Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
Casus Grupları Rusya’nın Diplomatik Hareketlerini İzlemek İçin Bilgi Hırsızını Kullanıyor
Jayant Chakravarti (@JayJay_Tech) •
26 Şubat 2024
Rusya’ya karşı devam eden gözetleme kampanyasını takip eden güvenlik araştırmacılarına göre, Kuzey Koreli bir casusluk grubu, ülkenin dışişleri bakanlığı yetkilileri hakkında casusluk yapmak için Rus hükümetine ait bir yazılıma bilgi çalan kötü amaçlı yazılım yerleştirdi.
Ayrıca bakınız: Web Semineri | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Berlin merkezli siber güvenlik şirketi DCSO’daki araştırmacılar, bilgisayar korsanlarının, Rusya Dışişleri Bakanlığı tarafından denizaşırı konsolosluklardan istatistiksel diplomatik bilgilerin iletilmesi için özel olarak kullanılan Rusça bir uygulama olan Statistika KZU’nun yükleyicisine KONNI adı verilen on yıllık bir kötü amaçlı yazılım ürünü enjekte ettiğini söyledi. bakanlık genel merkezine.
Rus havacılık araştırma şirketi GosNIIAS tarafından geliştirilen yazılım, konsoloslukların konsolosluk faaliyetleri, satın alma emirleri, yıllık harcamalar ve ülke dışında yaşayan Rus vatandaşları hakkında yıllık raporlar göndermesine olanak sağlıyor.
Konni Group ve TA406 olarak takip edilen siber casusluk grubu, Statistika KZU için kurulum paketleri aldı ve Konni kötü amaçlı yazılımını kurulum sürecine entegre etti. Kötü amaçlı yazılım indirildiğinde, işletim sistemini algılar ve eşzamanlı kalıcılık ve yürütme için meşru bir Windows hizmetine benzer bir “Windows Görüntü Toplama Hizmeti” kuran uygun yükü ve bir toplu iş dosyasını dağıtır.
Kurulum tamamlandıktan sonra siber casusluk grubu, komutları yürütmek, dosyaları yüklemek ve indirmek ve uyku aralıklarını belirlemek için kötü amaçlı yazılımla etkileşime girer. DCSO araştırmacılarına göre Konni varyantı, uzaktan yönetim ve çeşitli çalma işlevlerine sahip 2016 versiyonuyla karşılaştırıldığında sınırlı yeteneklere sahip.
Rusya’ya Yönelik Casusluk Faaliyetleri Yükselişte
Siber suç grubunun Rusya dışişleri bakanlığını hedef alan son kampanyası en az 2021 yılına kadar uzanıyor. Siber güvenlik şirketi Lumen’e göre grup, bakanlık yetkililerinin kimlik bilgilerini toplamak için dışişleri bakanlığı portallarını kimlik avı e-postalarıyla aldattı.
Grup ayrıca dışişleri bakanlığı yetkililerini Sağlık ve Sağlık Hizmetleri Bakanlığı’nın kimliğine bürünen kötü amaçlı URL’lere tıklamaya ikna etmek için COVID temalı kimlik avı e-postaları da kullandı. Tıklandığında URL’ler, Rusya’nın zorunlu kıldığı aşı kayıt yazılımının sahte bir sürümü de dahil olmak üzere birçok dosyayı indiriyordu.
Bilgisayar korsanları sonunda bir dışişleri bakanlığı çalışanının e-posta hesabını ele geçirdi ve bunu Endonezya’daki Rusya Büyükelçiliği ve bir bakan yardımcısını hedef almak için kullandı. Siber güvenlik şirketi DuskRise’a göre Konni Grubu, dışişleri bakanlığının ele geçirilen e-posta hesabını Truva atı haline getirilmiş bir e-posta göndermek için kullandı. .zip Dosyayı Endonezya’daki büyükelçiliğe göndererek e-postanın Sırbistan’daki Rusya Büyükelçiliği’nden gönderilmiş gibi görünmesini sağlıyor.
DCSO araştırmacıları, Kimsuky Grubu ve APT37 gibi diğer Kuzey Kore siber casusluk gruplarıyla senkronize çalışan Konni Grubunun, iki ülke son yıllarda yakın ilişkiler geliştirmesine rağmen sıklıkla Rus hükümet kuruluşlarını hedef aldığını söyledi.
