İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC) ve Beş Göz istihbarat ittifakındaki muadil kuruluşları, son dört yıldır kötü niyetli faaliyetler yürüten bir Rus askeri siber birimini tespit etmek için Çekya, Estonya, Almanya, Letonya ve Ukrayna’dan ortaklarla bir araya geldi.
Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı’na bağlı 29155 Numaralı Birim, Ukrayna’ya karşı siber savaş operasyonlarında kullanılan Whispergate zararlı yazılımı gibi araçları kullanarak yıllar içinde çok sayıda bilgisayar ağına saldırı düzenledi.
NotPetya’ya çok benzeyen bir kötü amaçlı yazılım olan Whispergate, Rusya’nın Şubat 2022’deki yasadışı işgalinden önce Ukrayna genelinde konuşlandırıldı. İlk bakışta bir fidye yazılımı dolabı gibi çalışıyor gibi görünse de, etkinliği gerçek amacını gizliyor; bu amaç, silinmek üzere sistemlerin ana önyükleme kayıtlarını hedeflemek.
Whispergate’in Moskova’nın istihbarat servisleriyle bağlantılı olduğu zaten biliniyordu; ancak ilk kez bu yöntemin belirli bir gelişmiş kalıcı tehdit (APT) operasyonuna atfedilmesi söz konusu.
NCSC operasyon direktörü Paul Chichester, “29155 Numaralı Birimin yetenekli bir siber aktör olarak ortaya çıkması, Rus askeri istihbaratının Ukrayna’daki yasadışı savaşını ve diğer devlet önceliklerini sürdürmek için siber alanı kullanmaya verdiği önemi gösteriyor” dedi.
“Birleşik Krallık, ortaklarımızla birlikte, Rus kötü niyetli siber faaliyetlerini ifşa etmeye kararlıdır ve bunu yapmaya devam edecektir. NCSC, kuruluşları ağlarını savunmalarına yardımcı olmak için tavsiyede yer alan azaltma tavsiyelerini ve rehberliği takip etmeye şiddetle teşvik etmektedir.”
29155 numaralı birim, aynı zamanda 161 olarak da adlandırılmaktadırst Özel sektör tehdit araştırmacıları tarafından Cadet Blizzard, Ember Bear (Bleeding Bear), Frozenvista, UNC2589 ve AUC-0056 olarak adlandırılan Uzman Eğitim Merkezi, büyük ihtimalle aktif görevdeki genç GRU personelinden oluşuyor ancak operasyonlarının hizmetinde bilinen siber suçlular ve onların destekçileri de dahil olmak üzere üçüncü taraf yüklenicilere başvurduğu da biliniyor. Birim 26165 (diğer adıyla Fancy Bear) ve Birim 74455 (diğer adıyla Sandworm) gibi daha köklü GRU destekli APT’lerden bir ölçüde farklıdır.
NCSC, 29155 Numaralı Birimin siber operasyonlarının, öncelikle casusluk amacıyla bilgi toplamak, kamuya açık web sitelerini bozmak, hassas bilgileri çalarak ve sızdırarak itibar zedelemek ve günlük operasyonlarını sabote etmek amacıyla kurbanları seçip hedef aldığını söyledi.
FBI’a göre, Birim 29155, özellikle CNI, hükümet, finansal hizmetler, ulaşım, enerji ve sağlık hizmetlerine odaklanarak, çok sayıda NATO ve Avrupa Birliği (AB) üye ülkesinde binlerce alan tarama tatbikatı gerçekleştirdi. Amerikalılar, darbe girişimleri ve hatta suikast girişimleri de dahil olmak üzere fiziksel casusluk eylemlerinden de sorumlu olabileceğini söylüyor.
