İskoç Ulusal Partisi Milletvekili Stewart McDonald, hükümet dışı kuruluşları (STK’lar), politikacıları, gazetecileri ve diğer etkili kişileri hedef alma konusunda uzmanlaşmış, Rus devlet destekli bir bilgisayar korsanlığı grubunun son kurbanı oldu.
Eski SNP savunma sözcüsü Stewart McDonald, bugün dedi Rus devletiyle bağlantılı olduğuna inanılan bilgisayar korsanlarının özel e-postalarına eriştiklerini ve bunları internette yayınlayabileceklerini söyledi.
Açıklama, GCHQ’nun bir parçası olan Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin, Cold River olarak da bilinen Rus bilgisayar korsanlığı grubu Seaborgium’un Rus devletini ilgilendiren kişilere karşı yüksek düzeyde hedefli kimlik avı saldırıları başlattığına dair uyarılarının ardından geldi.
Rus FSB istihbarat teşkilatı ile bağlantılı olduğuna inanılan bilgisayar korsanlığı grubu, geçen yıl MI6’nın eski başkanı Richard Dearlove, gazeteci Paul Mason ve açıklanmayan diğer hedeflere yönelik hack ve sızıntı operasyonlarından sorumluydu.
“Son birkaç haftadır. Kişisel e-posta hesabıma ve personelimden birine ait kişisel e-posta hesabına yönelik sofistike ve hedefli bir mızrakla kimlik avı saldırısıyla uğraşıyorum. Bu bilgisayar korsanlığı cezai bir suçtur, ”McDonald Twitter’da yazdı.
McDonald, BBC’ye verdiği bir röportajda, 13 Ocak 2023’te özel hesabına bir personelden Ukrayna’daki savaşla ilgili şifre korumalı bir belgeye bağlantı olduğunu iddia eden bir e-posta aldığını söyledi.
BBC’nin bildirdiğine göre, Güney Glasgow milletvekili Ukrayna savaşıyla ilgilendi ve Ukrayna hükümetinden liyakat nişanı aldı.
McDonald, belgedeki bir bağlantıya tıkladığını ve yazdığı şifrenin sorulduğu bir web sayfasına yönlendirildiğini söyledi. Şifre, McDonald’ı boş bir sayfaya götürdü.
“Bunlar [spear phishing attacks] son derece sofistike ve derinden inandırıcıdır. Aynı şeyin başına gelen -çoğunun yüksek siber güvenlik duygusu ve iyi uygulamaları olan- başkalarıyla konuştuktan sonra, birinin nasıl kurban olabileceğini görmek kolay”
Stewart McDonald, İskoç Ulusal Partisi
Birkaç gün sonra ilgili personel, kişisel e-postasına erişiminin engellendiğini ve hesabındaki şüpheli etkinlik nedeniyle yeniden erişim sağlamakta sorun yaşadığını bildirdi. Personel ayrıca McDonald’a şüpheli e-postayı göndermediğini de doğruladı.
Olay, NCSC’nin Seaborgium ve benzer İranlı bilgisayar korsanlığı gruplarının faaliyetleri hakkında yeni uyarılar yayınlamaya hazırlanırken meydana geldi. NCSC, olayı araştırdığını BBC’ye doğruladı.
Twitter’da “Bu saldırıda kullanılan taktiklerin, akademi, savunma, hükümet kuruluşları, STK’lar, düşünce kuruluşları ve ayrıca politikacıları, gazetecileri ve aktivistleri hedef alan hedef odaklı kimlik avı e-postalarına ilişkin yakın tarihli bir NCSC tavsiye bildirimini yansıttığı açık hale geldi” diye yazdı.
“Burada olduğu gibi, bu girişimler son derece sofistike ve son derece ikna edici. Aynı şeyin başına gelen -çoğunun yüksek siber güvenlik duygusu ve iyi uygulamaları olan- başkalarıyla konuştuktan sonra, birinin nasıl kurban olabileceğini görmek kolay” diye ekledi.
McDonald, BBC’ye, bilgisayar korsanlarının çalınan malzemeyle ne yapacağını görmek ve başkalarını kimlik avının riskleri konusunda uyarmak için beklerken olası hasarı sınırlamak için konuştuğunu söyledi.
Bilgisayar korsanlarının çalınan bilgilerin bir kısmını yayınlayabileceklerini ve muhtemelen bazı içerikleri değiştirebileceklerini varsayması gerektiğini söyledi.
“Bazı gerçek e-postalar arasında tamamen yanlış olan e-postaların da olacağından şüphem yok. Bu eski bir taktik,” diye yazdı Twitter’da.
Milletvekili, bilgisayar korsanlığı grubunun yazışmalarını sızdırmaktansa kiminle iletişim kurduğunu ve bu iletişimlerin içeriğini öğrenmekle daha fazla ilgilenmiş olabileceğini de söyledi.
McDonald, bazı durumlarda konuştuğu diğer kurbanların e-postalarının sızdırıldığını ve diğer durumlarda olmadığını söyledi.
Farkındalık yaratmak ve insanları daha dikkatli olmaya davet etmek istiyorum” dedi.