Rusya’nın Fancy Bear olarak bilinen Gru destekli APT28, NATO ile hizalanmış kuruluşlara karşı siber casusluk kampanyasını yoğunlaştırdı.
En az 2007’den bu yana aktif olan bu kötü şöhretli tehdit oyuncusu, ABD, İngiltere, Almanya, Kanada, Polonya, Ukrayna ve diğer NATO üye ülkelerindeki kritik altyapı, hükümet kuruluşlarını ve lojistik firmalarını hedefleyen bir dizi sofistike saldırıya atfedildi.
Kampanya kritik altyapıyı hedefliyor
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve İngiltere Ulusal Siber Güvenlik Merkezi’nden (NCSC) ortak tavsiyelere göre, 2023 ve 2025 yılları arasında çok sayıda girişimde bulunuldu kimlik bilgisi hırsızlıkları ve kimlik avı kampanyaları bildirildi ve bu operasyonun kalıcı ve stratejik doğasının altını çizdi.
.png
)
SOC Radar raporuna göre, birincil hedef, jeopolitik gerilimler sırasında tedarik zincirlerinin ve iş sürekliliğinin gelecekteki bozulması potansiyeli olan hassas verilerin hırsızlığı gibi görünmektedir.
APT28’in metodolojisi, gizliliği teknik yetenekle birleştirir, mızrak kimlik avı, şifre püskürtme ve Microsoft Outlook’ta CVE-2023-23397 gibi bilinen güvenlik açıklarının kullanımı (bir ayrıcalık artış kusuru) ve CVE-2023-20273 gibi CISCO ASA/FTD ASA/FEABLE uzaktan kumanda uygulaması).
Saldırıları genellikle kaba kuvvet yöntemleri veya Outlook Web Access (OWA) ve VPN uç noktaları gibi webmail hizmetlerini hedefleyen titizlikle hazırlanmış kimlik avı e-postaları ile elde edilen tehlikeye atılmış kimlik bilgileriyle başlar.
Taktikler ve teknikler gizli bir karışım ortaya çıkarır
İçeri girdikten sonra, APT28, planlanan görevler ve grup politika nesnesi (GPO) manipülasyonu gibi kalıcılık mekanizmalarının yanı sıra PowerShell ve WMIC gibi Yürütme İkili ve WMIC gibi LOLBINS) kullanır.
Tespitten kaçınmak için, anonimleştirme vekilleri ve gizlenmiş alan altyapısını kullanırlar, atıf ve tehdit avını savunucular için önemli bir zorluk haline getirirler.
Kampanya ağırlıklı olarak casusluk odaklı olsa da, GRU’nun kritik sistemlerdeki derin kalıcılığı, sabotaj için gizli bir yeteneğe işaret ediyor ve artan çatışmalar sırasında potansiyel kesintiler hakkında alarmlar yükseliyor.
Bu saldırıların sonuçları, özellikle NATO operasyonlarına ayrılmaz lojistik ve savunma tedarik zincirleri için geniş kapsamlıdır.
Veri hırsızlığının ötesinde, bu tür bir altyapıdaki bir dayanak, GRU’nun operasyonları manipüle etmesini veya durdurmasını sağlayarak ulusal güvenlik ve ekonomik istikrar için doğrudan bir tehdit oluşturabilir.
Güvenlik ekiplerinin, sömürülen güvenlik açıklarını ele almak için titiz yama yönetimi, tüm uç noktalarda çok faktörlü kimlik doğrulamanın (MFA) uygulanması ve uç nokta tespiti ve yanıtının (EDR) veya genişletilmiş tespit ve yanıt (XDR) platformlarının gelişmiş görünürlük için dağıtılması da dahil olmak üzere proaktif önlemler alması istenir.
APT28’in taktikleri, teknikleri ve prosedürleri (TTP’ler) ile ilişkili uzlaşma göstergelerini (IOC) tanımlamak için gerçek zamanlı tehdit istihbaratını entegre etmek gibi, yanal hareketi tespit etmek için kimlik doğrulama günlüklerinin izlenmesi ve davranışsal taban çizgilerinin oluşturulması da kritiktir.
Geleneksel ve siber çatışma arasındaki sınırlar bulanıklaşmaya devam ettikçe, bu kampanya devlet destekli tehditlerin varsayımsal değil aktif ve hedeflendiğini güçlü bir hatırlatma görevi görüyor.
Kuruluşlar, APT28 gibi aktörlerin sofistike işleme işlemlerine karşı korunmak için reaktif savunmalardan stratejik, zeka odaklı güvenlik duruşlarına geçiş yapmalı ve giderek daha düşmanca bir dijital alanda direnç sağladı.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!