Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
FSB Hackerları Daha Önce Başkalarının Komuta ve Kontrolünü Ele Geçirmişti
Akşaya Asokan (asokan_akshaya) •
5 Aralık 2024
Microsoft ve Black Lotus Labs’ın raporuna göre, bir Rus devlet korsanlığı grubu, Asya’daki kurbanları hedef alan devam eden bir istihbarat toplama operasyonunun parçası olarak Pakistan merkezli bir casusluk ağının komuta ve kontrol altyapısını ele geçirdi.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Microsoft, saldırıları Secret Blizzard olarak takip ettiği Rus ileri düzey kalıcı bir gruba bağladı. KRYPTON, Zehirli Ayı, Yılan ve Turla Ekibi olarak da bilinen grup, Rusya devlet güvenlik kurumu Federal Güvenlik Servisi’nin, özellikle Merkez 16 olarak bilinen biriminin bir parçasıdır.
Rus bilgisayar korsanları, Microsoft’un en az Kasım 2022’den beri Storm-0156 olarak takip ettiği Pakistan merkezli bir casusluk kümesinin altyapısını, kendi arka kapılarını dağıtmak için arka kapılarını kullanarak tehlikeye atmaya başladı.
Microsoft, FSB’nin saldırı vektörlerini çeşitlendirme konusundaki kararlılığının bir göstergesi olarak “Benzersiz olmasa da, diğer rakiplerin erişiminden yararlanmak genel olarak tehdit aktörleri için alışılmadık bir saldırı vektörüdür” diye yazdı.
Microsoft, Secret Blizzard’ın Storm-0156’yı nasıl ele geçirdiğinin belirsiz olduğunu söyledi. FSB tarafından dağıtılan arka kapı çeşitleri arasında, kontrol sunucularını yapılandıran Windows tabanlı bir hizmet olarak gizlenen Tiny Turla da vardı. Ayrıca Microsoft’un “TwoDash” olarak izlediği bir .NET arka kapısını ve verileri izleyen ve günlüğe kaydeden “Statuezy” adlı özel bir Truva atı da kullandı. Tehdit grubu ayrıca “MiniPocket” adı verilen başka bir özel kötü amaçlı yazılım indiricisini de devreye aldı.
Kurbanlar arasında Afganistan Dışişleri Bakanlığı, İstihbarat Genel Müdürlüğü ve ülkenin dış konsoloslukları da yer alıyor.
Microsoft, “Bu vakaların her birinde, daha sonra Secret Blizzard araçlarını Afganistan’daki cihazları hedeflemek için indirmek için kullanılan Storm-0156 arka kapılarının konuşlandırıldığını gözlemledik” dedi.
Microsoft, grubun Hindistan’da araçlarının doğrudan konuşlandırılmasından kaçınmasına rağmen bunun FSB içinde alınan siyasi kararın potansiyel bir göstergesi olduğunu söyledi.
Secret Blizzard Kötü Amaçlı Yazılım Altyapısının Benimsenmesi
Rus tehdit grubu öncelikle çoklu komuta ve kontrol altyapısı ve kötü amaçlı yazılım arka kapısını kullanarak kapsamlı casusluk faaliyetleri için uzun vadeli erişim elde etmeye odaklanıyor.
Bu, FSB’nin kötü amaçlı altyapıyı gasp etmeye ilk kararı değil. Önceki örnekler arasında Orta Doğu’daki kurbanları hedeflemek için İran’ın gelişmiş kalıcı grubu OilRig’in kullanılması, arka kapıyı dağıtmak için Andromeda ticari amaçlı kötü amaçlı yazılımların yeniden kullanılması ve Orta Asya’daki kurbanları hedeflemek için Kazakistan merkezli tehdit aktörü tarafından geliştirilen kötü amaçlı yazılımların ortak olarak seçilmesi yer alıyor.
Microsoft, “Bu tür bir kaynaktan yararlanmanın hem avantajları hem de dezavantajları vardır” dedi. Yerleşik altyapıyı ele geçirmek veya ele geçirmek minimum çabayla dayanak oluşturmaya yardımcı olsa da, dezavantajı “bu teknikle elde edilen bilgilerin Secret Blizzard’ın toplama öncelikleriyle tamamen uyumlu olmayabilmesidir.”
İlk dayanağı oluşturan tehdit aktörünün operasyonel güvenliği zayıfsa, ortak tercih aynı zamanda uç nokta veya ağ güvenliği uyarılarının tetiklenmesi riskini de taşır ve FSB faaliyetlerini açığa çıkarma potansiyeline sahiptir.