Midnight Blizzard Siber Saldırıları: Analizler ve Etki Azaltma Stratejileri

   Ekim 30, 2024  Posted in ThecyberExpress


Midnight Blizzard olarak bilinen Rus tehdit aktörü tarafından endişe verici bir siber saldırı dalgası başlatıldı. APT29, UNC2452 ve Cosy Bear gibi çeşitli isimlerle tanımlanan bu grup, 22 Ekim 2024’ten bu yana hükümet, akademi, savunma ve sivil toplum kuruluşları da dahil olmak üzere çok çeşitli sektörlerdeki bireyleri hedef alan gelişmiş hedef odaklı kimlik avı teknikleri kullanıyor.

Microsoft’un raporu, Rusya bağlantılı bir tehdit aktörü olan Midnight Blizzard’ın “hedeflerin cihazlarına erişim sağlamak için imzalı RDP yapılandırma dosyasını” kullandığını iddia ediyor. Redmond, bu faaliyetin Ukrayna Hükümeti Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından UAC-0215 ​​adı altında ve Amazon tarafından bildirilen faaliyetlerle örtüştüğünü söyledi.

Bu makale, özellikle devam eden Midnight Blizzard diğer adıyla UAC-0215 ​​kampanyasına odaklanarak bu faaliyetlerin derinlemesine bir analizini sunmayı ve Ukrayna Siber Acil Durum Müdahale Ekibi’nin (CERT-UA) bu tehditlere karşı koyma çabalarına vurgu yapmayı amaçlamaktadır.

Gece Yarısı Blizzard Harekatı’na Genel Bakış

Microsoft Tehdit İstihbaratı, Rusya’nın SVR olarak bilinen Dış İstihbarat Servisi ile sürekli bağlantısı olan Midnight Blizzard’ın faaliyetlerini yakından izliyor.

Bu tehdit aktörünün çeşitli varlıkları, özellikle de yabancı hükümetler ve kuruluşlarla bağlantılı olanları hedef alma konusunda iyi belgelenmiş bir geçmişi var. Başlıca hedefleri, grubun operasyonlarının başladığı 2018’den bu yana değişmeden kalan istihbarat toplamaktır.

Kimlik Avı Taktikleri ve Teknikleri

Bu kampanyada gönderilen hedef odaklı kimlik avı e-postaları yalnızca genel saldırılar değildi, aynı zamanda yüksek düzeyde hedefe yönelikti ve 100’den fazla kuruluşta binlerce alıcıya ulaşıyordu. E-postalar, açıldığında kurbanları aktör kontrollü bir sunucuya bağlayan LetsEncrypt sertifikasıyla imzalanmış bir Uzak Masaüstü Protokolü (RDP) yapılandırma dosyası içeriyordu. RDP dosyaları, saldırganın kurbanın sistemine uzaktan erişmesi ve bu sistemi manipüle etmesi, hassas bilgi ve kaynakları toplaması için bir yol görevi görür.


Tarayıcınız video etiketini desteklemiyor.

Midnight Blizzard daha önce de benzer taktikler kullanmıştı ancak bu özel kampanya, yaklaşımlarında önemli bir evrime işaret ediyor. İmzalı bir RDP yapılandırma dosyasının dahil edilmesi, yeni bir erişim vektörü sunarak, bir dizi cihazın güvenliğini etkin bir şekilde ele geçirmelerine ve değerli bilgileri elde etmelerine olanak tanır.

CERT-UA’nın Niteliği ve Rolü

Ukrayna Siber Acil Durum Müdahale Ekibi (CERT-UA), bu tehdit aktörünün UAC-0215 ​​bayrağı altındaki faaliyetlerini takip ediyor. Operasyon ilk olarak Ekim ayında tespit edildi ancak istihbarat, bu kapsamlı kimlik avı kampanyasına yönelik hazırlıkların Ağustos 2024 gibi erken bir tarihte başlamış olabileceğini gösteriyor. Kampanyanın kapsamı geniştir ve yalnızca Ukrayna’daki yerel birimleri etkilemekle kalmaz, aynı zamanda uluslararası güvenliğe yönelik riskler de oluşturur.

Bu Kampanyanın öncelikli hedefleri arasında Ukrayna’daki kamu yetkilileri, askeri kuruluşlar ve kilit endüstriler yer almaktadır. Ulusal güvenliğe olası etkileri göz önüne alındığında, tehdit yüksek risk puanıyla sınıflandırıldı.

