APT29, Nobelium veya Cozy Bear olarak bilinen ve muhtemelen en çok 2020/1 SolarWinds olayıyla ünlü olan Rus istihbarat destekli gelişmiş kalıcı tehdit (APT) grubu, Ukrayna’da çalışan diplomatları yeni bir tuzakla tuzağa düşürmeye çalışırken yakalandı. Polonya büyükelçiliği yetkilisi tarafından satılan ikinci el BMW 5 Serisi sedan otomobil.
Palo Alto Network’ün – operasyonu Cloaked Ursa olarak takip eden Unit 42’den gelen yeni istihbarata göre, grup yabancı misyonları hedeflerken genellikle resmi diplomatik bildirimleri ve yazışmaları taklit ediyor, ancak bu örnekte, yeni yerleştirilen tüm diplomatların ihtiyaç duyduğu bir şeyden yararlanmaya yöneldi. : resmi bir araba.
“Profesyonel diplomatlar için hizmetin doğası, genellikle dünya çapındaki ilanlarda kısa ve orta vadeli görevlendirmelerin dönüşümlü bir yaşam tarzını içerir. Ukrayna, yeni atanan diplomatlara, silahlı bir çatışma alanında olmak, benzersiz zorluklar sunuyor, ”diye yazdı Unit 42 ekibi.
“Yeni bir ülkedeyken kişisel eşyalarınızı nasıl gönderir, güvenli konaklama ve hizmetler sağlar ve güvenilir kişisel ulaşımı nasıl ayarlarsınız? Güvenilir bir diplomattan güvenilir bir arabanın satılması, yakın zamanda gelen biri için bir nimet olabilir ve Cloaked Ursa bunu bir fırsat olarak gördü.”
İlk meşru e-posta, Polonya Dışişleri Bakanlığı’ndaki bir personel tarafından Nisan ayında Kiev’deki çeşitli bağlantılara gönderilmiş ve muhtemelen Polonya’ya geri taşındıkları için arabalarının satışının reklamını yapmıştı. Rahat Ayı büyük olasılıkla e-postayı ve ekli Microsoft Word broşürünü kaydırdı – adlı Kiev’de satılık BMW 5 – 2023.docx – kurbanlarından birine ait güvenliği ihlal edilmiş bir sunucudan.
Meşru e-posta, aracın fotoğraflarına götüren bir dizi kısaltılmış URL bağlantısı içeriyordu; Rus casuslar bunları kötü amaçlı bir web sitesine yönlendirmek için yeniden tasarladılar; .png resimler, resim ekranlarında görüntülenir, ancak Cozy Bear’ın kötü amaçlı yazılımı arka planda çalışır.
Bilinen diğer kampanyalar ve hedeflerle örtüşmeleri, bilinen taktikler, teknikler ve prosedürler (TTP’ler) ve grup tarafından kullanılan kötü amaçlı yazılımlarla kod çakışması sayesinde kampanyanın Cozy Bear’a yüksek derecede güvenle atfedilebileceğini söyledi.
Grubun, Palo Alto ekibinin söylediğine göre, gizli bir APT operasyonu için “kapsamı şaşırtıcı” olan, Kiev’de bulunan yabancı misyonların en az dörtte birini hedef aldığı biliniyor.
Hedef alındığı bilinen elçilikler Arnavutluk, Arjantin, Kanada, Kıbrıs, Danimarka, Estonya, Yunanistan, Irak, İrlanda, Kuveyt, Kırgızistan, Letonya, Libya, Hollanda, Norveç, Slovakya, İspanya, Sudan, Türkiye, Türkmenistan’dır. , ABD ve Özbekistan.
Birim 42, gözlemlenen vakaların yaklaşık %80’inde Cozy Bear’ın halka açık elçilik e-posta adreslerini kullandığını ve vakaların diğer %20’sinde başka yollarla toplanan yayınlanmamış e-posta adreslerini kullandığını söyledi. Ekip, APT grubunun e-postalarının alt düzey bir personel tarafından incelenme ve araba satın almakla ilgilenmesi muhtemel kişilere iletilme olasılığını artırmaya çalıştığını söyledi.
Elçiliklerin en az birinde bu, ücretsiz bir çevrimiçi web posta hizmetinde barındırılan grup e-postaları yoluyla yapılıyordu; bu hizmet, bir miktar güvenlik koruması sağlasa da, bir kuruluşun karşı karşıya olduğu tehditleri gözlemleme ve anlama becerisini engelleme riski taşıyor ve bu hizmet, potansiyel saldırı yüzeyi.
Bunun bir hükümet kurumu için büyük bir güvenlik zaafı olduğu makul bir şekilde düşünülebilir, ancak Birim 42, hedeflenen ülkelerden hangisinin aktif bir siber savaş bölgesinde harici e-posta hizmetlerinin kullanımına göz yumacak kadar çılgınca davrandığını açıklamadı.
Yüksek değerli hedefler
Diplomatik misyonlar, Rus istihbaratı için yüksek değerli bir hedeftir ve Ukrayna’daki savaşın 16. ayında, Cozy Bear’ın neden bu tür organizasyonlara sızmakla görevlendirildiğini anlamak kolaydır.
Cozy Bear’ın kendisi oldukça becerikli ve son derece yenilikçi bir grup olarak bilinir ve bulabildiği her fırsatı değerlendirerek etkinliğini artırmak için yaklaşımlarını sürekli olarak değiştirir.
Sonuç olarak, grup tarafından hedef alınması muhtemel hükümet kurumlarının ekstra uyanık kalması ve Kiev’e veya Ukrayna’nın başka bir yerine memur gönderenler için hem yeni personele sunulan güvenlik eğitimini geliştirmesi hem de gerektiğinde ekstra teknik önlemler alması gerekiyor. kısaltılmış URL’lere tıklama ve ekleri indirme gibi hususlara.