Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç
Güvenlik Araştırmacıları Ayrıca Yeni Bir Şüpheli Rus Tehdit Grubunu Ortaya Çıkardı
Akşaya Asokan (asokan_akshaya) •
15 Ağustos 2024
Son zamanlarda ABD ve Avrupa’daki Rus muhalifleri ve hak gruplarını hedef alan bir casusluk kampanyasının arkasında, hack ve sızdırma operasyonlarıyla ünlü bir Rus bilgisayar korsanlığı grubu var.
Ayrıca bakınız: Web Semineri | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
Toronto Üniversitesi’ndeki The Citizen Lab ve dijital haklar grubu Access Now’daki araştırmacılar Çarşamba günü, Coldriver, Callisto Group ve Star Blizzard olarak bilinen Federal Güvenlik Servisi bilgisayar korsanlığı grubunun Rusya, Ukrayna veya Belarus ile bağlantıları olan kişileri hedef aldığını söyledi. Saldırganlar genellikle kurbanları yakından hedef alır ve kendilerinin tanıdığı biri gibi davranır.
Araştırmacılar ayrıca daha önce tanımlanmamış bir tehdit aktörü olduğunu ve benzer toplulukları hedef aldığını ortaya çıkardılar. Gruba Coldwastrel adını verdiler ve faaliyetlerinin “Rus hükümetinin çıkarlarıyla uyumlu” olduğunu söylediler.
Coldriver’ın, çok sayıda siyasi partideki İngiliz milletvekillerine karşı yaklaşık 10 yıllık bir kampanya ve gizli belgeleri sızdırma da dahil olmak üzere, uzun süredir devam eden bir hedefli kimlik avı geçmişi bulunmaktadır (bkz: İngiltere ve ABD, Rus FSB’sini ‘Hack ve Sızdırma’ Operasyonuyla Suçladı). Tehdit grubunun üyeleri ABD’de suçlandı ve Avrupa, İngiltere ve ABD’de yaptırımlara tabi tutuldu. Beş Göz istihbarat ittifakını oluşturan İngilizce konuşan ülkeler tarafından Aralık ayında yayınlanan bir uyarıda, grubun faaliyetlerini sürdürdüğü konusunda uyarıda bulunuldu.
Grubun son kampanyası, hedeflerin tanıdık birinden gelmiş gibi görünen e-postalar almasıyla başladı. E-postalar, çalışmalarıyla ilgili bir PDF’yi veya bir haber makalesini incelemelerini istiyordu. Açıldığında, belge içerikleri bulanık görünüyor – sözde şifreleme nedeniyle – kurbanların “şifresini çözmek” için bir bağlantıya tıklamasını gerektiriyor. Bağlantı, saldırganlara hedef sistemin parmak izini ileten JavaScript kodunu getiriyor ve saldırganlar saldırıya devam edip etmeyeceklerine karar veriyor. Daha sonra kurbanlara Gmail veya ProtonMail gibi e-posta hizmetleri için sahte bir oturum açma ekranı gösteriliyor.
Potansiyel tespitten kaçınmak için, tehdit aktörleri kötü amaçlı yazılım altyapılarını her 24 saatte bir IP adreslerini döndüren bir barındırma hizmetinde barındırdılar. Microsoft ve Recorded Future geçen yıl, araştırmacıların kalıpları tespit ederek altyapısını izleyebileceğini fark ettikten sonra, Coldriver’ın kötü amaçlı etki alanlarını kaydederken temaları kullanmaktan kaçınmaya başladığını söyledi (bkz: Rus Hacker Grubu Altyapısını Sarsıyor).
Araştırmacılar tarafından tanımlanan Coldwastrel kampanyası yüzeysel olarak Coldriver kampanyasıyla hemen hemen aynı, ancak daha yakından incelendiğinde yem olarak kullanılan PDF’ler ve ön uç altyapısı bazı önemli farklılıklar gösteriyor. Coldriver saldırganları yem belgelerindeki PDF dilinin İngilizce olarak ayarlandığından emin olurken Coldwastrel operatörleri bunu Rusça olarak bırakıyor. Coldriver kampanyasındaki kötü amaçlı bağlantılar her PDF için benzersizken Coldwastrel bağlantıları birden fazla hedefte tutarlı.
Rus istihbarat teşkilatları, Citizen Lab’ın söylediğine göre basit bir sebepten ötürü kimlik avı tekniklerine güvenmeye devam ediyor: İşe yarıyorlar. Keşif maliyeti düşük, başarı oranı iyi ve “daha karmaşık (ve pahalı) yetenekleri keşfe maruz bırakmaktan” kaçınıyorlar.