Uluslararası müttefikleriyle birlikte çalışan Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Rus devleti destekli siber aktörlerin İngiliz siyasetine ve demokratik süreçlerine müdahale etmeye yönelik bir dizi sürekli ve henüz başarısız girişimlerine dikkat çekerek, sorumlu grubu Merkez 18’e atfetti. Rusya’nın Federal Güvenlik Servisi’nin (FSB), Soğuk Savaş KGB’sinin ana halefi teşkilatı.
NCSC ve Beş Göz müttefikleri daha önce söz konusu grubun Ocak 2023’teki iddia edilen faaliyeti hakkında bir tavsiye niteliğinde yayınlamıştı ancak artık kampanyayı kesin bir şekilde ilişkilendirebiliyorlar. Grubu Star Blizzard olarak adlandırdılar – ancak daha önce Cold River ve Seaborgium gibi birçok isimle anılmıştı.
Faaliyetleri arasında, neredeyse on yıl öncesine dayanan sürekli bir kampanyayla yüksek profilli bireylerin hedef odaklı kimlik avı hedeflenmesi, 2019 Genel Seçimleri öncesinde sızdırılan Birleşik Krallık-ABD ticaret belgelerinin ele geçirilmesi ve Devlet İdaresi Enstitüsü’ne yönelik bir siber saldırı yer alıyor. dezenformasyon düşünce kuruluşu ve kurucusu.
Öne çıkan kurbanlar arasında eski bir MI6 şefi de vardı; bu kişi, daha önce Computer Weekly tarafından bildirildiği üzere, e-postalarının hacklendiğini ve sert bir Brexit için baskı yapan bir grup önde gelen kişiyle ilişkisinin ayrıntıları da dahil olmak üzere iletişimlerinin açığa çıktığını gördü.
Ayrıca üniversiteleri, gazetecileri, kamu sektörü kuruluşlarını, sivil toplum kuruluşlarını (STK’lar) ve diğer sivil toplum kuruluşlarını da hedef aldı.
Nihai amacı, siber casusluk yoluyla elde edilen bilgileri seçici olarak sızdırmak ve bu bilgilerin Rusya’nın jeopolitik hedefleri doğrultusunda yayınlanmasını artırmak veya Birleşik Krallık siyasetine olan güveni sarsmaktır.
NCSC ve Five Eyes müttefikleri daha önce grubun Ocak 2023’teki iddia edilen faaliyeti hakkında bir tavsiye niteliğinde yayınlamıştı ancak artık kampanyayı kesin bir şekilde ilişkilendirebiliyorlar. NCSC operasyon direktörü Paul Chichester, “Demokratik süreçlerimizi savunmak NCSC için mutlak bir önceliktir ve değerlerimize müdahale etmeyi veya onları baltalamayı amaçlayan her türlü girişimi kınıyoruz” dedi. “Rusya’nın siyasi müdahale girişimlerini ilerletmek için siber operasyonları kullanması kesinlikle kabul edilemez ve biz, ortaklarımızla birlikte bu faaliyet modelini duyurmakta kararlıyız. Demokrasimizde önemli rol oynayan kişi ve kuruluşların güvenliklerini güçlendirmesi gerekiyor ve onları tavizlerin önlenmesine yardımcı olmak için rehberimizde tavsiye edilen adımları takip etmeye çağırıyoruz.”
NCSC bugün, yüksek risk altındaki bireylerin cihazlarını ve çevrimiçi hesaplarını korumak için çok faktörlü kimlik doğrulama (MFA) kurulumu, kimlik bilgileri hijyenini iyileştirme ve cihazlarına güvenlik güncellemelerini yükleme adımları da dahil olmak üzere önlemler almasına yardımcı olmak için revize edilmiş bir kılavuz yayınlıyor. cihazlar. Buna buradaki mikro sitesinden ulaşılabilir.
Ulusal Suç Teşkilatı (NCA) tehditlerden sorumlu genel müdürü James Babbage şunları söyledi: “Bugün açıklanan yaptırımlar, NCA tarafından yapılan uzun ve karmaşık bir soruşturmanın sonucudur; İngiltere.
“Bu eylem dünyanın neresinde olursa olsun Birleşik Krallık’ı hedef alan suçlulara açık bir mesaj göndermektedir; Kim olduklarını biliyoruz, eylemlerimize karşı bağışık değiller ve onları bozma çabalarımızdan vazgeçmeyeceğiz” dedi. “Ortaklarımızla birlikte, ulusal güvenliğimizi tehdit etmeye ve demokrasiyi baltalamaya çalışanlardan hesap sormaya kararlıyız.”
Star Blizzard’ı Iron Frontier olarak takip eden Secureworks’ün Karşı Tehdit Birimi’nden (CTU) Rafe Pilling şunları söyledi: “Siber casusluğun tek bir amacı var: istihbarat toplamayı desteklemek. Bu, yerel programlara yardımcı olmak, siyasi gündemleri ilerletmek veya dezenformasyon yaymak olabilir. Milletvekillerinin, STK’ların, memurların ve gazetecilerin hedef alınması bu amaçlarla doğrudan örtüşmektedir. Iron Frontier doğrudan FSB’ye bağlıdır.
“Grup, başarılı bir hedef odaklı kimlik avı saldırısı için gereken tüm unsurlara ustaca hakim ve kurbanlarının kimlik bilgilerini başarılı bir şekilde çalma şansını artırmak için kurbanlarıyla güven oluşturuyor. Iron Frontier son sekiz yılda ustalığını geliştirerek gelişmiş bir operatör haline geldi.”
Pilling, grubun uzun bir oyun oynama konusunda özellikle becerikli olduğunu, keşif yapmak için zaman ayırdığını ve kurbanlarıyla doğrudan kişisel bir ilişki kurmak için sıklıkla sahte sosyal medya hesapları ve diğer yöntemleri kullanan ikna edici, çok yönlü hedef odaklı kimlik avı saldırıları gerçekleştirdiğini söyledi.
Pilling, yeteneklerinin şu ana kadar açık kaynaklı kimlik avı çerçeveleri ve saldırgan güvenlik araçlarıyla sınırlı olduğunu ve alan adı ile SSL sertifikası altyapısının, grubun BT ile ilgili terimler kullanan tireli adları düzenli olarak kullanması nedeniyle genellikle gözlemlenebilir olduğunu söyledi.