Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
2022’nin Sonlarındaki Artış, Uzmanların Çatışmada “Düşük Tempoyu” Takip Etmesiyle Ortaya Çıktı
Mathew J. Schwartz (euroinfosec) •
26 Ocak 2023
Rusya işgalini bastırmaya devam ederken, ülkenin ağlarının bağımsız gözlemcileri, Ukrayna siber uzayını bozma girişimlerinin 2022’nin sonlarında zirveye ulaştığını söylüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Güvenlik firması Trellix, Ukrayna’yı hedef alan kimlik avı saldırıları ve kötü amaçlı yazılım kampanyalarının Kasım ayında keskin bir şekilde arttığını ve yıl sonunda düşmeye başladığını söylüyor. Bölgedeki uç nokta güvenlik uyarıları da “potansiyel olarak istenmeyen programlara” bağlandı.
Saldırılardaki artış, diğer siber saldırı gözlemcilerinin bulgularıyla paralellik gösteriyor. Cenevre merkezli kar amacı gütmeyen grup CyberPeace Institute, Ocak 2022’den bu yana çatışmayla bağlantılı 918 siber saldırı ve operasyon olduğunu söylüyor (bkz:: Ukrayna: Rus Bilgisayar Korsanlarının Odak Noktası Sivil Altyapı).
Enstitü, Kasım ayında, önceki ayın hacmiyle karşılaştırıldığında, Rusya’nın savaşıyla bağlantılı çevrimiçi saldırılarda ani bir artış kaydetti. Tek istisna, kendisine yönelik saldırıların hacminin azaldığını gören Rusya Federasyonu idi.
Uzmanlar, savaş boyunca Ukrayna hükümeti, enerji, ulaşım, finansal hizmetler ve diğer kritik altyapı sektörlerinin çevrimiçi saldırıların başlıca hedefleri arasında kaldığını söylüyor. Trellix araştırmacıları, “Kötü amaçlı e-posta ve URL’lerden ulus-devlet destekli kötü amaçlı yazılım kullanımına kadar, siber faaliyetler, kinetik askeri faaliyetlere ve sosyal hoşnutsuzluğa eşlik etmeye devam ediyor” diyor.
2022’nin son aylarındaki artışın mı yoksa azalışının mı açıklanabileceği net değil, özellikle de ABD istihbarat başkanının saldırıların hızının yavaşladığını söylediği bir dönemde.
Ulusal İstihbarat Direktörü Avril Haines, 3 Aralık’ta Reagan Ulusal Savunma Forumu’na katılanlara “Çatışmanın zaten bir tür azaltılmış temposunu görüyoruz,” dedi ve “gelecekte de muhtemelen bunu göreceğimizi umuyoruz.” ay.”
Trellix, geçen Kasım ve Aralık aylarında Ukrayna’yı vuran gözlenen kimlik avı saldırılarının hacminin yirmi kat arttığını ve saldırıların çoğunun en üst düzeyde kayıtlı e-posta adreslerini hedef aldığını bildirdi. .ua Devlet ve askeri kurumlar tarafından kullanılan alan adı. Gönderen genellikle sahte olsa da, bu saldırıların “büyük çoğunluğunun” Rusya’nın devlet destekli Gamaredon grubuna ait olduğu görülüyor; grubun ilk saldırılarında “armageddon” kelimesinin yanlış yazılmış olduğu mesajlar yer aldığı için bu ad böyle verilmişti.
Potansiyel olarak istenmeyen programlardaki artış, Adobe ürünlerini korsan olarak kullanmak için yazılım gibi görünmek üzere tasarlanmış kötü amaçlı yazılımları sistemlere bulaştırma girişimleriyle bağlantılıdır. Trellix, tüm bu saldırıların “Adobe’yi etkinleştirmeyi amaçlayan tek bir yazılım etkinleştirme programına” dayandığını söylüyor ve “korsan lisans etkinleştiricilerinin” kullanımı yaygın olsa da, bunların çok büyük bir kısmının sahte olduğunu ve yalnızca bir sisteme kötü amaçlı yazılım bulaştırmak için tasarlandığını söylüyor. .
Taktik olarak konuşursak, kimlik avı girişimleri de gelişmiş görünmüyordu. Birçoğu, makro özellikli Microsoft Excel elektronik tabloları, Microsoft Word belgeleri ve LNK Windows kısayol dosyalarını kullanmak gibi yaygın olarak görülen taktiklere güveniyordu.
Trellix tarafından kurtarılan kimlik avı e-posta örnekleri arasında Estonya Dışişleri Bakanlığı’ndan geldiği iddia edilen, iletişim bilgilerini paylaşan ancak Google Drive’da barındırılan kötü amaçlı bir dosyaya yönlendiren e-postalar; bir kimlik avı sayfasına yönlendiren bir HTML “gönderi bildirimi”; ve kötü amaçlı bir web sitesine bağlantı içeren bir posta kutusunu doğrulamak için Ukrayna ordusundan bir talep.
Andromeda Saldırıları
Trellix, Gamaredon grubu kimlik avı kampanyalarının ötesinde, son aylarda H-Worm – namı diğer Houdini RAT – uzaktan erişim Truva Atı’nı kullanan bir dizi saldırı gördüğünü bildiriyor. Formbook bilgilerini çalan kötü amaçlı yazılım; Remcos uzaktan kumanda yazılımı; ve Andromeda kötü amaçlı yazılımı.
Andromeda saldırıları olağandışıydı. İlk olarak 2011’de görülen Andromeda, piyasada bulunan ve güncellenmeye devam eden kullanıma hazır bir kötü amaçlı yazılımdır. Ancak Google’ın olay müdahale grubu Mandiant, 5 Ocak’ta Andromeda’nın 2013 dönemi sürümünün, Venomous Bear ve Krypton olarak da izlenen Rus ulus-devlet bilgisayar korsanlığı grubu Turla olduğundan şüphelendiği şey tarafından kullanıldığını gördüğünü bildirdi.
Eylül ayında Mandiant, Ukrayna’daki Andromeda kötü amaçlı yazılım kurbanlarına KopiLuwak keşif aracı ve QuietCanary arka kapısını dağıtan şüpheli bir Turla Ekibi operasyonu keşfetti. Kötü amaçlı yazılım operatörleri, süresi dolmuş en az üç Andromeda komuta ve kontrol etki alanını yeniden kaydettirdi ve KopiLuwak ve QuietCanary’yi seçerek dağıtmak için kurbanların profilini çıkarmaya başladı.
Mandiant, enfeksiyonun Aralık 2021’de, kurbanın virüslü bir USB cihazını bir Windows sistemine bağlayıp ardından klasör kılığına girmiş kötü amaçlı bir dosya bağlantısını tıkladığında başladığını söylüyor.
2022’deki saldırganların, önce yeniden kaydettirmek zorunda kaldıkları alanlara bağlı 2013 döneminden kalma kötü amaçlı yazılımları neden kullanmak istedikleri açık değil. Mandiant araştırmacıları, “eski kötü amaçlı yazılım ve altyapının, çok çeşitli uyarıları tetikleyen savunucular tarafından gözden kaçma olasılığı daha yüksek olabilir” diyor.
Gecikmeli olarak gözlemlenen bu saldırı başarılı oldu ve saldırganların verileri sızdırmasına neden oldu.