İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), Rus devlet tarafından işletilen ileri kalıcı tehdit (APT) grup fantezi ayısına çeşitli kötü amaçlı yazılımlar olarak adlandırılan bir dizi düşmanca siber saldırıyı ilişkilendiren resmi bir bildirim yayınladı.
Otantik Antikalar, kurbanları e-posta hesapları için giriş kimlik bilgilerini ve jetonları çalmak için tasarlanmıştır ve Rus siber casuslarının gözetim hedeflerine uzun vadeli erişim sağlamasına izin verir.
Bazı tehdit matrislerinde Apt28’e giden fantezi ayı, 85’in bir parçası olarak çalıştırılırth Ana Özel Servis Merkezi, Askeri Birim 26165 ve sonuçta Soğuk Savaş efsanesinin KGB’sine bir halef istihbarat ajansı olan GRU’ya cevap veriyor.
NCSC Operasyon Direktörü Paul Chichester, “Otantik antikalar kötü amaçlı yazılımların kullanımı, Rusya’nın GRU’nun ortaya koyduğu siber tehdidin kalıcılığını ve sofistike olduğunu gösteriyor” dedi.
“Uzun yıllar boyunca GRU faaliyetlerinin NCSC araştırmaları, ağ savunucularının bu tehdidi kabul etmemeleri gerektiğini ve sistemleri savunmak için izleme ve koruyucu eylemin gerekli olduğunu göstermektedir.
Chichester, “Rus kötü niyetli siber etkinlik çağırmaya devam edeceğiz ve ağ savunucularını NCSC web sitesinde mevcut tavsiyeleri takip etmeye şiddetle teşvik edeceğiz” dedi.
Otantik maskaralık örnekleri sağlayan NCC Group ile çalışan NCSC uzmanları, kötü amaçlı yazılımın uzun bir analizini gerçekleştirmiştir – bu, burada tam olarak okunabilir – bu da Fancy Bear’ın Microsoft Cloud hesaplarına kalıcı uç nokta erişimini sürdürmesini sağlamak için günlük, meşru etkinlik ile birleşir.
Kötü amaçlı yazılım yaklaşık 2023’ten beri yaygın olarak kullanılmaktadır ve daha sonra, çevrimiçi, SharePoint ve onedrive da dahil olmak üzere çeşitli uygulamalar için OAuth 2.0 kimlik doğrulama jetonları ile birlikte ele geçirilen kimlik bilgilerini girmelerini sağlamak için hedefine kötü amaçlı oturum açma istemleri gösterdiği Microsoft Outlook süreçlerinde çalışır.
NCSC, Outlook süreçlerinden istemler oluşturmak ve çok sık görüntülenmediklerini sağlamak da dahil olmak üzere, son kullanıcılar arasında gerçek Microsoft kimlik doğrulama istemleriyle son kullanıcılar arasında artan aşinalıktan yararlanmak için akıllıca tasarlandığını söyledi.
Otantik Antikalar herhangi bir komut ve kontrol (C2) altyapısı ile iletişim kurmaz ve ek görev alamaz. Yalnızca meşru hizmetlerden bahsediyor, yani aktif olduğunda seçmek çok daha zor – örneğin, uzlaşmış hesaptan fantezi ayı tarafından kontrol edilen bir e -posta adresine e -posta göndererek kurbanlarının verilerini söndürüyor – bu gönderilen e -postalar kurbanın gönderilen öğe klasöründe görünmüyor.
Ajans, “önemli düşüncenin” normal aktiviteyle karışmasını sağlamak için otantik maskaralıkların tasarımına girdiğini söyledi. Diğer şeylerin yanı sıra, disk üzerindeki varlığı sınırlıdır, verileri Outlook’a özgü kayıt defteri konumlarında saklar ve kod tabanı, bir gizleme yöntemi olarak orijinal Microsoft kimlik doğrulama kitaplığı kodunu içerir.
NCSC’nin analistleri, “Kötü amaçlı yazılımın niyetinin mağdur e -posta hesaplarına kalıcı erişim elde etmek olduğu açıktır. Bu, kiracınızı şüpheli girişler için izlemenin faydasını vurgulamaktadır” dedi.
Yaptırımlar
Atıf, birim 26165 de dahil olmak üzere üç GRU birimine karşı daha geniş yaptırımların duyurulmasının yanında ve Rusya’nın jeopolitik ve askeri hedeflerini desteklemek için siber ve bilgi müdahalesi operasyonları yürüttüğü iddia edilen 18 memur ve ajan.
Yaptırılanlar arasında, 2018’de, İngiliz ulusal, şafak vaktinin hayatını iddia eden Novichok zehirlenme girişiminden önce, çift ajan Sergei Skripal’ın kızı Yulia Skripal’ın cihazını hedefleyen ve gözlemleyen Gru askeri istihbarat memurları var.
Dışişleri Bakanı David Lammy, “Gru Spies, Avrupa’yı istikrarsızlaştırmak, Ukrayna’nın egemenliğini zayıflatmak ve İngiliz vatandaşlarının güvenliğini tehdit etmek için bir kampanya yürütüyor” dedi.
“Kremlin şüphesiz olmalı: Gölgelerde ne yapmaya çalıştıklarını görüyoruz ve buna tahammül etmeyeceğiz. Bu yüzden Rus casuslarına karşı yaptırımlarla kararlı bir eylemde bulunuyoruz.
İngiltere’nin eylemlerini desteklemek için konuşan bir NATO sözcüsü, Rusya’nın devam eden kötü niyetli siber faaliyetlerini kınadı ve bu yılın başlarında Ukrayna’nın savunmasını desteklemeye dahil olan Batı lojistiği ve teknoloji organizasyonlarını hedeflemek için çağrılan Fancy Bear’a yapılan diğer niteliklere dikkat çekti.
Bir sözcü, “Rusya’yı istikrarsızlaştırıcı siber ve hibrit faaliyetlerini durdurmaya çağırıyoruz. Bu faaliyetler, Rusya’nın Rusya’nın koruduğunu iddia ettiği siber alanda sorumlu devlet davranışları çerçevesine göz ardı ettiğini gösteriyor” dedi.
“Rusya’nın eylemleri, Tallinn mekanizması ve BT yeteneği koalisyonu aracılığıyla siber yardım da dahil olmak üzere Müttefiklerin Ukrayna’ya desteğini caydırmayacak. Ukrayna’ya karşı savaştan öğrenilen dersleri Rus kötü niyetli siber faaliyetlere karşı koymaya devam edeceğiz.”