Çalışma modu
29155 numaralı birim, saldırılarına hizmet etmek için kamuya açık CVE’leri sık sık arar, çoğunlukla kamuya açık GitHub depolarından istismar betikleri elde eder ve Microsoft Windows Server, Atlassian Confluence Server ve Data Center ve Red Hat’teki kusurları ve ayrıca Çin merkezli bir IP kamera üreticisi olan Dahua ve Sophos’un güvenlik ürünlerini hedef aldığı bilinmektedir.
Özel olarak geliştirilmiş çözümler yerine, kırmızı takım taktiklerini ve herkese açık araçları tercih ediyor; bu da geçmişte siber saldırılarının bir kısmının, kendisiyle aynı çatı altında bulunan diğer gruplara atfedilmesine yol açmış olabilir.
Bu faaliyetin bir parçası olarak, Birim 29155, kötü amaçlı yazılımlar ve yükleyiciler de dahil olmak üzere yararlı araçlar elde etmek için kullandığı çeşitli karanlık web forumlarında hesaplar yöneterek yeraltı siber suç topluluğunda varlığını sürdürüyor.
29155 Numaralı Birim, saldırıları sırasında operasyonel faaliyetlerini anonimleştirmek ve internete bağlı sistemlerdeki zayıflıkları istismar etmek için genellikle bir VPN hizmeti kullanacak ve ilk erişimi elde etmek için yukarıda belirtilen CVE’leri kullanacaktır.
Kurban ortamının içine girdiğinde, yukarıda belirtilen Dahua kameraları gibi IP kameralar da dahil olmak üzere savunmasız Nesnelerin İnterneti (IoT) cihazlarını taramak için Shodan’ı kullanır ve varsayılan kullanıcı adları ve parolalarla kimlik doğrulaması yapmak için istismar betikleri kullanır. Daha sonra, bu savunmasız cihazlara web üzerinden uzaktan komut yürütmeyi dener ve bu, başarılı bir şekilde yapılırsa, yapılandırma ayarlarını ve kimlik bilgilerini düz metin olarak dökmelerine olanak tanır.
Bir kurban sisteminde bir istismarı başarıyla gerçekleştirdikten sonra, Birim 29155, komuta ve kontrol (C2) altyapısıyla iletişim kurmak için ters İletim Kontrol Protokolü (TCP) bağlantısı kullanarak bir Meterpreter yükü başlatabilir. C2 amaçları için, Birim 29155’in operasyonel araçlarını barındırmak, keşif faaliyeti yürütmek, kurban altyapısını istismar etmek ve veri çalmak için bir dizi sanal özel sunucu (VPS) kullandığı bilinmektedir.
Dahili ağlara eriştiğinde, Birim 29155’in IPv4 ağ trafiğini tünellemek için Alan Adı Sistemi (DNS) tünelleme araçlarını kullandığı, kurban altyapısı içinde proxy’leri yapılandırdığı ve daha fazla anonimlik sağlamak için ProxyChains kullanarak ağ içinde komutları yürüttüğü gözlemlendi. Ayrıca java adlı GOST açık kaynaklı tünelleme aracını (SOCKS5 proxy’si aracılığıyla) kullandı.
Bir dizi saldırıda, Unit 29155’in Rclone komut satırı programını kullanarak kurban verilerini uzak konumlara sızdırdığı ve ayrıca Local Security Authority Subsystem Service (LSASS) bellek dökümleri, Security Accounts Manager (SAM) dosyaları ve SECURITY ve SYSTEM olay günlüğü dosyaları dahil olmak üzere çeşitli Windows işlemlerini ve yapıtlarını sızdırdığı gözlemlendi. Ayrıca, posta sunucularını tehlikeye atıyor ve PowerShell aracılığıyla e-posta mesajları dahil yapıtları sızdırıyor.
Whispergate’in yeni analizi ve azaltma rehberliği de dahil olmak üzere daha derinlemesine teknik bilgiler, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın ana danışma bildirisinde mevcuttur. Savunucuların, Unit 29155’in çalışmalarını öğrenmeleri ve tam danışma bildirisinde belirtilen önerileri takip etmeleri rica olunur.