Google Cloud’un tehdit istihbaratı ve araştırma birimi Mandiant, bugün, yaygın olarak Sandworm olarak bilinen bir Rus aktör tarafından yürütülen siber casusluk ve savaş kampanyalarını resmi olarak ilişkilendirdi ve saldırılarını bundan sonra kullanacağı yeni, bağımsız bir gelişmiş kalıcı tehdit (APT) grubuna bağladı. APT44 olarak takip ediliyor.
APT44, Rusya’nın 2014 yılında Kırım’ı yasa dışı ilhakına kadar uzanan izinsiz girişleriyle on yılı aşkın bir süredir faaliyet gösteriyor ve 2016 ABD seçimlerine yönelik hack-and-sızıntı saldırıları da dahil olmak üzere birçok yüksek profilli Rus devletinin siber saldırılarına katıldı. NotPetya olayı ve Güney Kore’deki 2018 Kış Olimpiyat Oyunlarına yapılan saldırılar.
2021’in sonlarından bu yana, çalışmaları büyük ölçüde Ukrayna’yı merkeze aldı ve burada, Moskova’nın Şubat 2022’de Kiev’e yönelik yıkıcı kötü amaçlı yazılımları dağıtan bir siber saldırı kampanyasıyla zemin hazırlamasına yardımcı oldu. O tarihten bu yana birim, Ukrayna’daki hedeflere karşı çok sayıda saldırı gerçekleştirdi.
APT44, Joseph tarafından kurulan, daha çok Ana İstihbarat Müdürlüğü (GRU) olarak bilinen, Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı (GU) Ana Müdürlüğündeki Özel Teknolojiler Ana Merkezindeki (GTsST) Birim 74455 tarafından yönetilmektedir. Sovyet döneminde Stalin, ancak KGB ile karıştırılmamalıdır.
Siber Operasyonlar Müdürü Dan Black şunları söyledi: “APT44, şimdiye kadar gördüğümüz en yoğun siber faaliyet kampanyalarından birinin ortasında, Rusya’nın bölgesel saldırganlık savaşına tam anlamıyla destek veren en küstah tehdit aktörüdür.” Mandiant’ta casusluk analizi ve Mandiant’ın APT44 hakkındaki yeni raporunun baş yazarlarından biri. “Bugün kolektif ilgimize bu kadar değer veren başka bir tehdit aktörü yok ve APT44’ün oluşturduğu tehdit hızla gelişiyor.
“Savaş boyunca, APT44’ün duruşunun, Rusya’nın konvansiyonel kuvvetlerine savaş alanı avantajı sağlamak için casusluğa odaklanan öncelikli odak noktası olan aksaklıktan uzaklaştığını gördük” dedi. “Bu, sabotajın gündemde olmadığı anlamına gelmiyor ancak APT44’ün izlediği hedefler ve kullanmayı tercih ettiği yetenekler konusunda çok daha hesaplı olduğu görülüyor. Bu, siber operasyonların uzun bir savaşı en iyi şekilde nasıl destekleyebileceğine dair dersleri açıkça alan ve yöntemlerini buna göre ayarlayan, son derece uyarlanabilir ve yenilikçi bir düşmandır.”
Mandiant, APT44’ün Moskova’nın hedeflerini destekleyen operasyonlarının “taktik ve operasyonel açıdan uyarlanabilir” olduğunu kanıtladığını ve operasyonun Rusya ordusunun faaliyetleriyle oldukça iyi bir şekilde bütünleştiğini söyledi. Başka hiçbir Rus hükümeti APT’nin Ukrayna’daki konvansiyonel savaşın şekillenmesinde bu kadar merkezi bir rol oynamadığını da sözlerine ekledi.
Neden şimdi?
Siber güvenlik uzmanları, ilişkilendirmenin yoğun araştırma ve kanıt değerlendirmesini gerektiren karmaşık bir canavar olduğu konusunda hemfikirdir. Bu, belirli bir grubun faaliyetleri güvenlik camiasında iyi bilindiğinde ve blog yazılarında, araştırma makalelerinde ve medyada kapsamlı bir şekilde belgelendiğinde bile geçerlidir.
