Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, hükümet
GRU’nun Rus askeri istihbarat birimlerinin liderleri de hedefliyor
Akhabokan Akan (Athokan_akhsha) •
21 Temmuz 2025
İngiltere hükümeti Cuma günü, Rus askeri istihbarat servisine bağlı üç hack birimini, İngiltere ve Ukrayna’daki olayları hacklemek için 18 yetkiliyi 2013 yılına dayanan yaptırdı, ancak bazıları eylemin yaptırımlar listelerini ve “siyasi mesajlaşmayı” pekiştirmenin ötesinde çok az şey ifade edeceğini tahmin ediyor.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Yaptırılan Askeri İstihbarat Servisi grupları veya GRU, Cuma günü İngiltere hükümetinin Rus hükümetinin “askeri ve dış politika hedeflerine” ulaşmak için kullandığı “ileri, kapsamlı bir siber kapasiteyi temsil ettiğini” söyledi. Ancak yaptırımlar gelecekteki hack’leri durdurmakta ne kadar etkili olacak?
Eth Zürih’teki Güvenlik Araştırmaları Merkezi’ndeki Stefan Soesanto, “Çoğu siber yaptırımda olduğu gibi, pratik etki sıfıra yakın olacak” dedi. “Bireylerin ve ajansların çoğunun İngiltere’de dondurulabilecek varlığı yoktur. Ve bu askeri istihbarat memurları da muhtemelen Birleşik Krallık’a gitmeyecek.”
İngiliz Ulusal Siber Güvenlik Merkezi kısa süre önce Fancy Bear olarak da bilinen 26165 ünitesine atfedilen bir Rus hack kampanyası ortaya çıkardı. Operasyon, Microsoft Outlook hesaplarından veri çalmak için tasarlanmış, daha önce görünmeyen bir kötü amaçlı yazılım olarak adlandırıldı.
Cuma günkü eylemler, herhangi bir hükümetin ilk kez GRU birimini 29155’i Ukrayna’yı hedefleyen operasyonları hackleme için tamamladığını işaret ediyor. Duyuru, Avrupa Birliği ve NATO Müttefikleri, Rusya’nın 2022 Ukrayna istilası üzerinde Batı ile artan gerginlikler arasında Moskova’dan gelen hibrit tehditlerde potansiyel bir artış için desteklenir (bkz: bkz:: Fransa, Rusya’nın en çok tehdit olduğunu, ‘açık savaş’ konusunda uyarıyor).
En son İngiltere yaptırımları ABD Federal Soruşturma Bürosu, NATO ve Avrupa Birliği ile koordine edildi. Yaptırımların bir parçası olarak, bireylerin veya kuruluşların hedeflenen kuruluşlarla finansal işlemler yapmaları yasaktır.
İngiliz Dışişleri Bakanı David Lammy, “Kremlin şüphesiz olmalı: gölgelerde ne yapmaya çalıştıklarını görüyoruz ve buna tahammül etmeyeceğiz. Bu yüzden Rus casuslarına karşı yaptırımlarla kararlı bir eylemde bulunuyoruz.” Dedi. “Putin’in melez tehditleri ve saldırganlığı asla kararlılığımızı bozmayacak. İngiltere ve müttefiklerimizin Ukrayna ve Avrupa’nın güvenliğine verdiği desteği lupclad.”
Avrupa Konseyi ayrıca Rusya’nın “kalıcı melez kampanyaları” kınadı ve AB’nin “Rusya’nın hibrit faaliyetlerine karşı koymaya ve karşı koymaya kararlı olduğunu” belirtti.
Konsey, “Bu tür kötü niyetli davranışlar, Ukrayna’ya karşı kararlı ve sürekli desteğimizi zayıflatmayacak.” Dedi.
Onaylanmış bireyler
Yaptırımlı GRU yetkilileri, Yulia Skripal’ı hedeflemek için X-ajanı kötü amaçlı yazılımları konuşlandıran kampanyaları hacklemek için 26165 ünitesine bağlı Aleksey Lukashev ve Ivan Yermakov yer alıyor. Skripal, eski bir Rus askeri subayı ve İngiliz istihbaratının çift ajanının kızıdır.
2018’de Skripal ve babası, Rus hükümeti tarafından yaygın olarak Salisbury zehirlenmesi olarak bilinen bir suikast girişiminin bir parçası olarak hedeflendi.
Bu operasyonlarla bağlantılı Rus askeri liderleri arasında 26165, Sergey Vasyuk, Artem Malyshev birimine liderlik eden Sergey Morgachev, Aleksey Morenets, Yevgeniy Serebriakov, Oleg Sotnikov ve Aleksey Minin. Hacking kampanyası ayrıca Sandworm olarak da bilinen 74455 ünitesi tarafından yürütüldü
Hedeflenen diğerleri arasında, Estonya hükümetinin 2020 hacklenmesindeki rolleri için Ocak ayında AB tarafından zaten onaylanan GRU memurları yer alıyor (bkz: bkz: AB yaptırımları Estonya Hack ile bağlantılı Rus Intel Memurları).
