NSA, FBI, CISA ve müttefikleri, casusluk, sabotaj ve itibar zedeleme amacıyla küresel hedeflere karşı bilgisayar ağı operasyonları yürütmekten sorumlu olan Rusya Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü (GRU) Birimi 29155 ile ilişkili siber aktörleri değerlendirdi.
13 Ocak 2022 tarihi itibarıyla GRU Birimi 29155’e bağlı siber saldırganlar, yıkıcı WhisperGate kötü amaçlı yazılımıyla birkaç Ukraynalı kurban şirkete saldırmaya başladı.
WhisperGate, en azından Ocak 2022’den beri Ukrayna’daki çeşitli hükümet, kar amacı gütmeyen kuruluşlar ve bilgi teknolojisi şirketlerine karşı kullanılan, fidye yazılımına benzeyecek şekilde tasarlanmış çok aşamalı bir temizleme yazılımıdır.
TTP’ler 29155 Siber Aktör Birimiyle Bağlantılı
29155 Nolu Birim ile ilişkili siber aktörlerin hedefleri arasında casusluk amaçlı veri toplamak, gizli bilgilerin çalınması ve ifşa edilmesi yoluyla itibar zedelemek ve verileri kasıtlı olarak bozmak yer alıyor gibi görünüyor.
FBI’a göre siber aktörler, deneyimli Birim 29155 liderliği tarafından yönlendirilen aktif görevde bulunan genç GRU subaylarıdır. Siber operasyonlar ve saldırılar gerçekleştirerek, bu kişiler teknik yeteneklerini geliştiriyor ve siber güvenlik alanında uzmanlık kazanıyor gibi görünüyor.
Microsoft tarafından Cadet Blizzard (eski adıyla DEV-0586) ve CrowdStrike tarafından Ember Bear (Bleeding Bear) takma adlarıyla anılan Rus hacker’ların, ABD’nin hayati altyapılarına yönelik kapsamlı saldırıların arkasındaki kişiler olduğu ABD yetkilileri tarafından resmen tespit edildi.
Ayrıca, Birim 29155 siber aktörleri, Avrupa ve Kuzey Amerika’daki Kuzey Atlantik Antlaşması Örgütü’nün (NATO) çok sayıda üyesine ve Avrupa, Latin Amerika ve Orta Asya’daki ülkelere karşı bilgisayar ağı operasyonları gerçekleştirdi.
Veri sızdırma, altyapı tarama, web sitesi tahrifi ve veri sızıntısı operasyonları gibi siber kampanyalar da bu faaliyetin bir parçasıdır.
Bu saldırganlar, sızdırılmış ve satılmış veya kamuya açıklanmış kurban verilerini toplamak için zaaflarını kullanırlar. Siber saldırganlar, 2022’nin başından beri Ukrayna’daki yardım girişimlerini hedef aldı ve aksattı.
Ortak bildiride, “FBI bugüne kadar en az 26 NATO üyesi ve birkaç Avrupa Birliği (AB) ülkesinde 14.000’den fazla alan adı taraması gözlemledi” ifadeleri yer aldı.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Tarama ve güvenlik açığı istismar girişimleri için grup, Acunetix, Amass, Droopescan, JoomScan, MASSCAN, Netcat, Nmap, Shodan, VirusTotal ve WPScan gibi araçları kullandı.
Siber suçluların operasyonlarını gizlemek için VPN kullanma geçmişi vardır. Genellikle İnternet üzerinden erişilebilen sistemlerdeki güvenlik açıklarından yararlanmaya çalışırlar.
Varsayılan kimliklerini ve parolalarını kullanarak IP kameralara erişmek için istismar betiklerini kullandılar, Nesnelerin İnterneti (IoT) cihazlarını aramak için Shodan’ı kullandılar ve dosyaları (JPG dosyaları) çıkardılar.
Grup, operasyonel araçlarını barındırmak, keşif yapmak, mağdur altyapısını istismar etmek ve mağdur verilerini sızdırmak için sanal özel sunucuları (VPS’ler) kullandı.
Azaltma önlemleri
- Düzenli sistem güncellemelerine öncelik verin ve istismar edildiği bilinen güvenlik açıklarını giderin.
- Kötü niyetli davranışların yayılmasını önlemek için ağları segmentlere ayırın.
- Web postası, VPN ve hayati sistemlere erişen hesaplar dahil olmak üzere tüm dışa dönük hesap hizmetleri için kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
NSA Siber Güvenlik Direktörü Dave Luber, “Kuruluşların bu bilgileri kullanması ve verileri güvence altına almak ve bu kötü niyetli siber aktörlerin neden olduğu zararları azaltmak için derhal harekete geçmesi önemlidir” dedi.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!