Mevcut kanıtlarla ilgili en ufak bir şüphe varsa, iyi niyetli olsa bile herhangi bir siber kampanyayı kesin olarak bilinen bir kişi veya gruba atfetmek son derece yararsız, hatta akıllıca olmayabilir. Bunu yapmak, yanlışlıkla yanlış şeyin peşinden giden savunma oyuncuları için sorunlara yol açabilir ve başka istenmeyen sonuçlara davetiye çıkarabilir. Hatta bu durum, kendine takıntılı ve duyarsız olduğu bilinen tehdit aktörlerini rahatsız edebilir ve onların öngörülemeyen şekillerde saldırmalarına neden olabilir.
Bu nedenle, Sandworm’un kesin doğası hakkında şu ana kadar bir dizi nedenden dolayı güvenilir ifadelerde bulunmak gerçekten mümkün olmadı – aralarında APT44 ile APT28 (diğer adıyla Fancy Bear) gibi diğer gruplar arasındaki operasyonel örtüşme de var – ki bu gerçekten de ” GTsST’nin Birim 26165’in himayesi altında koridorun karşısında oturun” (Mandiant’a göre iki operasyon muhtemelen bir dizi yüksek profilli kampanyada birlikte çalışmıştır).
Ancak Mandiant, gruba resmi ve kendinden emin bir isim vererek, savunucuların dünya çapındaki faaliyetlerini tespit edip takip etmelerinin daha kolay olacağını, grubun hedeflerini engelleme umuduyla istihbaratın daha uygun bir şekilde paylaşılacağını söyledi.
Neden bunu yapmaları gerekiyor? Çünkü Mandiant, APT44’ün oluşturduğu tehdidin Ukrayna ile sınırlı olmadığını söyledi. APT44 operasyonları dünya çapında gözlemlendi ve grubun demokratik süreçlere müdahale etme geçmişi göz önüne alındığında, Rus müdahalesini hedef alması muhtemel seçimlerin sayısı göz önüne alındığında, 2024’te tehdit potansiyeli oldukça yüksek.
Gerçekten de Mandiant, APT44’ü, Birleşik Krallık da dahil olmak üzere Rusya’nın ulusal çıkarları olduğunu düşündüğü eyaletlerdeki hükümetler ve kritik ulusal altyapı işletmecileri için kalıcı ve yüksek şiddette bir tehdit olarak tanımlıyor. APT44, gelişmiş yetenekleri, yüksek risk toleransı ve Kremlin’in dış politika hedeflerini destekleme yetkisiyle, bu tür kuruluşları çok az farkla veya hiç bildirimde bulunmadan onun pençesine düşme riskiyle karşı karşıya bırakıyor.
Buna ek olarak Mandiant, APT44’ün yeni siber saldırı taktikleri, teknikleri ve prosedürleri için önemli bir yayılma riski teşkil ettiğini ve hem devlet destekli hem de mali motivasyona sahip tehdit aktörlerinin kendi kampanyalarını geliştirmeleri için giriş engelini azalttığını söyledi.
Araştırmacılar ileriye dönük olarak APT44’ün öngörülebilir gelecekte küresel olarak en geniş ve en yüksek siber tehditlerden birini temsil etmeye “neredeyse kesinlikle” devam edeceğini söyledi. Geçtiğimiz on yılın en yaygın bilinen siber saldırılarından bazılarına karışma geçmişi, operasyonlarını besleyen “milliyetçi dürtülerin sınırı olmadığını” gösteriyor.
Ve sırf Ukrayna’ya bağlanmış olması, eğer maaş sorumluları bunun gerekli olduğunu düşünüyorsa, İngiltere ve ABD’ye yönelmeyeceği anlamına gelmiyor. Rishi Sunak ile Keir Starmer ile Joe Biden ve Donald Trump arasında yaklaşan hesaplaşmalar dikkatleri çekebilir.
Black, “APT44’ten gelen tehdit Ukrayna sınırlarında bitmiyor” dedi. “Devam eden savaşa rağmen küresel olarak APT44 operasyonlarını görmeye devam ediyoruz. Grubun Avrupa’daki ulaşım ve lojistik ağlarına karşı fidye yazılımı kullanma denemesini gördük.
“Ve ufukta görünen ve bazıları Batı’nın Ukrayna’ya yapacağı askeri yardımın gidişatını şekillendirecek bir dizi önemli seçimle birlikte, APT44’ün demokratik süreçlere müdahale etme girişimi geçmişi, bu grup etrafında dikkatli olmanın son derece önemli olduğu anlamına geliyor” dedi.