“Stratejik yakınlığın artmasının, mevcut olanın tamamen üzerine yazılması beklenemez. [North Korean] Firma, Kuzey Kore’nin Rusya’nın dış politika planlamasını ve hedeflerini değerlendirip doğrulayabilmesine yönelik devam eden bir ihtiyaçla birlikte, tahsilat ihtiyaçlarının karşılandığını belirtti.
“Dolayısıyla ortaya çıkardığımız örnek, Rus dış politika hedeflerine karşı yerleşik bir KONNI konuşlandırma modeline uyuyor gibi görünüyor; Lumen ve Cluster25 araştırmacıları tarafından ortaya çıkarılan 2021 kampanyasının uygulanması ve hedeflenmesi açısından özellikle benzer görünüyor.” Siber güvenlik şirketi açıklığa kavuşmuş Ekim ayında Konni Group’un Konni kötü amaçlı yazılımını Rus vergi doldurma yazılımı Spravki BK’nin yükleyicisine enjekte ettiği ortaya çıktı.
Son tehdit avcılığı verileri, casusluk grubunun kendisini Rus devlet kurumlarını hedeflemekle sınırlamadığını gösteriyor. Securonix Threat Labs, Temmuz ayında grubun Çek Cumhuriyeti, Polonya ve diğer ülkelerdeki yüksek değerli hedefleri hedeflemek için hedef odaklı kimlik avı e-postalarıyla Konni kötü amaçlı yazılımını kullandığını bildirdi.
Microsoft’a göre Kuzey Kore rejimi, Rus hükümetini ve savunma endüstrisini yakından takip etmek için çeşitli siber suç gruplarıyla temasa geçti. Kuzey Koreli gruplar yalnızca 2023’te bir havacılık araştırma enstitüsünü, bir üniversiteyi ve çeşitli diplomatik hükümet kuruluşlarını hedef aldı.
Şirket, “Kuzey Koreli tehdit aktörleri, ülkenin Ukrayna’daki savaşa odaklanması nedeniyle Rus kuruluşları hakkında istihbarat toplama fırsatından yararlanıyor olabilir” dedi.
Sentinel Labs’e göre, Kuzey Kore’ye bağlı siber gruplar Lazarus ve ScarCruft, “şu anda Rus ordusu için kullanılan ve geliştirilmekte olan hassas füze teknolojisine ilişkin son derece gizli fikri mülkiyete” sahip olan Rus füze üretim şirketi NPO Mashinostroyeniya’yı hedef aldı.
Siber casusluk operasyonlarının iki ülke arasındaki ilişkileri etkileyip etkilemeyeceği belli değil ancak Rus istihbarat topluluğu tehdidin boyutunun farkında. Rus siber güvenlik şirketi Solar Group, Kasım ayında Asyalı bilgisayar korsanlarının siber saldırılarının 2023’te arttığını, tüm siber olayların %20’sini oluşturduğunu ve Rus kuruluşları için en ciddi tehdidi oluşturduğunu söyledi.
“Tehlikeleri, bilgisayar korsanlarının bir şirketin altyapısına sızma noktalarını özel bir uzmanlık olmadan belirlemenin neredeyse imkansız olmasıdır: Saldırganlar ya izlerini çok iyi gizliyorlar ya da altyapıda o kadar uzun süredir bulunuyorlar ki, fark edilemiyor.” Onları bulmak mümkün” dedi Solar Group. “Bu tür grupların ana hedefi siber casusluk ve veri hırsızlığıdır ve asıl kurbanları telekom endüstrisi ve kamu sektörüdür.”
Şirket, Kuzey Kore’deki Lazarus Grubunun sürekli olarak Rus kuruluşlarını hedef aldığını söyledi. “Geçtiğimiz iki yıl boyunca Solar 4RAYS uzmanları, ilgili birçok olayı araştırdı. Kurbanlar arasında özellikle hükümet yetkilileri de vardı. Aynı zamanda, sensör verilerinin analizi, Kasım ayı başında Lazarus hackerlarının hala erişime sahip olduğunu gösterdi. bir dizi Rus sistemi” dedi Solar Group.