Ukraynalı siber güvenlik yetkilileri, Sandworm olarak bilinen Rus devleti destekli tehdit aktörünün en azından Mayıs 2023’ten bu yana telekom operatörü Kyivstar’ın sistemlerinde bulunduğunu açıkladı.
Gelişme ilk olarak Reuters tarafından bildirildi.
“Güçlü bir hacker saldırısı” olarak tanımlanan olay, ilk olarak geçen ay ortaya çıktı ve milyonlarca müşterinin mobil ve internet hizmetlerine erişimini engelledi. Olaydan kısa bir süre sonra, Solntsepyok adlı Rusya bağlantılı bir bilgisayar korsanlığı grubu ihlalin sorumluluğunu üstlendi.
Solntsepyok’un, Kumkurdu’nu da işleten Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı (GRU) Ana Müdürlüğü’ne bağlı bir Rus tehdit grubu olduğu değerlendiriliyor.
Gelişmiş kalıcı tehdit (APT) aktörünün, yıkıcı siber saldırılar düzenleme konusunda bir geçmişi var; Danimarka, bilgisayar korsanlığı ekibini geçen yıl 22 enerji sektörü şirketini hedef almakla suçladı.
Ukrayna Güvenlik Servisi’nin (SBU) siber güvenlik departmanı başkanı Illia Vitiuk, Kyivstar’a yapılan saldırının binlerce sanal sunucu ve bilgisayardaki neredeyse her şeyi sildiğini söyledi.
Olayın “bir telekomünikasyon operatörünün çekirdeğini tamamen yok ettiğini” belirterek, saldırganların muhtemelen en azından Kasım ayından bu yana, şirketin altyapısına ilk girişini sağladıktan aylar sonra tam erişime sahip olduklarını belirtti.
Vitiuk, SBU’nun web sitesinde paylaşılan bir açıklamada, “Saldırı aylar boyunca dikkatli bir şekilde hazırlandı.” dedi.
O zamandan bu yana faaliyetlerini yeniden başlatan Kyivstar, abonelerin kişisel verilerinin ele geçirildiğine dair hiçbir kanıt bulunmadığını söyledi. Tehdit aktörünün ağına nasıl sızdığı şu anda bilinmiyor.
Şirketin daha önce saldırganların bilgisayarlarına ve sunucularına zarar verdiği yönündeki spekülasyonları “sahte” olarak değerlendirdiğini belirtmekte fayda var.
Gelişme, SBU’nun bu hafta başında Rus istihbarat teşkilatları tarafından başkent Kiev’deki savunma güçleri ve kritik altyapı hakkında casusluk yapmak amacıyla hacklendiği iddia edilen iki çevrimiçi güvenlik kamerasını çökerttiğini açıklamasının ardından geldi.
Ajans, uzlaşmanın, düşmanın kameraların uzaktan kontrolünü ele geçirmesine, görüş açılarını ayarlamasına ve “kamera menzilindeki tüm görsel bilgileri” yakalamak için bunları YouTube’a bağlamasına olanak tanıdığını söyledi.