Siyasi partiler, çeşitli hedeflere ulaşmak istedikleri için genellikle bilgisayar korsanları tarafından hedef alınmaktadır.
Bunun nedeni, bilgisayar korsanlarının kampanya stratejileri, muhalefet araştırmaları ve hatta kişisel iletişimler gibi gizli verilere erişmeye çalışabilmesidir; bu da onların seçim süreçlerine müdahale etmelerine ve meselede üstünlük sağlamalarına yardımcı olur.
Bunun yanı sıra bilgisayar korsanları, dezenformasyon kampanyaları ve fidye talepleri gibi her türlü yöntemle seçim sonuçlarını etkileyecek ve demokrasiyi baltalayacak operasyonlara müdahale etmek için parti sistemlerine sızmaya çalışabiliyor.
Son zamanlarda Mandiant'taki siber güvenlik araştırmacıları, Rus bilgisayar korsanlarının son siber saldırılarda aktif olarak siyasi partilere saldırdığını keşfetti.
Hackerlar Siyasi Partilere Saldırıyor
Rusya devleti destekli bir bilgisayar korsanlığı grubu olan APT29, Şubat 2024'ün sonlarında bir kimlik avı kampanyası kullanarak Alman siyasi partilerini hedef aldı.
Bu operasyon, büyük bir siyasi partiyi taklit eden Almanca yemler kullandığı için hükümetler ve elçilikler gibi normal hedeflerden farklıydı.
Tehdit aktörleri, diğer kötü amaçlı yazılım yüklerinin yanı sıra, sistemlere girişi kolaylaştırmak için yeni bir arka kapı çeşidi kullandı; böylece faaliyetleri kesintiye uğratabilir ve hatta seçimlerden önce sahte haberler yayabilirler.
Bu, tehdit aktörlerinin türünün giderek nasıl değiştiğini ve ardından demokratik süreçlerde siyasi örgütleri nasıl etkilediğini açıkça gösteriyor.
.webp)
Rus bilgisayar korsanlığı grubu APT29, dış siyasi meselelere ilişkin ilk erişim ve istihbarat toplama için ağırlıklı olarak ROOTSAW kötü amaçlı yazılımına güvenmeye devam ediyor.
Bu, Rusya'nın özellikle Ukrayna gibi konularda Batı siyasetini kontrol etmeye çalışmaktan çıkarı olduğunu gösteriyor.
Bu, muhtemelen APT29'un kimlik avı saldırıları, bulut kimlik doğrulama açıkları ve şifre püskürtme gibi ilk izinsiz girişler için birden fazla saldırı vektörü aracılığıyla Batı'daki siyasi partileri hedef almasına yol açacak uyarlanabilir bir tehdittir.
Devam eden jeopolitik gerilimler göz önüne alındığında, siyasi kuruluşların anlatıları ve sonuçları şekillendirmeyi amaçlayan bu mutasyona uğrayan siber casusluk kampanyalarına karşı dikkatli olması gerekiyor.
Mandiant raporuna göre APT29, Şubat 2024'ün sonlarında kötü amaçlı yazılım ekleri içeren kimlik avı e-postalarını yaymaya başladı.
Bu eklerde, kurbanları ROOTSAW kötü amaçlı yazılım damlatıcısını indirmeye yönlendiren suçluların sahip olduğu virüslü bir web sayfasına bağlantı vardı.
ROOTSAW daha sonra aynı kötü amaçlı sunucudan WINELOADER arka kapısını getirdi ve çalıştırdı.
Çok adımlı bulaşma prosedürü, gizlenmiş JavaScript'i, CertUtil gibi yardımcı programlar aracılığıyla dosya ayıklamayı ve kötü amaçlı yazılım dağıtmak için SQLDumper gibi meşru uygulamaların uygunsuz kullanımını içeriyordu.
Bu karmaşık saldırı zinciri, APT29'un özel olarak tasarlanmış kötü amaçlı yazılımlar yoluyla kalıcı erişim sağlamaya yönelik gelişmiş tekniklerini açıkça göstermektedir.
WINELOADER, Rus devlet destekli bilgisayar korsanlığı grubu APT29 tarafından kullanılan yeni, oldukça özelleştirilmiş bir arka kapıdır.
APT29'un önceki BURNTBATTER ve MUSKYBEAT kötü amaçlı yazılım aileleriyle benzerlikleri paylaşan WINELOADER, benzersiz anti-analiz teknikleri uygular, genel yükleyicilerden kaçınır ve yeni bir komuta ve kontrol mekanizması kullanır.
Güvenliği ihlal edilmiş sistemlerde gizliliği ve kalıcılığı korumak için yandan yükleme, süreç enjeksiyonu ve şifrelenmiş yükler kullanır.
WINELOADER'ın gelişmişliği, APT29'un, stratejik öneme sahip hedeflere karşı gizli casusluk operasyonları için kötü amaçlı yazılım cephaneliğini yeniden düzenleme çabalarının devam ettiğini gösteriyor.
Jeopolitik gerilimler ulus devlet siber tehditlerini tetiklerken, savunucuların sürekli gelişen bu saldırı vektörlerine karşı tetikte olmaları gerekiyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.