kampanyasında Fransız hükümet kuruluşlarını hedeflemekle Rusya’nın APT28 hackleme grubunu (Fantezi Ayı) suçluyor. Gru bağlantılı saldırılar, taktikler ve TV5MONDE HACK gibi önceki olaylar hakkında bilgi edinin.
Fransa, Rusya’nın askeri istihbarat ajansı GRU’ya (Rusya Genel Personel Ana İstihbarat Müdürlüğü) bağlı Rus devlet destekli hack grubu APT28’i, bir düzine Fransız hükümetini ve diğer kuruluşları hedeflemek veya tehlikeye atmakla suçladı.
En az 2004’ten beri Bluedelta, Fancy Bear, Forest Blizzard, Sednit ve Sofacy gibi isimler altında aktif; APT28 tipik olarak Avrupa ve ABD’deki hükümet, askeri, enerji ve medyayı hedefler.
Şimdi, Fransız siber güvenlik ajansı ANSSI tarafından yapılan bir rapor, Fransız yerel yönetimi, yönetim, savunma, havacılık, araştırma, finans ve düşünce kuruluş organizasyonlarına son saldırıları APT28’e bağladı.
Öncelikle 2024 yılında hükümet, diplomatik ve araştırma kuruluşlarına yönelik bu saldırılar, kimlik avı, kırılganlık sömürüsü ve genellikle ucuz, dış kaynaklı altyapıya dayanan ilk erişim için kaba kuvvet saldırılarını kullandı.
Bu altyapı, ANSSI raporuna (PDF) göre, kiralanan sunucular, ücretsiz barındırma hizmetleri, VPN’ler (sanal özel ağlar) ve geçici e -posta adreslerini içerir. Bu yaklaşım esneklik sağlar ve tespit edilmemiş kalma yeteneklerini geliştirir.
ANSSI, APT28’in başlık arka kapısını dağıtmak için Roundcube e -posta sunucularını hedeflediğini, OceanMap Stealer’ın kullanımını ve UKR.NET ve Yahoo kullanıcılarına karşı kimlik avı kampanyalarını, altyapılarını gizlemek için tehlikeye atılmış yönlendiriciler ve diğer yöntemleri kullandığını kaydetti.
Fransa’nın Avrupa ve Dışişleri Bakanlığı, Rusya’nın APT28’i kullanmasını şiddetle kınadı, 2024 Olimpiyatlarına yönelik geçmiş saldırıları vurguladı ve 2017 seçimlerine müdahale etmeye teşebbüs etti. Bu tür eylemlerin BM’nin siber alanda sorumlu devlet davranışı normlarını ihlal ettiğini ve Rusya’nın kötü niyetli siber faaliyetlere karşı koyma sözü verdiğini vurguladılar.
Fransız Dışişleri Bakanlığı’nın yaptığı açıklamada, “Fransa, Rusya’nın APT28 Saldırı Grubu’nun Askeri İstihbarat Servisi’nin Fransız çıkarlarına yönelik birkaç siber saldırının kökenini en güçlü şartlarda kınıyor” dedi.
Fransa APT28’i IŞİD Hacker’ları taklit etmekle suçladı
Hackread.com, APT28’in faaliyetlerini takip ediyor ve önceki bir raporun TV5MONDE’deki 2015 siber saldırısına bağlanması. Başlangıçta, bu saldırı, yayıncının sosyal medyasında ISIS yanlısı mesajlar göndererek ve küresel TV kanallarını geçici olarak karartarak “sibercalifhate” olarak bilinen IŞİD/IŞİD militanları olarak poz veren bir gruba atfedildi.
Bununla birlikte, sonraki araştırmalar, APT28 tarafından kullanılan eşleşen IP adresleri ve tekniklerini ortaya çıkardı ve önde gelen Fransız yetkililer ve siber güvenlik uzmanları Rus hükümetinin katılımından şüphelendi.
Benzer bir siber saldırı, Nisan 2015’te BBC’nin canlı aktarımını hedefledi. Ancak, İngiliz hükümetinin olayı APT28’e bağlayıp ilişkilendirmediği veya kimliğe bürünme taktiklerini kabul edip etmediği belirsizliğini koruyor.
Bununla birlikte, bu hedeflenen faaliyet modeli APT28’in Fransa ve diğer uluslara karşı kalıcı tehdidini göstermektedir. Ayrıca stratejik zeka toplama ve Fransız toplumu içinde kamu algısını etkileme çabalarını önermektedir.