Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve Microsoft, Rus devlet destekli aktör “Callisto Group”un (“Seaborgium” veya “Star Blizzard” olarak da bilinir) hesap kimlik bilgilerini ve verilerini çalmak için kullanılan hedef odaklı kimlik avı kampanyalarıyla dünya çapındaki kuruluşları hedef aldığı konusunda uyarıyor .
Callisto, 2015’in sonlarından bu yana aktif olan ve Rusya’nın Federal Güvenlik Servisi’nin (FSB) ‘Merkez 18’ bölümüne atfedilen gelişmiş bir kalıcı tehdit aktörüdür (APT).
Geçtiğimiz yıl Microsoft’un tehdit analistleri, bir grubun çeşitli Avrupa NATO ülkelerini hedef alan saldırısını, tehdit aktörünün gözetleme ve e-posta toplama için kullanılan Microsoft hesaplarını devre dışı bırakarak sekteye uğratmıştı. Microsoft ayrıca siteleri kapatmak için kimlik avı kampanyalarıyla ilişkili 69 alan adını da bildirdi.
Bu yılın Ocak ayında NCSC, Callisto’nun saldırıları konusunda uyarıda bulunarak grubun açık kaynak istihbaratı (OSINT) ve sosyal mühendislik becerilerinin altını çizdi.
Bugün Birleşik Krallık, Birleşik Krallık-ABD ticaret belgelerinin sızdırılmasına, Birleşik Krallık düşünce kuruluşu Institute for Statecraft’ın 2018 hacklenmesine ve daha yakın zamanda StateCraft’ın kurucusu Christopher Donnelly’nin hacklenmesine yol açan saldırıları resmi olarak Callisto’ya bağladı.
Ayrıca Birleşik Krallık, grubun çok sayıda siyasi parti, üniversite, gazeteci, kamu sektörü, sivil toplum kuruluşu ve diğer sivil toplum kuruluşlarından milletvekillerine yönelik kimlik bilgileri ve veri hırsızlığı saldırılarının arkasında olduğunu söylüyor.
Birleşik Krallık’tan yapılan bir basın açıklamasında, “Dışişleri, Milletler Topluluğu ve Kalkınma Ofisi ayrıca Rusya Büyükelçisini, Rusya’nın Birleşik Krallık ve ötesindeki siyasi ve demokratik süreçlere müdahale etmek için siber kullanma yönündeki sürekli girişimlerinden duyduğu derin endişeyi ifade etmek üzere çağırdı.” ifadesine yer verildi.
Callisto’nun son taktikleri
Bugün yayınlanan bir bültende Birleşik Krallık NCSC’si, Callisto’nun ülkenin devlet kurumlarını, düşünce kuruluşlarını, politikacılarını, savunma sanayii birimlerini ve çeşitli STK’larını hedef alan hedef odaklı kimlik avı saldırıları başlatmaya odaklandığını söylüyor.
NCSC, “Bu tavsiye belgesi, Star Blizzard’ın bireyleri ve kuruluşları hedeflemek için kullandığı hedef odaklı kimlik avı teknikleri konusunda farkındalığı artırıyor. Bu etkinlik 2023’e kadar devam edecek” uyarısında bulunuyor.
Saldırganlar önemli bilgileri LinkedIn gibi sosyal medya platformlarından alıyor ve ardından kurumsal güvenlik yazılımı tarafından izlenme olasılığı daha düşük olan kişisel adreslere e-posta göndererek hedeflerine yaklaşıyor.
Zaman içinde hedefle yakınlık kurduktan sonra Callisto, Google Drive veya OneDrive’da barındırılan bir PDF belgesine gömülü, hedefi bir kimlik avı sitesine yönlendiren kötü amaçlı bir bağlantı gönderir.
Gayri meşru alan adlarında barındırılan kimlik avı siteleri Microsoft, Yahoo ve diğer e-posta platformlarını hedefler ve genellikle botları filtrelemek ve ekstra meşruiyet hissi vermek için bir CAPTCHA tarafından korunur.
