Rus istihbaratına bağlı siber tehdit aktörleri, gelişmiş kimlik avı ve kimlik bilgisi toplama teknikleri kullanarak NATO araştırma kuruluşlarına, Batılı savunma yüklenicilerine ve Ukrayna’yı destekleyen STK’lara karşı operasyonlarını yoğunlaştırdı.
Rusya’nın FSB istihbarat servisine atfedilen Calisto saldırı seti, Avrupa ve ötesindeki yüksek değerli varlıkları hedeflemek için ClickFix kötü amaçlı kod tekniğinden yararlanarak hedef odaklı kimlik avı kampanyalarını 2025 boyunca artırdı.
ColdRiver veya Star Blizzard olarak da bilinen ve resmi olarak Rusya’nın FSB bünyesindeki Bilgi Güvenliği Merkezi 18’e (TsIB) atfedilen Calisto grubu, en az Nisan 2017’den bu yana siber casusluk operasyonları yürütüyor.
Bu kampanyalar giderek daha karmaşık hale geldi ve NATO birimleri, Ukraynalı savunma yüklenicileri, STK’lar, düşünce kuruluşları ve Rusya konularında uzman kişiler de dahil olmak üzere askeri ve stratejik araştırma sektörlerini hedef aldı.
İzinsiz giriş grubunun faaliyetleri, özellikle Ukrayna destek operasyonları ve istihbarat altyapısında yer alan kuruluşlara odaklanarak, sürekli olarak Rusya’nın stratejik çıkarlarıyla uyumlu hale geldi.
ClickFix NATO’nun Siber Güvenliğini Bozuyor
Mayıs ve Haziran 2025’te, aralarında önde gelen Fransız STK Sınır Tanımayan Muhabirler (RSF)’nin de bulunduğu çok sayıda kuruluş, Calisto’ya atfedilen şüpheli hedef odaklı kimlik avı girişimleri hakkında güvenlik analistleriyle temasa geçti.
Zulümden kaçan Rus gazetecilere önemli yardımlarda bulunan örgüt, tehdit aktörünün istihbarat toplama çabalarının odak noktası haline geldi.
Calisto’nun RSF’yi hedef alması, grubun mağduriyetinde önemli bir artışı temsil ediyor ve Rusya’nın uluslararası basın özgürlüğü savunuculuğunu bastırmaya yönelik daha geniş çabalarını yansıtıyor.
Calisto’nun kullandığı kimlik avı metodolojisi, önemli ölçüde gelişmişlik ve sosyal mühendislik inceliği sergiliyor.
Grup, güvenilir kişilerin kimliğine bürünen ProtonMail adreslerinden yararlanıyor, alıcılardan belgeleri incelemelerini isteyerek ancak ekleri kasıtlı olarak saklayarak iletişimi başlatıyor.
Kurbanlar eksik dosyayı talep ettiğinde, tehdit aktörleri meşru PDF belgeleri gibi görünen kötü amaçlı veri yükleriyle yanıt veriyor.
Tehdit aktörü, meşru Urchin İzleme Modülü (UTM) analitik parametrelerini taklit eden GET parametreleriyle yapılandırılmış PHP komut dosyalarını kullanır ve kimlik avı zincirini gizlemek için JavaScript yönlendirmesini kullanır.
Bu çok aşamalı yaklaşım, kötü amaçlı yazılımları dağıtmadan veya kimlik bilgilerini toplamadan önce görünüşte orijinal bir değişim oluşturarak güvenilirliği artırır.
Özellikle dikkate değer durumlardan biri, bir RSF personelinin, güvenilen bir kişinin imzasının uygun şekilde biçimlendirilmiş bir versiyonunu içeren yanıltıcı Fransızca bir e-posta almasıydı.
E-posta, bir takip yanıtını tetiklemek için işlevsel olmayan bir bağlantı içeriyordu. Saldırgan, istek üzerine, güvenliği ihlal edilmiş bir web sitesine yönlendiren bir bağlantı içeren ikinci bir e-posta gönderdi ve bu bağlantı da, kötü amaçlı içeriği barındıran bir ProtonDrive URL’sine yönlendirildi.
Belgelenen ikinci bir vakada, saldırganlar .pdf uzantısıyla gizlenmiş bir ZIP arşivi dağıtarak, yükün kötü niyetli yapısını daha da gizledi.
Kurtarılan kimlik avı kitinin teknik analizi, açıkça ProtonMail hesaplarını hedeflemek için tasarlanmış ev yapımı bir altyapıyı ortaya koyuyor.
Kit, görsel özgünlüğü korurken ProtonMail oturum açma sayfasına kötü amaçlı JavaScript enjekte eden Ortadaki Düşman (AiTM) tekniğini kullanıyor.
Kötü amaçlı kod, kurbanı her 250 milisaniyede bir şifre alanına odaklanmaya zorluyor ve kimlik bilgilerine müdahale etmek ve iki faktörlü kimlik doğrulama kodlarını iletmek için saldırgan tarafından kontrol edilen bir API ile iletişim kuruyor.
Kimlik bilgilerinin başarıyla alınmasının ardından analist kontrollü sistemler, Big Mama Proxy hizmetleriyle ilişkili olduğu belirlenen 196.44.117.196 IP adresinden erişimi kaydetti.
Altyapı analizi, Calisto’nun, muhtemelen bilgi çalan kişiler tarafından sızdırılan kimlik bilgileri yoluyla ihlal edilen, yeniden yönlendiriciler olarak tehlikeye atılmış web sitelerine güvendiğini gösteriyor.
Alan adı kayıt modelleri, Regway’den Namecheap’in DNS altyapısına geçişi ortaya koyuyor ve alan adlarını Calisto operasyonlarına atfetmek için orta düzeyde güven göstergeleri sağlıyor.
Calisto’nun taktik ve tekniklerine ilişkin kapsamlı kamuya açık belgelere rağmen grup, gelişmiş sosyal mühendislik ve kimlik toplama operasyonlarıyla Ukrayna’nın destekçilerini hedef almaya devam ediyor.
Ukrayna’nın savunuculuğuna, savunma araştırmalarına veya bölgeyi destekleyen insani çabalara katılan kuruluşlar, bu ısrarcı tehdit aktöründen kaynaklanan yüksek riskle karşı karşıyadır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.