Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Bilgi İşlem Devi, Yeni Rus GRU Tehdit Aktörünü Belirledi: Cadet Blizzard
David Perera (@daveperera) •
14 Haziran 2023
Microsoft, yeni tanımlanan bir Rus askeri istihbarat tehdit aktörünün, çoğunlukla Ukraynalı hedefleri sindirmek amacıyla gürültülü yıkıcı yükler kullandığını söyledi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Bilgisayar devi, tehdit aktörü Cadet Blizzard’ı adlandırdı ve Sandworm ve Fancy Bear olarak da bilinen APT28 gibi diğer tanınmış Rus askeri istihbarat hack gruplarından farklı olduğunu söyledi.
Microsoft Tehdit İstihbaratı’ndan bir blog yazısı, “Özellikle Ukrayna’da muhtemelen daha geniş askeri hedefleri destekleyen yıkıcı siber operasyonlar yürüten yeni bir GRU bağlantılı aktörün ortaya çıkışı, Rus siber tehdit ortamında dikkate değer bir gelişmedir” diyor. GRU, Rusya ordusu genelkurmayının dış istihbarat şubesinin ortak kısaltmasıdır.
Cadet Blizzard en az 2020’den beri faaliyette. Kremlin’in Şubat 2022’de Ukrayna’yı işgaline giden haftalar ve günlerde Ukrayna’ya karşı yıkıcı silici saldırı dalgasını başlattı. Microsoft, özellikle, ana önyükleme kaydını silen bir silici olan WhisperGate’i oluşturup geliştirdiğini söyledi.
Diğer bazı siber casusluk tehdit aktörlerinin aksine, Cadet Blizzard dikkat çekmek için tasarlanmış yıkıcı saldırılar gerçekleştirir. 2022 Ocak ayının ortalarında bir WhisperGate saldırısı dalgası, tahrifler kendisini fidye yazılımı olarak gösteren bir kampanyada Ukrayna hükümetinin web sitelerinin
Yeni tanımlanan grubun, Free Civilian tanıtıcılı bir Telegram kanalı var; sadece yaklaşık 1.200 takipçisi var. Ayrıca, Çarşamba öğleden sonra erişilebilir görünmeyen, aynı adı taşıyan bir karanlık web sızıntı sitesi var. Dark web izleme firması Dark Owl, 2022’nin başlarında, Free Civilian hack-and-leak sitesinde satışa sunulan veri dosyalarının, Ukrayna’ya yönelik Ocak ayı ortasındaki siber saldırı dalgasından gelmediğini değerlendirdi.
O sırada Ukraynalı bir yetkili, WhisperGate ile APT28 tarafından dağıtılan kötü amaçlı yazılım arasındaki benzerliklere dikkat çekmesine rağmen, WhisperGate siber saldırılarını Belarus istihbaratıyla bağlantılı bir grupla ilişkilendirdi.
Microsoft, Cadet Blizzard’ın içerik yönetim sistemleri gibi açık kaynaklı platformlardaki “emtia güvenlik açıklarından” yararlanmak ve şu anda yamalanmış Microsoft Exchange ProxyNotShell güvenlik açığı dahil olmak üzere çeşitli yollarla ilk erişim elde ettiğini söyledi (bkz:: Microsoft Yamalar ProxyNotShell Exchange Güvenlik Açıkları).
Grup, Windows sistem araçlarını kendi amaçları için kullandığı anlamına gelen “karada yaşamak” tekniklerini kullanıyor. Aylarca bir ağda kalıcılığı koruyabilir ve yıkıcı bir eylemi tetiklemeden önce verileri sızdırabilir. Bilgisayar korsanları bu şirketlerin müşterilerine sızmak için bunları kullanabildiğinden, tercih edilen hedefleri arasında BT sağlayıcıları ve yazılım geliştiricileri yer alır.
Microsoft, Rusya’nın Ukrayna’yı işgali sürerken, Cadet Blizzard’ın Ukrayna’nın Avrupalı müttefikleri için artan bir risk oluşturduğu konusunda uyarıyor. Hem dost hükümetler hem de BT hizmet sağlayıcıları casusluğun hedefleridir ve bu sektörlere erişim elde etmek, grubun gürültülü misilleme operasyonları yürütmesini sağlar.