Microsoft ve ABD Adalet Bakanlığı bu hafta, Star Blizzard olarak bilinen Rus destekli bir hacker grubuna bağlı 100’den fazla alan adını çökertmek için güçlerini birleştirdi.
2017’den bu yana aktif olan gelişmiş kalıcı tehdit (APT), gazetecileri, sivil toplum kuruluşlarını (STK’lar) ve başta Ukrayna’yı destekleyenler olmak üzere Rusya uzmanlarını hedef aldı.
Grubun Batı’daki sunucu altyapısını çökerten operasyonun, siber saldırganların yeniden toplanıp faaliyet gösterme yeteneklerini geciktirmesi bekleniyor.
Başsavcı Yardımcısı Lisa Monaco, “Bugün 41 internet alanına el konulması, Adalet Bakanlığı’nın kötü niyetli, devlet destekli siber aktörleri engellemek ve caydırmak için tüm araçları kullandığı siber stratejisini uygulamalı olarak yansıtıyor.” bir açıklamada söyledi Adalet Bakanlığı tarafından yayınlandı.
“Cold River” ve “Callisto” olarak da anılan Star Blizzard, öncelikle kimlik avı e-postalarını hedeflerinden oturum açma bilgilerini çalmak için kullanıyor ve yakın zamanda kendi ilk özel arka kapı.
Kısmen mühürlenmemiş bir iddianamede Adalet Bakanlığı ayrıca iki FSB memurunun, Ruslan Peretyatko ve Andrey Korinets’in geçen Aralık ayında Birleşik Krallık, NATO ülkeleri ve Ukrayna’yı da kapsayan Star Blizzard casusluk kampanyalarına katılmaktan suçlandığını ortaya çıkardı. Hükümetin beyanı, grubun ABD’de diğerlerinin yanı sıra askeri yüklenicileri, istihbarat topluluğu personelini ve hükümet kurumlarını hedef aldığını ortaya koyuyor.
Kremlin’in sponsorluğundaki APT, karmaşık kaçırma teknikleriyle tanınıyor, ancak Microsoft onu takip ediyor ve Grubun 2022 yılı faaliyetleri Ve geçen yıl yine.
“Altyapının yeniden inşası zaman alır, kaynakları tüketir ve paraya mal olur” Microsoft kaydetti en son yayından kaldırma işlemiyle ilgili bir blog yazısında. “Bugünkü eylem, birlikte çalıştığımızda siber suçlara karşı yaratabileceğimiz etkinin bir örneğidir.”
ABD Seçimleri Yaklaşırken Korumada Bir Adım
Kesinti, ABD’li yetkililerin görev başında olduğu kritik bir zamanda gerçekleşti. Yabancı müdahaleye karşı yüksek alarm Yaklaşan başkanlık seçimi öncesinde. Star Blizzard’ın, seçimlerin aksaması da dahil olmak üzere Rusya’nın çıkarlarını ilerletmeye yönelik bir araç olarak statüsü göz önüne alındığında, Microsoft, yayından kaldırma eyleminin, ABD demokratik sürecini korumak dış tehditlerden.
“Ocak 2023 ile Ağustos 2024 arasında Microsoft, Star Blizzard’ın hassas bilgileri sızdırmak için hedef odaklı kimlik avı kampanyaları uygulayarak 30’dan fazla sivil toplum kuruluşunu (gazeteciler, düşünce kuruluşları ve demokrasinin gelişmesini sağlamanın temelini oluşturan sivil toplum kuruluşları (STK’lar)) hedef aldığını gözlemledi. Star Blizzard’ın her zaman yeni altyapı kurmasını beklerken, bugünkü eylem, ABD’nin demokratik süreçlerine yabancı müdahalenin son derece endişe verici olduğu kritik bir noktada operasyonlarını etkiliyor.”
Rusya’nın Tehdidi Muhtemelen Devam Edecek
DomainTools’un tehdit araştırması başkanı Sean McNee, siber casusluk yapmak ve ABD seçimleriyle ilgili yanlış bilgi ve dezenformasyon yaymak için alan satın almaya yönelen ulus devlet destekli grupların sayısında dramatik bir artış beklediğini söylüyor. eylem okyanusta bir damla olabilir.
“[The Star Blizzard takedown is a] İnterneti korumada büyük bir adım” diyor ancak konu FSB veya kötü niyetli web sitelerini tohumlamak için alan satın alan diğer gruplar söz konusu olduğunda bunun muhtemelen yalnızca “yüzeysel bir çalışma” olduğunu ekliyor.
“Bazı alan adı barındırma hizmetlerinin, alan kayıtlarını ayrım gözetmeden sattığını ve kötü amaçlı içerik veya koordineli yanlış bilgi konusunda bilgilendirildiğinde her zaman yanıt vermediğini tespit ettik” diye açıklıyor.
Contrast Security’nin siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellermann, Rusya’nın Amerikan siber uzayındaki “siber isyanı hızlandırdığı” konusunda uyarıyor.
Star Blizzard’ın ifşaatlarının “GRU ve birkaç siber suç kartelinin yaygın sızma kampanyalarında işbirliği yaptığını” gösterdiğine dikkat çekerek, “Rusya, ABD’nin yumuşak karnının teknolojiye olan bağımlılığımız olduğunun bilincindedir” diyor.
Ortaya çıkan arka kapıların önümüzdeki günlerde yıkıcı kötü amaçlı yazılımları dağıtmak için kullanılmasından endişe duyduğunu belirterek, Rusya’nın saldırısını köreltmek için tehdit avcılığının genişletilmesi ve çalışma zamanı güvenliğinin etkinleştirilmesi gerektiğini ekledi.
Kellerman, “Kötü bir şey bu tarafa doğru geliyor” diyor. “Özel sektörün bu uyarıyı ciddiye alması gerekiyor.”