İngiltere hükümeti ayrıca, Federal Güvenlik Servisi veya FSB ile bağlantılı olan Artyom Kureyev’in yanı sıra şu anda yok olan Wagner grubunun bir üyesi olan Victor Lukovenko ve Anna Zamareyeva’yı da onayladı. İngiltere hükümeti, üçünün de Afrika’da etki operasyonlarını yürütmek üzere Nisan 2025’te başlatılan Afrika Girişimi adlı Rus devlet tarafından finanse edilen bir dezenformasyon projesinde yer aldığını söyledi.
Tony Blair Küresel Değişim Enstitüsü kıdemli politika danışmanı Daniel Sleat, İngiltere hükümetinin çabalarının Moskova’nın kötü niyetli siber yeteneklerini 2030 yılına kadar ölçeklendirme hırsını azaltmaya yardımcı olacağını söyledi.
Sleat, “Konuşulabilir ve güvenilir geleneksel varlıkların yanı sıra, Avrupa’nın siber tehditlere, hibrit saldırılara yanıt vermek ve inkar edilebilir sabotaj eylemlerine-örneğin uydu, enerji ve ulaşım altyapısı için herhangi bir güvenlik açıkına değinmesi için sınıfının en iyisi bir yeteneğe ihtiyacı var.” Dedi. Rusya’nın “Avrupa’nın 2030’un ötesindeki gri bölge tehditlerine cevap verme yeteneğini” test etmeye devam edeceğini tahmin ediyor.
Otantik antikalar hack kampanyası
NCSC, saldırı kampanyasını GRU Askeri Birimi 26165’e bağladı. 2023 Operasyonu, daha önce görünmeyen kötü amaçlı yazılımlar, Outlook süreçlerini hedeflemek ve kullanıcı kimlik bilgilerini çalmak ve OAuth 2.0 jetonlarını çalmak için e -posta hesaplarına uzun süreli erişim sağladı.
Kötü amaçlı yazılımlar üç temel bileşen içeriyordu:
- Droper – C ++ ve .NET’te derlenmiş ileri kaçakçı taktikleri kullanan tek bir ikili. Yürütme frekansını en aza indirdi, ağır şaşkınlık kullandı ve uç nokta algılama sistemlerini atlamak için ntdll.dll yağma işlemini uyguladı.
- Stealer – Yükleyicinin içine bir dosya, kurbanın makinesine anahtarlanmış ve sadece amaçlanan cihazda şifre çözülebilebilen bir dosya. Meşru görünmek için Microsoft’un kimlik doğrulama kütüphanesini kullandı.
Kötü amaçlı yazılım, en son kullanılan Outlook hedefini tanımlamak için mağdur kayıt defterinden verileri çıkardı. Daha sonra eski oturum açma kimlik bilgilerini ve Azure sistemlerini tespit etmek için Active Directory Kimlik Doğrulama Kitaplığı’nı tanımlamak için “Liveid” dizesi için tarandı.
NCSC, “‘Adal’ dizesinin kimlik anahtarında bulunduğunu kontrol ederek, hesabın Adal’ı kullanacak şekilde yapılandırıldığını gösterir. Aksi takdirde kötü amaçlı yazılım çıkar. Bu, otantik antikalar sadece ADAL kullanılarak doğrulanan hesapları hedeflediği anlamına gelir.” Dedi.
Daha sonra kötü amaçlı yazılım, Outlook işleminde kullanıcıları Microsoft’un yetkilendirme sunucusuna, yetkilendirme kodlarını, kullanıcı adlarını ve şifreleri çalmak için yeniden yönlendirmek için bir açılır tarayıcı penceresi başlattı.
- PowerShell Scripts: Bu komut dosyaları çalınan kimlik bilgilerini çıkardı ve bunları tehlikeye atılan Outlook hesapları için OAuth 2.0 yenileme jetonlarını almak için kullandı. Çalınan veriler aktör kontrollü e-posta adreslerine ekstrelendi ve kurbanın gönderilen klasöründe görünmedi ve gizliliğini artırdı.
NCSC Operasyon Direktörü Paul Chichester, “Otantik antikalar kötü amaçlı yazılım kullanımı, Rusya’nın GRU’nun ortaya koyduğu siber tehditin kalıcılığını ve karmaşıklığını gösteriyor.” Dedi. Diyerek şöyle devam etti: “Rusça kötü niyetli siber etkinlik çağırmaya devam edeceğiz ve ağ savunucularını NCSC web sitesinde bulunan tavsiyeleri takip etmeye şiddetle teşvik edeceğiz.”