Maria, öğle yemeği molası sırasında en sevdiği teknoloji haber sitesine göz attığını düşündü. Bir makaleyi tıkladı, yüklemesini bekledi ve sonra aniden bir Cloudflare güvenlik doğrulama sayfası gibi görünen şeyi buldu. Meşru görünüyordu – web siteleri şüpheli trafiği kontrol ederken daha önce düzinelerce kez gördüğü şey. Bir şey onu duraklattığında kimlik bilgilerine girmek üzereydi. Bu tereddüt anı, onu Rusya’nın en son casus operasyonlarından birinin en son kurbanı olmaktan kurtarmış olabilir.
Maria’nın bilmediği şey, bir köyü iyi zehirlemenin dijital bir versiyonu olan bir “sulama deliği” saldırısıyla karşılaşmasıdır. Rus istihbarat operatörleri, güvendiği web sitesini tehlikeye atmış ve çok daha büyük bir tuzak için yem haline getirmişlerdi.
Hasta avcıları
Gece yarısı Blizzard olarak da bilinen Apt29, tipik siber suçlu grubunuz değil. Bir zamanlar Avrupa çapında Soğuk Savaş casus ağları işletmesi için atfedilen aynı organizasyon olan Rusya’nın Dış İstihbarat Servisi (SVR) ile bağlantılı. Ancak ölü damlalar ve gizli toplantılar yerine, istihbarat toplantılarını siber uzaya taşıdılar ve her geçen gün daha yetenekli hale geliyorlar.
Amazon’un tehdit istihbarat ekibi en son planlarını ortaya çıkardı ve dijital aldatmaca oyun kitabını değiştirmiş gibi görünüyor. Rus operatörleri sadece tek bir hedefi hacklemedi, aynı zamanda günlük insanların düzenli olarak ziyaret ettiği birden fazla meşru web sitesini tehlikeye attılar. Sonra uzun oyunu oynadılar, doğru kurbanların görünmesini beklediler.
Bu tehlikeye atılan siteleri ziyaret eden herkese saldırmadılar. Bu çok açık olurdu. Bunun yerine, kötü amaçlı kodlarını, sahte güvenlik sayfalarına yönlendirme için ziyaretçilerin sadece% 10’unu rastgele seçecekleri programladılar. Sadece bazı insanları tuzağa düşüren bir dijital fedai olmak gibiydi.
Teknik sanat
APT29’u tehlikeli kılan şey, sadece Rus istihbaratıyla iddia edilen bağlantıları değil, teknik uzmanlıkları. Amazon’un güvenlik ekibi kötü niyetli kodu analiz ettiğinde, hem siber güvenlik hem de insan psikolojisini anlayan insanlar tarafından tasarlanan bir operasyon buldular.
Saldırganlar, kötü amaçlı kodlarını temel güvenlik tarayıcılarından gizlemek için Base64 kodlamasını kullandılar. Aynı kişinin birden çok kez yeniden yönlendirilmemesini sağlamak için kurbanların tarayıcılarına kurabiyeler koydular ve şüpheden kaçınıyorlar. En akıllıca, tam olarak gerçek şeye benzeyen sahte Cloudflare doğrulama sayfaları oluşturdular – milyonlarca insanın meşru internet altyapısıyla ilişkilendirdiği tanıdık turuncu ve beyaz marka ile tamamlandı.
Nihai hedef şifreleri doğrudan çalmak değildi. Bunun yerine, Microsoft’un cihaz kodu kimlik doğrulama sisteminden yararlanıyorlardı – kullanıcıların yeni cihazlarda Microsoft hizmetlerine giriş yapmalarını sağlayan meşru bir özellik. İnsanları sahte cihazlara yetkilendirmeye kandırarak, saldırganlar, e -posta, belgeler ve dijital yaşamlarında depolanan diğer herhangi bir şey de dahil olmak üzere kurbanların Microsoft hesaplarına sürekli erişim sağlayabilirler.
Ayrıca Oku: Küresel Siber Kampanyada Rusya SVR Mağazasız Güvenlik Açıklarını İstismar
Kedi ve fare oyunu
Amazon’un güvenlik ekibi operasyonu keşfettiğinde ve kötü niyetli alanları kapatmaya başladığında, APT29 sadece kaybolmadı. Uyarladılar. Birkaç saat içinde, operasyonlarını AWS’den başka bir bulut sağlayıcısına taşıdılar ve kimliğe bürünme oyunlarına devam eden “Cloudflare.rediirectpartners.com” gibi yeni alanlar kaydettiler.
