Rusya ile bağlantısı olan tehdit aktörleri, Orta Asya, Doğu Asya ve Avrupa’daki kuruluşları hedef alan bir siber casusluk kampanyasıyla ilişkilendirildi.
Faaliyet kümesine TAG-110 adını veren Recorded Future’ın Insikt Grubu, bunun Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından UAC-0063 olarak takip edilen bir tehdit grubuyla örtüştüğünü ve bunun da UAC-0063 ile örtüştüğünü söyledi. APT28. Bilgisayar korsanlığı ekibi en az 2021’den beri aktif.
Siber güvenlik şirketi Perşembe günü yayınlanan bir raporda, “TAG-110, özel kötü amaçlı yazılım araçları HATVIBE ve CHERRYSPY’yi kullanarak öncelikle devlet kurumlarına, insan hakları gruplarına ve eğitim kurumlarına saldırıyor” dedi. “HATVIBE, veri sızdırma ve casusluk için kullanılan bir Python arka kapısı olan CHERRYSPY’yi dağıtmak için bir yükleyici işlevi görüyor.”
TAG-110’un HATVIBE ve CHERRYSPY kullanımı ilk olarak CERT-UA tarafından Mayıs 2023’ün sonlarında Ukrayna’daki devlet kurumlarını hedef alan bir siber saldırıyla bağlantılı olarak belgelendi. Her iki kötü amaçlı yazılım ailesi de bir yıl sonra, isimsiz bir bilimsel araştırma kurumunun ülkedeki izinsiz girişinde yeniden tespit edildi.
O tarihten bu yana on bir ülkede 62 kadar benzersiz kurban tespit edildi; Tacikistan, Kırgızistan, Kazakistan, Türkmenistan ve Özbekistan’da yaşanan kayda değer olaylar, tehdit aktörünün olası bir toplama girişiminde Orta Asya’nın birincil odak noktası olduğunu gösteriyor. Rusya’nın bölgedeki jeopolitik hedeflerini bildiren istihbarat.
Ermenistan, Çin, Macaristan, Hindistan, Yunanistan ve Ukrayna’da da daha az sayıda kurban tespit edildi.
Saldırı zincirleri, halka açık web uygulamalarındaki (örneğin, Rejetto HTTP Dosya Sunucusu) güvenlik kusurlarının ve kimlik avı e-postalarının, CHERRYSPY arka kapısını dağıtmak için bir kanal görevi gören özel bir HTML uygulama yükleyicisi olan HATVIBE’yi bırakmak için ilk erişim vektörü olarak kullanılmasını içerir. veri toplama ve sızma.
Recorded Future, “TAG-110’un çabaları muhtemelen Rusya’nın jeopolitik gelişmeler hakkında istihbarat toplama ve Sovyet sonrası devletlerde nüfuzu sürdürme yönündeki daha geniş stratejisinin bir parçası.” dedi. “Bu bölgeler, Rusya’nın Ukrayna’yı işgalinin ardından gerginleşen ilişkiler nedeniyle Moskova için önemli.”
Rusya’nın, Şubat 2022’de Ukrayna’yı tam kapsamlı işgal etmesinin ardından Avrupa’daki kritik altyapıya yönelik sabotaj operasyonlarını da artırdığına inanılıyor; NATO müttefiklerini istikrarsızlaştırmak ve onların istikrarını bozmak amacıyla Estonya, Finlandiya, Letonya, Litvanya, Norveç ve Polonya’yı hedef alıyordu. Ukrayna’ya destek.
Recorded Future, çabaları “hesaplı ve ısrarcı” olarak nitelendirerek, “Bu gizli faaliyetler, Rusya’nın NATO ülkelerini istikrarsızlaştırmayı, askeri yeteneklerini zayıflatmayı ve siyasi ittifakları zorlamayı amaçlayan daha geniş hibrit savaş stratejisiyle uyumlu.” dedi.
“Rusya ile Batı arasındaki ilişkiler neredeyse kesin olarak gergin kalacağından, Rusya’nın Gerasimov doktrininde tartışıldığı gibi NATO ile savaş eşiğini geçmeden sabotaj operasyonlarının yıkıcılığını ve öldürücülüğünü artırması çok muhtemel. Bu fiziksel saldırılar muhtemelen Rusya’yı tamamlayacak. Rusya’nın hibrit savaş doktrini doğrultusunda siber ve nüfuz operasyonları alanındaki çabalar.”