UAC-0215 ​​tarafından oluşturulan kimlik avı e-postaları, Microsoft ve Amazon gibi popüler platformlarla ilgili temaları kullanarak genellikle meşru iletişim görünümüne bürünür. E-postalar genellikle kullanıcıları bu platformlarla etkileşime geçmeye teşvik eder, ancak bunların içinde, yürütüldükten sonra saldırganların sunucularıyla bağlantı kurmasına olanak tanıyan kötü amaçlı RDP yapılandırma dosyaları gizlidir.

Saldırının Mekaniği

Bir kurban, kötü amaçlı RDP dosyasını açtığında, saldırganın hedef sistemin çeşitli hassas bileşenlerine erişmesini sağlayan bir zincirleme reaksiyon başlatır. Bunlar şunları içerir:

  • Disk Sürücüleri: Sabit sürücülere erişim, depolanan dosyaların ve hassas verilerin çıkarılmasına olanak tanır.
  • Ağ Kaynakları: Saldırgan, ağ sürücülerinden ve paylaşılan kaynaklardan yararlanarak kuruluş içindeki erişim alanını genişletebilir.
  • Yazıcılar ve Çevresel Cihazlar: Bağlı cihazların kontrolü, daha fazla istismara ve bilgi sızıntısına yol açabilir.
  • Pano Verileri: Bu, şifreler veya gizli belgeler dahil olmak üzere kullanıcının kopyaladığı hassas bilgileri içerebilir.

Devam eden soruşturmalardan elde edilen istihbarat, Midnight Blizzard’ın son harekatının, potansiyel olarak Ukrayna hedeflerinin ötesine geçebileceğini gösteriyor. Jeopolitik gerilimler arttıkça daha geniş kapsamlı siber saldırı riski de artıyor.

Bu siber saldırıların sonuçları, özellikle kritik altyapı ve ulusal güvenlik açısından derindir. Midnight Blizzard ve benzeri gruplar stratejilerini uyarlarken, kuruluşların da savunmalarını koruma konusunda dikkatli ve proaktif olmaları gerekiyor.

Azaltma Stratejileri

Bu tehditlere yanıt olarak Microsoft ve CERT-UA, bu tür siber saldırıların etkisini azaltmak için çeşitli önlemler önerdi. Anahtar stratejiler şunları içerir:

  1. Güvenlik duvarlarının giden RDP bağlantılarını kısıtlayacak şekilde doğru şekilde yapılandırıldığından emin olmak, bu tür saldırılara maruz kalma riskini sınırlamaya yardımcı olabilir.
  2. Yetkisiz erişime karşı ek bir savunma katmanı sağlayan MFA’nın kullanımı kimlik güvenliği açısından çok önemlidir.
  3. Kuruluşların FIDO Tokenları veya Microsoft Authenticator gibi gelişmiş kimlik doğrulama yöntemlerini kullanmaları teşvik edilirken, SIM hırsızlığıyla ilişkili riskler nedeniyle telefon tabanlı MFA’dan da kaçınılıyor.
  4. Kuruluşlar, kötü amaçlı.RDP dosya eklerini kullanıcılara ulaşmadan önce tespit edip engelleyebilecek güçlü e-posta filtreleme sistemleri uygulamalıdır.
  5. RDP oturumları sırasında yetkisiz kaynak yeniden yönlendirmesini önlemek için Grup İlkesi’nin kullanılması, olası kötüye kullanımın azaltılmasına yardımcı olabilir.

Teknoloji Şirketlerinin Rolü

Microsoft ve Amazon gibi teknoloji firmaları bu tehditlerle mücadelede kritik bir rol oynuyor. İlgili bir çaba kapsamında Amazon, son kimlik avı kampanyası sırasında APT29 tarafından kötüye kullanılan alan adlarını aktif olarak tespit ediyor. Amaç, meşru hizmetleri taklit eden alan adlarının kontrolünü ele geçirerek Midnight Blizzard’ın operasyonlarını aksatmaktı.

Bu şirketler ayrıca tespit yeteneklerini geliştirmek ve tehdit istihbaratını paylaşmak için dünya çapındaki siber güvenlik kuruluşlarıyla işbirliği yapıyor. Ortak çabaları, hassas bilgilerin korunması ve hem kamu hem de özel sektör kuruluşlarının güvenliğinin sağlanması açısından önemlidir.

Teknoloji şirketlerinin, siber güvenlik ekiplerinin ve devlet kuruluşlarının ortak çabalarıyla Midnight Blizzard gibi gelişmiş kalıcı tehditlerin oluşturduğu riskleri azaltmak mümkün.



Source link