Rus güvenlik firması Kaspersky bugün, operasyonları araştırmacıların daha önce fark ettiğinden çok daha eskilere uzanan bir hacker grubunun yapbozuna bir parça daha ekleyen yeni bir araştırma yayınladı.
Güvenlik şirketi Malwarebytes tarafından geçen hafta yayınlanan araştırma, hem orta Ukrayna’daki Ukrayna yanlısı kurbanlara hem de doğu Ukrayna’daki Rusya yanlısı kurbanlara karşı casusluk operasyonları yürüten bir bilgisayar korsanlığı grubu Red Stinger’a yeni bir ışık tuttu. Hedeflerin ideolojik karışımı ve bilinen diğer bilgisayar korsanlığı gruplarıyla bağlantı eksikliği nedeniyle bulgular ilgi çekiciydi. Malwarebytes’in raporunu yayınlamasından birkaç hafta önce Kaspersky, grup hakkında Bad Magic adını verdiği bir araştırma da yayınlamış ve benzer şekilde saldırılarda kullanılan kötü amaçlı yazılımın bilinen başka herhangi bir bilgisayar korsanlığı aracıyla bağlantısı olmadığı sonucuna varmıştı. Kaspersky’nin bugün yayınladığı araştırma, sonunda grubu geçmiş faaliyetlerle ilişkilendiriyor ve saldırganların olası motivasyonlarını anlamak için bazı ön bağlamlar sağlıyor.
Bağımsız olarak bulduklarına Malwarebytes araştırmasını da ekleyen Kaspersky araştırmacıları, bağlantıları aramak için geçmiş telemetri verilerini inceledi. Sonunda, grubun kullandığı bazı bulut altyapısı ve kötü amaçlı yazılımların, güvenlik şirketi ESET’in 2016’da tanımladığı Ukrayna’daki casusluk kampanyalarıyla ve CyberX firmasının 2017’de keşfettiği kampanyalarla benzerlikler taşıdığını keşfettiler.
Kaspersky kötü amaçlı yazılım araştırmacısı Georgy Kucherin, “Malwarebytes, ilk bulaşma aşaması hakkında daha fazla şey öğrendi ve ardından, grubun 2020’den beri bazı saldırılarında kullanılan yükleyici hakkında daha fazla şey buldu” diyor. “Kötü amaçlı yazılım hakkındaki raporumuzu yayınladıktan sonra, benzer hedefleri olan ve geçmişte gerçekleşmiş benzer kampanyalar hakkındaki geçmiş verileri görüntülemeye karar verdik. ESET ve CyberX’in benzer iki kampanyasını bu şekilde keşfettik ve orta ile yüksek arasında bir güvenle kampanyaların birbirine bağlı olduğu ve hepsinin büyük ihtimalle aynı aktör tarafından yürütüleceği sonucuna vardık.”
Zaman içindeki farklı faaliyetler benzer mağduriyetlere sahiptir, yani grup hem Ukrayna’daki Rusya yanlısı gruplar için çalışan yetkililer hem de Ukrayna hükümet yetkilileri, politikacıları ve kurumları dahil olmak üzere aynı tür hedeflere odaklanmıştır. Kucherin ayrıca kendisinin ve meslektaşlarının, grubun kötü amaçlı yazılımı tarafından kullanılan eklentilerin kodunda benzerlikler ve birden fazla örtüşme bulduğunu belirtiyor. Hatta bazı kodlar bir kampanyadan diğerine kopyalanıp yapıştırılmış gibi görünüyordu. Ve araştırmacılar, grubun sunucularına aktardığı dosyalarda bulut depolama ve karakteristik dosya biçimlerinin benzer şekilde kullanıldığını gördü.
Geçen hafta yayınlanan Malwarebytes araştırması, bilgisayar korsanlığı grubu tarafından 2020’den bu yana, Ukrayna’nın kritik altyapısı üzerinde çalışan Ukrayna ordusunun bir üyesini hedef alan bir kampanya da dahil olmak üzere beş kampanyayı belgeledi. Başka bir kampanya, Ukrayna’nın doğusundaki Rusya yanlısı seçim görevlilerini, Rusya Merkez Seçim Komisyonu’nun bir danışmanını ve bölgede ulaşım konusunda çalışan birini hedef aldı.
2016’da ESET, “Groundbait Operasyonu” adını verdiği etkinlik hakkında şunları yazmıştı: “Groundbait Operasyonunu diğer saldırılardan ayıran ana nokta, çoğunlukla kendi kendini ilan eden Donetsk ve Luhansk Halk Cumhuriyetlerindeki hükümet karşıtı ayrılıkçıları hedef almasıdır. . Saldırganlar doğu Ukrayna savaş bölgelerindeki ayrılıkçılar ve kendi kendini ilan eden hükümetlerle daha çok ilgileniyor gibi görünse de, diğerlerinin yanı sıra Ukrayna hükümet yetkilileri, politikacılar ve gazeteciler de dahil olmak üzere çok sayıda başka hedef de var.”