Rus devlet istihbaratı adına çalışan bilgisayar korsanları, Afganistan ve Hindistan’daki hükümet, askeri ve savunma hedeflerinden bilgi çalmak için casusluk kampanyalarına tutunarak Pakistan dışında faaliyet gösteren bilgisayar korsanlarının ihlallerini gerçekleştirdi.
Aralık 2022’de Secret Blizzard (diğer adıyla KuleSiber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Rusya Federal Güvenlik Servisi’ne (FSB) bağladığı ) başka bir gelişmiş kalıcı tehdit (APT) olan Storm-0156 (diğer adıyla) tarafından çalıştırılan bir sunucuya erişim kazandı. Şeffaf KabileSideCopy, APT36). Kısa sürede Storm-0156 tarafından işletilen 33 ayrı komuta ve kontrol (C2) düğümüne yayıldı ve Nisan 2023’te bilgisayar korsanlarının sahip olduğu bireysel iş istasyonlarını ihlal etti.
O tarihten bu yana araştırmacılar Microsoft Ve Siyah Lotus Laboratuvarları Secret Blizzard, çeşitli Afgan hükümet kurumlarından ve Hindistan askeri ve savunma hedeflerinden gelen hassas bilgilere erişerek Storm-0156’nın siber saldırılarından kurtulmayı başardı.
Casus ve Casus
İronik bir şekilde, tehdit aktörleri (ulus devletler için çalışanlar bile) diğer tehdit aktörlerini kolayca seçebiliyor. Black Lotus Labs araştırmacısı Ryan English’in açıkladığı gibi, kendi altyapılarını savunmak için çoğu zaman çok fazla çalışmıyorlar. “Ağınızı bir kale haline getirmek için çok zaman harcarsanız, saldırgan işlere daha az zaman harcarsınız. Günün sonunda bu bir zaman ve maliyet meselesidir” diyor.
Siber saldırganlar siber güvenliklerini geliştirmek isteseler bile bunu yaparken benzersiz zorluklarla karşılaşacaklardır. Yakın zamanda bir tehdit aktörü Palo Alto’nun Cortex genişletilmiş algılama ve yanıt (XDR) özelliğiyle denemeler yapmaya çalıştığında bu çok şey kanıtlandı. Cortex’i kurarak yanlışlıkla Palo Alto araştırmacılarına izin verdiler operasyonlarına bir pencere.
Secret Blizzard’ın ilk Storm-0156 sunucusuna ilk erişimi nasıl sağladığı açık değil, ancak “bizim düşüncemiz, onların kimliklerini tespit ettikleri yönünde. [Storm-0156] Genel raporlamadan C2 düğümleri. English, saldırı ekibinin neredeyse bir tehdit araştırmacısı gibi çalıştığını, kamuya açık raporlara bakarak zaman harcadığını ve başka birinin bilgilerine girme ihtimalini araştırdığını söylüyor.
Ancak şunları ekliyor: “Kamuya açık olanla yetinmediler. Muhtemelen biraz keşif yaptılar. Hedefin diğer bilgilerine ulaşmak için uzak masaüstü döndürme yöntemini kullandıklarını düşünüyoruz. [infrastructure]. Bu kolay bir iş değil.”
Blizzard’ın Storm-0156’dan Çaldığı Gizli Şeyler
Secret Blizzard, elindeki C2 düğümleri ve iş istasyonlarıyla Storm-0156’nın araçları, taktikleri, teknikleri ve prosedürleri (TTP’ler) ve kurbanlarından zaten çaldığı veriler üzerinde kapsamlı görünürlüğe ve kontrole sahipti. Tüm bunları güçlü ve yaratıcı bir etki için kullandı.
Bazı durumlarda Ruslar, mevcut kurbanlarına ait sistemlere arka kapılar açmak için Storm-0156’nın sunucularını kullandı. Bu onların Dışişleri Bakanlığı, İstihbarat Genel Müdürlüğü (GDI) ve yabancı konsolosluklar da dahil olmak üzere çeşitli Afgan devlet kurumlarından hassas bilgileri çalmalarına olanak sağladı.
Ancak Hindistan’dan gelen hedeflere karşı Secret Blizzard farklı bir yol izledi. Yalnızca bir örnekte arka kapı olan “TwoDash”i Hindistan’daki bir kuruluşa karşı kullandı. Bunun yerine, Storm-0156’nın kendisine karşı bir arka kapı açarak Pakistanlıların Hindistan’ın askeri ve savunma alanındaki hedeflerden çaldığı hassas kayıtları sızdırdı. Microsoft, “Secret Blizzard’ın Afganistan ve Hindistan’daki yaklaşımındaki farklılığın, Rus liderliği içindeki siyasi düşünceleri, FSB içindeki farklı coğrafi sorumluluk alanlarını veya Microsoft Tehdit İstihbaratı tarafındaki tahsilat açığını yansıtabileceğini” tahmin etti.
Belirsizlik Yoluyla Eşsiz Güvenlik
Tehdit aktörleri sık sık iş birliği yapıyorancak araştırmacılar, Secret Blizzard’ın yaptığı gibi hedeflere erişimi paylaşmak amacıyla birbirlerini hackleyen başka bir grup tespit etmedi.
Secret Blizzard da bunu ilk kez yapmıyor. Grup ilk olarak 2017’de İran’a ait araçlara ve altyapıya erişti. Daire 34 (aka Hazel Sandstorm, OilRig, Crambus). Yakında yayınlanacak bir blog yazısında Microsoft, Ukrayna’da botlar ve diğer iki tehdit aktörüne ait bir arka kapı kullandığı başka bir Secret Blizzard kampanyasının ayrıntılarını açıklayacak.
Ve geçen yıl bozulan bir dava vardı. Ocak ayında Mandiant, Secret Blizzard’la bağlantılı bir kampanya hakkında bilgi vermişti. Nisan ayında Kaspersky, etkinliğin bunun yerine, Kazakistan merkezli APT Tomiris tarafından yürütülen (diğer adıyla Storm-0473). Artık Mandiant’ın tahmininin doğru olduğu anlaşılıyor: İşin arkasında Secret Blizzard vardı, ancak Tomiris’in arka kapısını kullanarak araştırmacıların kafasını karıştırdı. Dark Reading, bu son gelişmenin ardından Kaspersky’ye ulaştı.
Tomiris sis perdesi, Secret Blizzard’ın yaklaşımının faydalarını anlatıyor. Elbette yalnızca bir APT’yi hackleyerek, o APT’nin tüm kurbanlarına ait altyapıya ve hassas verilere erişebilir. Ancak verimliliğin ötesinde, bu erişimi, sanki başka bir tehdit aktöründen geliyormuş gibi göstererek etkinliğini maskelemek için de kullanabilir.
English, geçen ay şöyle anımsıyor: “CyberWarCon’daydım ve oradaki birkaç kişi şöyle konuşuyordu: ‘Biliyorsunuz, son zamanlarda Turla’dan haber alamadık.’ Ve gülmeye başladım.”