Bu hızlı adaptasyon, APT29’un neden dünyanın en kalıcı tehdit aktörlerinden biri olarak kabul edildiğini göstermektedir. Bir yaklaşım engellendiğinde, başka bir rota bulurlar. Alanları ele geçirildiğinde yenilerini kaydederler. Taktikleri tespit edildiğinde gelişirler.
Grup meşguldü. Ekim 2024’te Amazon, kimlik bilgilerini çalmak için AWS hizmetlerini taklit etme girişimlerini bozdu. Haziran 2025’te Google, akademisyenleri ve Rus hükümet eleştirmenlerini hedefleyen kimlik avı kampanyalarını bildirdi. Her kampanya, tekniklerini geliştirdiklerini, hatalarından öğrenmeyi ve erişimlerini genişlettiklerini gösterir.
İnsan faktörü
Bu kampanya teknik olarak karmaşık değil, ancak insan güvenini nasıl kullandığı için ilginç. Tazmin edilen Apt29 web siteleri, insanların düzenli olarak ziyaret ettiği meşru sitelerdi. Oluşturdukları güvenlik doğrulama sayfaları otantik görünüyordu. Cihaz yetkilendirme talepleri Microsoft’tan geliyor gibi görünüyordu.
Her adımda, saldırı, doğru olanı gibi görünenleri yapan insanlara dayanıyordu-tanıdık web sitelerine güvenmek, güvenlik istemlerini takip etmek ve meşru görünümlü kimlik doğrulama isteklerine izin vermek.
Bu yüzden güvenlik farkındalığı eğitimi genellikle yetersiz kalır. İnsanlara “her şeyden şüphelenmelerini” söylemek kolaydır, ancak bir belgeye erişmeye veya e -postayı kontrol etmeye çalışan bir iş gününün ortasındayken, bu sahte bulutflare sayfaları normal görünür. Saldırı tam olarak başarılı olur çünkü bir saldırı gibi görünmüyor.
Daha büyük oyun
APT29’un sulama deliği kampanyası sadece birkaç şifre toplamakla ilgili değil – istihbarat ölçeklendirme. Rastgele ziyaretçileri günlük web sitelerine tehlikeye atarak, potansiyel istihbarat hedefleri için geniş bir ağ oluşturuyorlar. Sahte sayfalarına yeniden yönlendirilebilecek binlerce kişi arasında bazıları hükümet çalışanları, savunma müteahhitleri, gazeteciler veya Rus hükümetinin istediği bilgilere erişimi olan aktivistler olacak.
Bu, ulus devlet aktörlerinin casusluk kampanyalarına nasıl yaklaştıklarında daha geniş bir değişimi yansıtıyor. Belirli bireylere karşı pahalı, hedefli operasyonlar başlatmak yerine, daha sonra değerli olabilecek herkesi tanımlamak ve tehlikeye atmak için fırsatçı saldırılar kullanıyorlar. Bu, kurbanları ölçekte işleyebilen teknolojiyle güçlendirilen bir sayı oyunu olarak istihbarat koleksiyonu.
Zehirli bir dijital dünyada kendinizi korumak
Öyleyse, güvendiğiniz web siteleri size karşı silah haline gelebildiğinde kendinizi nasıl korursunuz? Talihsiz gerçek şu ki, ulus-devlet aktörleri dahil olduğunda mükemmel güvenlik imkansızdır, ancak kendinizi çok daha zor bir hedef haline getirebilirsiniz.
İlk olarak, beklenmedik güvenlik doğrulama sayfalarına, özellikle de yeni cihazlara yetki vermenizi veya komutları kopyalayıp yapıştırmanızı isteyenlerden şüphelenin. Şüphe duyduğunuzda, sayfayı kapatın ve URL’yi kendiniz yazarak doğrudan hizmete gidin.
İkincisi, mümkün olan her yerde çok faktörlü kimlik doğrulama kullanın. Saldırganlar birincil kimlik bilgilerinizi çalsa bile, MFA hesaplarınıza gerçekten erişmelerini çok zorlaştırır.
En önemlisi, siber güvenliğin sadece teknoloji ile ilgili olmadığını anlayın – bugünün dijital dünyasında herkesin bir hedef olabileceğini kabul etmekle ilgilidir. APT29’un sulama deliği kampanyası başarılı oldu, çünkü normal görünüyordu, güvende hissetti ve kurbanlardan her gün yaptıkları şeyleri yapmalarını istedi.
Dijital su temini zehirlendi ve zehirlenmeyi yapan insanlar sabırlı, iyi finanse edildi ve işlerinde son derece kritik. Susuz kal, şüpheli kalın ve siber güvenlikte paranoya bir hata olmadığını unutmayın – bu bir özellik.