Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Hükümetler, APT28’in Microsoft Outlook Zero-Day Kullandığını Söyledi
Akşaya Asokan (asokan_akshaya) •
3 Mayıs 2024
Cuma günü Alman ve Çek hükümetleri, Rus askeri istihbarat korsanlarının geçen yıl başlayan bir casusluk kampanyası kapsamında siyasi partileri ve kritik altyapıyı hedef aldığını açıkladı.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Cuma günü yapılan nadir bir kamuoyu açıklamasında, Federal İçişleri ve Toplum Bakanlığı, Alman Sosyal Demokrat Partisi üyelerini hedef alan bir siber kampanyayı, Rusya Genelkurmay Ana İstihbarat Müdürlüğü’nün, daha çok GRU olarak bilinen bir bilgisayar korsanlığı birimine bağladı. Tehdit aktörü APT28, Fancy Bear, Strontium ve Forest Blizzard takma adlarıyla takip ediliyor.
Almanca kısaltması nedeniyle BMI olarak bilinen Alman bakanlığı, Rus bilgisayar korsanlarının Microsoft Outlook’ta tanımlanamayan bir sıfır gün güvenlik açığı kullandığını söyledi. Ajans, grubun politikacıların yanı sıra, özellikle enerji tedarik sektöründeki devlet dairelerinin BT ağlarını ve ülkede lojistik, silah, havacılık ve BT hizmetlerinde çalışan özel şirketleri de hedef aldığını belirtti.
Bakanlık, “Federal hükümet, hükümet partisi SPD’ye yönelik siber saldırıyı demokratik yapılara ciddi bir tecavüz olarak değerlendiriyor” dedi. “Saldırılar, Rusya’nın uluslararası hukuka aykırı saldırganlık savaşına ilişkin saldırıların odak noktasıdır.”
Cuma günü Çek Cumhuriyeti hükümeti, 2023’te başlayan Outlook sıfır gün programını kullanan kritik altyapılara ve kuruluşlara yönelik saldırıların arkasında grubun olduğunu kabul etti.
Son açıklamanın ardından Almanya Dışişleri Bakanlığı üst düzey bir Rus elçisini çağırdı. Cuma günü Avrupa Birliği ve NATO, Avrupa ülkelerine yönelik saldırıları kınadı ve Moskova’yı uluslararası yükümlülüklere uymaya çağırdı. ABD Dışişleri Bakanlığı Perşembe günü yaptığı açıklamada, saldırıları “şiddetle kınadığını” söyledi.
AB, yaptığı açıklamada, “Kötü niyetli siber kampanya, Rusya’nın siber uzaydaki sürekli sorumsuz davranış modelini göstermektedir. AB, bu tür kötü niyetli davranışlara tolerans göstermeyecektir.” dedi.
NATO, APT28 faaliyetlerinin sabotaj, siber ve elektronik müdahale ve yakın zamanda Estonya, Litvanya, Polonya, Slovakya ve İsveç’i etkileyen kampanyaları içerdiğini söyledi (bkz: Moskova Askeri Hackerları Microsoft Outlook Güvenlik Açığı Kullandı).
Ne Alman ne de Çek hükümeti, grubun yararlandığı Outlook güvenlik açığının ayrıntılarını açıklamadı. Şubat ayında ABD istihbarat teşkilatları, APT28’in muhtemelen Microsoft’un Mart 2023’te yamaladığı bir kusuru kullanarak diğer Orta Avrupa hükümetlerine karşı saldırılar gerçekleştirdiğini söyledi. CVE-2023-23397 olarak takip edilen güvenlik açığı, bilgisayar korsanlarının Windows’u geçmiş tarihli bir e-posta göndererek karma parolalar iletmesi için tetiklemesine olanak tanıdı. Randevu geciktiğinde e-posta istemcisinin çalması gereken ses için bir parametre içeren Microsoft Outlook randevu isteği.
Google Mandiant’ın baş analisti John Hultquist, grubun son faaliyetlerinin “herhangi bir parti veya ülkeyle sınırlı olmadığını” gösterdiğini söyledi.
Hultquist, “Bu, jeopolitik anlayışa sahip Batılı politikacıların casusluğun ana hedefi olduğunun bir hatırlatıcısıdır. Yaklaşan birkaç seçim nedeniyle, politikacılar ve her yerdeki partiler tetikte olmalı” dedi.
Microsoft, yorum talebine hemen yanıt vermedi.