ABD ve müttefikleri, küresel kritik altyapı saldırılarının arkasındaki Rus hacker grubu Cadet Blizzard ve Ember Bear’ın, Rusya Silahlı Kuvvetler Genelkurmay Başkanlığı’na bağlı 29155 numaralı birimle (GRU olarak da bilinir) bağlantılı olduğunu ileri sürdü.
Ocak 2022’de Ukrayna’da WhisperGate veri silme yazılımı dağıtmalarıyla bilinen Rus GRU askeri istihbarat bilgisayar korsanları, bugün yayınlanan ortak bir bildiride, GRU’nun 161. Uzman Eğitim Merkezi’nin bir parçası olan ve deneyimli Birim 29155 liderliği tarafından koordine edilen “genç aktif görevdeki GRU subayları” olarak tanımlanıyor.
Grup, 2020’den bu yana Avrupa genelinde sabotaj ve suikast girişimleri düzenliyor ve NATO üyeleri ile Kuzey Amerika, Avrupa, Latin Amerika ve Orta Asya’daki ülkelerin kritik altyapı sektörlerine siber saldırılar düzenliyor, 2022’nin başından itibaren de Ukrayna’ya yardım sağlama çabalarını aksatmaya yöneldi.
“Birim 29155, en azından 2020’den beri saldırgan siber operasyonları da kapsayacak şekilde mesleklerini genişletti. Birim 29155 siber aktörlerinin hedefleri arasında casusluk amaçlı bilgi toplama, hassas bilgilerin çalınması ve sızdırılmasıyla itibar zedelenmesi ve verilerin imhasıyla sistematik sabotaj yer alıyor gibi görünüyor.” Bugünkü ortak bildiriye göre.
“Bu kişiler siber operasyonlar ve izinsiz girişler gerçekleştirerek siber deneyim kazanıyor ve teknik becerilerini geliştiriyor gibi görünüyor. Ayrıca FBI, Unit 29155 siber aktörlerinin operasyonlarını yürütmek için bilinen siber suçlular ve kolaylaştırıcılar da dahil olmak üzere GRU dışı aktörlere güvendiğini değerlendiriyor.”
FBI, en az 26 NATO üyesini ve birkaç Avrupa Birliği (AB) ülkesini hedef alan 14.000’den fazla alan adı taraması örneği tespit ettiğini söylüyor. Rusya’nın 29155 Birimi ile ilişkili bilgisayar korsanları, web sitelerini tahrip etti ve çalınan verileri sızdırmak için kamuya açık alanları kullandı.
ABD Dışişleri Bakanlığı bugün ayrıca, GRU’nun 29155 numaralı biriminde yer aldığı düşünülen beş Rus askeri istihbarat subayı olan Vladislav Borovkov, Denis İgoreviç Denisenko, Yuriy Denisov, Dmitriy Yuryeviç Goloshubov ve Nikolay Aleksandrovich Korçagin hakkında bilgi sağlayanlara Adalet İçin Ödül programı kapsamında 10 milyon dolara kadar ödül verileceğini duyurdu.
Dışişleri Bakanlığı, “Bu kişiler, özellikle enerji, hükümet ve havacılık sektörlerinde ABD’nin kritik altyapılarına karşı kötü niyetli siber faaliyetler yürüten Rusya Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü’ne (GRU) bağlı 29155 numaralı birimin üyeleridir” dedi.
“Bu 29155 GRU Birimi subayları Ukrayna’daki ve onlarca Batılı müttefik ülkedeki kritik altyapıları hedef almaktan sorumludur.”
Beş GRU subayı ve sivil Amin Timovich (Haziran ayında WhisperGate saldırısı nedeniyle suçlanmıştı) ayrıca Rusya’nın Şubat 2022’deki işgalinden önce Ukrayna’yı ve 26 NATO üyesini hedef alan siber saldırılara karıştıkları gerekçesiyle bugün suçlandı.
Kritik altyapı kuruluşlarının, GRU bağlantılı siber saldırılara karşı savunma amacıyla sistem güncellemelerine öncelik verilmesi ve bilinen güvenlik açıklarının kapatılması gibi acil önlemler almaları isteniyor.
Ek öneriler arasında kötü amaçlı faaliyetleri sınırlamak için ağ segmentasyonu yapılması ve tüm harici hizmetler, özellikle web postası, sanal özel ağlar (VPN’ler) ve kritik sistemlere erişimi olan hesaplar için kimlik avına dayanıklı çok faktörlü kimlik doğrulamanın (MFA) uygulanması yer alıyor.
Şubat 2022’de Ukrayna’ya yönelik WhisperGate silme kötü amaçlı yazılımı, HermeticWiper kötü amaçlı yazılımı ve fidye yazılımı tuzakları kullanılarak yapılan saldırıların ardından CISA ve FBI, yıkıcı kötü amaçlı yazılım siber saldırılarının diğer ülkelerdeki hedeflere de yayılabileceği konusunda uyardı.
ABD, Çarşamba günü ayrıca 2024 seçimleri öncesinde Rus dezenformasyonuna yönelik bir operasyon başlatacağını duyurdu ve bu yılki başkanlık seçimleri öncesinde Amerikan halkını hedef alan dezenformasyon ve propagandayı yaymak için Doppelgänger adlı Rusya bağlantılı etki operasyonları ağı tarafından kullanılan 32 web alanına el koydu.