Hollanda istihbarat ve güvenlik hizmetleri, Avrupa ve Kuzey Amerika’daki hükümet kuruluşlarını ve ticari kuruluşları ihlal eden yeni bir Rusya’ya bağlı tehdit grubu belirledi ve çamaşır ayı olarak adlandırdılar.
Hollanda Genel İstihbarat ve Güvenlik Servisi (AIVD) ve bugün paylaşılan Savunma İstihbarat ve Güvenlik Servisi (MIVD), “Hizmetler tarafından soruşturma altındaki diğer bazı Rus tehdit aktörleriyle karşılaştırıldığında, çamaşır ayı yüksek bir başarı oranına sahip”.
Grubun başarısını hızlı tempolu siber operasyonlara ve otomasyonun verimli kullanımına bağlarlar.
İki ajans, “Çamaşırhane Bear, basit saldırı yöntemleri kullanarak radarın altına uçmayı başardı ve kurbanların bilgisayarlarında kolayca bulunan araçları içeren ve bu nedenle kuruluşların bilinen diğer Rus tehdit aktörlerini tespit etmeleri ve ayırt etmeleri zor” dedi.
Hedefler
Ajanslar, Hollanda ulusal polisinin Eylül 2024 ihlalini araştırdıktan sonra grubun varlığını tespit etti, bu sırada grubun çalınan bir oturum kurabiyesi kullanarak Hollanda polis çalışanına ait bir hesaba erişim sağladılar ve aracılığıyla diğer polis çalışanlarının işle ilgili iletişim bilgilerini almayı başardılar.
Çamaşırhane Ayı ayrıca Rusya’nın Ukrayna’daki savaş çabalarıyla ilgili diğer varlıkları da hedefledi: Savunma ve Dışişleri Bakanlıkları, Büyükelçiler, Silahlı Kuvvetlerin Şubeleri ve Birçok NATO ve AB ülkesinde savunma yüklenicileri. Ama aynı zamanda: sosyal, kültürel ve sivil toplum kuruluşları; dijital servis sağlayıcılar (kurumsal müşterilere); havacılık firmaları ve teknoloji şirketleri; ve kritik sektörlerdeki kuruluşlar.
Ajanslar, “Mağdurların teknik soruşturması, çamaşırların büyük olasılıkla Batı hükümetleri tarafından askeri malların tedariki ve üretimi ve Batı ülkelerinden Ukrayna’ya silah teslimatları ile ilgili hassas bilgiler elde etmeyi amaçladığını ortaya koydu” dedi.
“Hollanda hizmetleri, grubun askeri malların üretimi ve teslimatı ve ilgili bağımlılıklar hakkında bir dereceye kadar bilgiye sahip olduğunu fark etti. Ayrıca, Çamaşır Ayı, Rusya’nın Batı yaptırımları nedeniyle elde etmesi zor olan gelişmiş teknolojiler üreten işletmelere karşı siber saldırılar düzenledi.”
Çamaşırhane Bear’ın Taktikleri, Teknikleri ve Prosedürleri (TTPS)
Çamaşırhane Bear’ın ana amacı – veya Microsoft’un dediği gibi: Void Blizzard – hassas e -postaları ve dosyaları çıkarmaktır.
Şifre sprey saldırılarına veya yol açma saldırılarına girerek hedeflerin e-postasına ve Microsoft hesaplarına girerler. İkincisi için, Infostealers aracılığıyla çalınan ve karanlık web’de satılan web oturumu çerezlerinden yararlanırlar, ancak Microsoft, kimlik doğrulama kimlik bilgilerini ve çerezlerini çalmak için EvilGinx açık kaynaklı düşman yaralı saldırı çerçevesi ve kimlik avı sayfalarını kullandıklarını söylüyor.
“Başlangıç erişimini kazandıktan sonra, Void Blizzard, herhangi bir paylaşılan posta kutuları ve bulutla barındırılan dosyalar da dahil olmak üzere kullanıcıların posta kutularını numaralandırmak için Exchange Online ve Microsoft Graph gibi meşru bulut API’lerini kötüye kullanır. Aktör başarıyla tehlikeye atıldıktan sonra, aktör muhtemelen bulut sahibi verilerin toplama koleksiyonunu (öncelikle e-posta ve dosyalar) otomatikleştirir (esas olarak e-posta ve dosyalar), yazma ve paylaşımlar, Sınırlama ve Sınırlar, Sınırlar, Sınırlar ve Sınırlar, Sınırlar ve Sınırlar, Sınırlar, Sınırlar ve Sınırlar Dahil eder ve bu, Sınırlar Dahil Ediyor ve Sınırlar Dahil Ediyor ve Sınırlar Dahil Ediliyor ve Sınırlar, Sınavanlara Erişim ve Sınırlar, Sınavanlara Erişim ve Sınırlar, Sınavanlara Erişim ve Sınırlar. Diğer kullanıcılara izin veren diğer kullanıcılara izin okurken ”dedi.
Birkaç durumda, Microsoft Teams konuşmalarına eriştiler ve hedeflenen kiracıya ait kullanıcılar, roller, gruplar, uygulamalar ve cihazlar hakkında bilgi çıkarmak için uzlaşmış kuruluşun Microsoft Entra Kimlik Yapılandırması’nı kullandılar.
Hollanda güvenlik hizmetleri, “Bazı durumlarda Hollanda hizmetleri, çamaşır ayısının, grubun daha sonraki operasyonlar için giriş bilgileri toplamak için bilinen güvenlik açıklarından yararlandığı tehlikeye atılmış SharePoint ortamlarından veri çaldığını tespit etti” dedi.
“Çamaşırhane Bear, altta yatan ağlara veya sistemlere erişimini genişletmeye çalışmadan Microsoft hesaplarına mevcut erişimi büyük olasılıkla kısıtladığından, ağ ve sistem yöneticilerinin radarı altında nispeten kolay ve uzun bir süre için uçmuş gibi görünüyor.
Hem Microsoft hem de Hollandalı ajanslar, grubun saldırılarını nasıl tespit edeceği ve mücadele edeceği konusunda önerilerde bulundular ve birincisi, kuruluşların kullanabileceği tehdit avı sorguları da paylaştı. Hollanda polisi, tüm polis memurlarına ajansların bulgularını bildiren e -posta gönderdi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!