Kimlik avı operasyonu, hem kullanıcı kimlik bilgilerini hem de oturum çerezlerini çalan açık kaynaklı EvilGinx proxy saldırı çerçevesi tarafından destekleniyor. Bu, Callisto’nun çalınan kimlik bilgileriyle oturum açarken iki faktörlü kimlik doğrulamayı atlamasını sağlar.
Saldırganlar daha sonra kurbanın e-posta hesabına erişmek, gelen kutusunu analiz etmek ve kurbanın gelecekteki iletişimlerine sürekli erişim sağlayan iletim kuralları oluşturmak için çalınan bilgileri kullanıyor.
Bu son aşamada Callisto operatörleri, diğer önemli hedefleri vurmak için kurbanın gelen kutusuna erişimlerini kullanarak, her türlü yan kimlik avı fırsatlarını tespit eder ve bunlara müdahale eder.
Microsoft ayrıca bugün, tehdit aktörünün Nisan 2023’ten sonra benimsediği aşağıdaki yeni teknikleri, taktikleri ve prosedürleri vurgulayan bir rapor yayınladı:
- Kötü amaçlı altyapının otomatik olarak taranmasını engelleyen sunucu tarafı komut dosyalarının kullanılması.
- Gerçek e-posta adreslerini maskelemek için HubSpot ve MailerLite gibi e-posta pazarlama platformu hizmetlerinin kullanılması.
- VPS altyapısının IP adreslerini maskelemek için DNS sağlayıcısının kullanılması.
- Daha iyi kaçınma ve bloklara karşı direnç için alan oluşturma algoritmasının (DGA) kullanılması.
Callisto tehdidine ve herhangi bir hedef odaklı kimlik avı saldırısına karşı savunma yapmak, donanım anahtarları gibi kimlik avına karşı dayanıklı MFA yöntemlerinin kullanılması, katı koşullu erişim politikalarının uygulanması ve anormal etkinliklerin izlenmesi dahil olmak üzere çok yönlü bir yaklaşım gerektirir.
ABD ve İngiltere tarafından onaylandı
İngiltere, ABD, Avustralya, Kanada ve Yeni Zelanda’dan kuruluşlardan oluşan uluslararası bir kolluk kuvveti, Callisto hack grubunun iki üyesini tespit etti.
Bunlar, FBS Merkezi 18 istihbarat görevlisi olduğuna inanılan Aleksandrovich Peretuatko ve Andrey Stanislavovich Korinets, namı diğer “Alexey Doguzhiev”.
İkilinin, birden fazla Birleşik Krallık kuruluşunu hedef alan Callisto operasyonlarından doğrudan sorumlu olduğu düşünülüyor; bu operasyonlardan bazıları, yetkisiz erişime ve hassas verilerin sızmasına neden oluyor.
Bugünkü duyurunun bir parçası olarak, hem Birleşik Krallık hem de ABD, iki üyeye Birleşik Krallık’ın demokratik sürecini baltalamaya teşebbüs etmeleri nedeniyle yaptırım uyguladı. ABD Adalet Bakanlığı ayrıca üyelere “Birleşik Krallık’ın 2019 Seçimlerini etkilemek amacıyla tasarlanmış kötü niyetli nüfuz operasyonları” suçlamasında bulundu.
ABD Hazine Bakanlığı’ndan yapılan bir basın açıklamasında, “Birleşik Krallık, elde edilen bilgileri Birleşik Krallık’taki demokratik süreçleri baltalamak amacıyla kullanmak amacıyla hedef odaklı kimlik avı operasyonlarına girişen iki kişiye yaptırım uyguladı” ifadesine yer verildi.
“ABD, Birleşik Krallık’ı desteklemek ve onunla dayanışma içinde, aynı kişilere karşı da harekete geçti ve bu kişilerin FSB birimiyle bağlantılarını ve bu birimin ABD’nin kritik hükümet ağlarını hedef alan faaliyetlerini tespit etti.”
ABD hükümetinin Adalet İçin Ödül programı da Callisto’nun grup üyeleri ve faaliyetleri hakkında bilgi verenlere 10 milyon dolarlık bir ödül sunuyor.