Rusya, stratejik hedeflerine ulaşmak için devlet destekli Gelişmiş Kalıcı Tehdit (APT) gruplarından ve finansal motivasyona sahip siber suçlulardan yararlanıyor; APT grupları değerli siyasi ve ekonomik bilgiler toplamak için casusluk yapıyor.
Rus hükümeti, görünürde bağımsızlıklarına rağmen mali motivasyona sahip grupları kötü niyetli operasyonlar için görevlendirebilir; bu da suç ve devlet destekli aktörler arasındaki ayrımların belirsiz olduğu karmaşık bir tehdit ortamına yol açabilir; SVR ve GRU gibi istihbarat teşkilatları ise bu siber faaliyetleri muhtemelen yönetir. .
Rusya’nın GRU’suyla bağlantılı olduğuna inanılan bilgisayar korsanları, Mayıs 2023’te Zyxel güvenlik duvarlarındaki kritik bir güvenlik açığından (CVE-2023-28771) yararlanarak, on bir kuruluşun güvenliğini ihlal ederek ve diğerlerini ağlarını izole etmeye zorlayarak Danimarka’nın enerji sektörüne karşı koordineli bir siber saldırı başlattı.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın
Kimliği doğrulanmamış uzaktan kod yürütme güvenlik açığı, saldırganların güvenlik duvarlarına kök erişimine izin vererek potansiyel olarak kritik altyapıya erişmelerine olanak sağladı.
Saldırganlar daha derin erişime sahip olmadan durdurulurken, önceden seçilmiş hedefler ve karmaşık planlama, Rusya’nın önemli ölçüde müdahale ettiğini gösteriyor.
Rusya ile bağlantılı olduğuna inanılan bilgisayar korsanları, sıfır gün kötü amaçlı yazılım saldırısı gerçekleştirmek, verileri silmek ve hizmetleri günlerce felce uğratmak için Aralık ayına kadar bekledikleri sırada Mayıs 2023’te Ukrayna’nın en büyük telekom sağlayıcısı Kyivstar’a sızdılar.
Saldırganlar, yükseltilmiş erişim elde etmek ve bulut depolama ve yedeklemeleri hedeflemek için büyük olasılıkla güvenliği ihlal edilmiş bir çalışan hesabından yararlandı.
Sandworm ile bağları olduğunu iddia eden grup, Ukrayna askeri iletişimini bozmayı amaçlasa da, saldırı yalnızca Kyivstar’ın operasyonlarını mahvetti; bu, Mayıs 2023’ten bu yana Sandworm tarafından Ukraynalı telekom sağlayıcılarını hedef alan en az on bir siber saldırıdan birine işaret ediyor.
Rusya bağlantılı bir APT grubu olan APT29, kurban ağlarına yetkisiz erişim sağlamak için JetBrains TeamCity sunucularındaki kritik bir kimlik doğrulama atlama güvenlik açığından (CVE-2023-42793) yararlanarak hassas verileri çalmalarına ve yazılım yapılarını potansiyel olarak manipüle etmelerine olanak tanıdı.
Tespiti atlamak, ayrıcalıkları yükseltmek ve Windows Yönetim Araçları’nı kullanarak ağda yanal olarak hareket etmek için Kendi Savunmasız Sürücünüzü Getirin’i (BYOVD) kullandılar ve güvenliği ihlal edilmiş sistemlerde kalıcılığı korumak için ek arka kapılar dağıttılar.
Olay, tedarik zinciri saldırılarının tehlikelerini ve operasyonel teknoloji (OT) ağlarına ulaşmak için geleneksel BT sistemlerini hedef alan saldırganların gelişen taktiklerini vurguluyor.
Reliaquest’teki araştırmacılar, muhtemelen Rusya’ya bağlı bir bilgisayar korsanlığı grubu olan Sandworm Team’i, 2022’de Ukrayna’daki bir elektrik şebekesi trafo merkezine düzenlenen siber saldırıyla ilişkilendirdi.
Sandworm, güvenliği ihlal edilmiş bir sanal makine aracılığıyla trafo merkezinin kontrol sistemine erişim sağladı ve SCADA sistemini manipüle etmek için yasal yazılımdan (LOLBIN) yararlandı.
Sandworm’un genişletilmiş erişimi, maksimum etki için beklemeyi işaret ettiğinden ve LOLBIN’leri kullanmaları, Rusya’nın kritik operasyonel teknoloji altyapısını hedeflemede artan yeteneklerini gösteren, savunucuları atlatmak için gelişen taktikleri vurguladığından, muhtemelen fiziksel saldırılarla aynı zamana denk gelecek şekilde zamanlanmış bir elektrik kesintisine neden oldu.
Rusya, ICS’yi hedef almak ve elektrik gücünü kesintiye uğratmak için COSMICENERGY, Industroyer ve Industroyer2 dahil olmak üzere çok sayıda OT kötü amaçlı yazılım türü geliştirdi. COSMICENERGY, güç şebekelerini yönetmek için RTU’lar gibi IEC 60870-5-104 cihazlarından yararlanıyor.
Industroyer2’nin bir çeşidi olarak, güvenli olmayan OT sistemleri kullanan ve ağ risklerini önlemek için erken tespit gerektiren devre kesici arıza korumalarını özellikle devre dışı bırakır. Industroyer, bir arka kapıya, bir başlatıcıya ve devre kesicileri manipüle edebilen yüklere sahip modüler bir kötü amaçlı yazılım parçasıdır. Verileri silin.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın