Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Ukraynalı Siber Savunmacılar, FSB’ye Bağlı Grubun Gelişmişlik Açısından Büyüdüğünü Söyledi
Sayın Mihir (MihirBagwe) •
1 Eylül 2023
Kiev siber savunucuları, Rusya iç istihbarat teşkilatı FSB ile bağlantılı bir bilgisayar korsanlığı grubunun, Rus işgalcileri sınır dışı etmek için Ukrayna askeri müdahalesiyle birlikte saldırılarını yoğunlaştırdığını söylüyor.
Ukrayna Ulusal Siber Güvenlik Koordinasyon Merkezi Perşembe günü yayınlanan bir raporda Gamaredon ve Armageddon olarak takip edilen bir grubun saldırılarının karmaşıklığını ve temposunu geliştirdiğini söyledi.
Merkez, Gamaredon’un Ukrayna’yı hedef alan teknik açıdan en gelişmiş bilgisayar korsanlığı grubu olmayabilir, ancak yöntemlerinin gelişme gösterdiğini ve saldırılarının yoğunlaşmasının, yararlanabileceği daha fazla kaynağa sahip olduğunu gösterdiğini belirtti.
Ukrayna Güvenlik Servisi’nin 2021’de bildirdiğine göre, 2013 veya 2014’ten bu yana faaliyet gösteren grup, FSB’nin normal memurlarından ve Ukrayna’nın bazı eski kolluk kuvvetlerinden oluşuyor. Haziran ayı başlarında Kiev, Rus güçlerine karşı bir karşı saldırı başlattı. Ağır Rus savunmasıyla çıkmaza girdi. CNN Cuma günü, Ukrayna kuvvetlerinin Dnipro Nehri boyunca Zaporizhzhia bölgesindeki Rus mevzilerinin ilk hattına girdiğini ancak hâlâ genişleyen bir müstahkem hendek ağıyla karşı karşıya olduğunu bildirdi.
Gamaredon geçmişte kurbanları tuzağa düşürmek için kimlik avı kampanyaları kullanıyor. Grubun kampanyaları, ele geçirilen hükümet ve askeri kuruluşlardan çalınan meşru belgelerin kullanılmasıyla diğerlerinden ayrılıyor.
Raporda, Gamaredon’un artan mali desteğinin bir işaretinin, Nisan ve Mayıs aylarında kayıtlı alan adları ve alt alan adlarındaki artış olduğu belirtiliyor; bu, karşı saldırı başladığında başlatılan hacklemeler için kullanılan altyapıdır. Geniş bir etki alanına sahip olmak, keşif ve ilişkilendirmeyi zorlaştıran dinamik bir altyapı oluşturdu.
Grup, saldırıların kaynağını gizlemek için kullandığı IP adreslerini çıkarmak için Cloudflare’in genel DNS çözümleyicisi ve Telegram dahil meşru hizmetleri kullanıyor. Kiev, ulusal güvenlik gerekçesiyle Telegram ve Telegram mikroblog platformu Telegraph’ı sınırlamayı düşünüyor.
Gamaredon’un kötü amaçlı yazılım cephaneliği GammaDrop, GammaLoad, GammaSteel ve LakeFlash olarak bilinen kötü amaçlı yazılımları içerir. Öne çıkanlardan biri, Ukraynalı siber savunucuların hedef sistemlere nüfuz etme ve onları tehlikeye atma kapasitesine sahip güçlü bir tehdit olarak adlandırdığı çok amaçlı bir casusluk aracı olan Pterodo’dur. Bu yazın başlarında Symantec’ten güvenlik araştırmacıları, Gamaredon’un hava boşluklu makinelere ulaşmak amacıyla özel arka kapıyı USB sürücüler aracılığıyla yaydığını gözlemledi (bkz: Rus Bilgisayar Korsanları Ukrayna’yı Hedef Almak İçin USB Kötü Amaçlı Yazılım Kullanıyor).