Rus devlet destekli bilgisayar korsanları, son 12 ayda İngiltere, ABD ve Avrupa’daki kritik hedeflere yönelik kimlik avı saldırıları başlatma konusunda giderek daha sofistike hale geldi.
Tehdit aktörleri, hedefleri karmaşık kimlik avı e-postalarına yanıt vermeye ikna etmek için sosyal medya hesapları, sahte profiller ve akademik belgelerle desteklenen sahte kişiler oluşturdu.
Bağımsız bir tehdit istihbaratı uzmanı olan Sherrod DeGrippo, Computer Weekly’ye verdiği demeçte, “Çok daha ayrıntılı, çok daha sofistike ve çok daha eksiksiz hale geliyor, çünkü toplum mühendisliği geçmişte olduğundan daha inandırıcı olmak zorunda kaldı” dedi.
Onun yorumları, Ulusal Siber Güvenlik Merkezi’nin (NCSC), İran ve Rusya merkezli iki grupla bağlantılı devam eden siber saldırılar hakkında bir uyarı uyarısı yayınlamasının ardından geldi. Seaborgium da dahil olmak üzere birkaç takma adla tanımlanan Rus grubu, yakın zamanda SNP Milletvekili Stewart McDonald’ı hedef aldı.
DeGrippo, Rusya ve İran’ın, yarattıkları kişiliklerin toplum mühendisliği açısından daha dikkatli bir şekilde inşa edilen saldırılara doğru evrildiklerini söyledi.
Seaborgium ve diğer Rus bilgisayar korsanlığı grupları tarafından yapılan saldırıların kimliğine bürünme konusundaki karmaşıklık, son 12 ila 18 ayda arttı. Tehdit aktörleri, sosyal medya hesapları ve profilleri dahil olmak üzere tam kişilikler oluşturmuştur.
Her başarılı saldırıda tehdit aktörü, daha ikna edici sahte profiller oluşturarak taktiklerini geliştirebilir. Tehdit aktörleri, kişinin adına ve makalelerine veya akademik makalelerine yapılan atıfları dahil etmek için tüm web sitelerini ve portalları oluşturuyor.
Kötü niyetli aktör, araştırmacı veya gazeteci gibi görünmek için sahte web siteleri, makaleler ve makaleler oluşturur. DeGrippo, bu şekilde kullanılan tekniklerin daha ayrıntılı ve sofistike hale geldiğini söyledi.
Akademisyenler, bilgisayar korsanlığı grubu için özellikle çekici bir hedeftir. DeGrippo, “Bir üniversitede profesörseniz, genellikle tek yaptığınız bu değildir. Ayrıca bir çeşit konuşma pozisyonun var. Siz de bir yerlerde bir tahtada hizmet veriyorsunuz. Bazı durumlarda, bir hukuk firmasında veya bir hastanede de çalışabilirsiniz.
“Çoğu akademisyenin tek bir rolü yok. Uluslararası hukuk, atom bilimleri, gazetecilik, aktivizm gibi uluslararası herhangi bir konuda uzmanlaşırlarsa, o zaman tüm [threat actors] Yapılması gereken, o akademisyenden bir alanda taviz vermek.”
Rusya’nın hedefindeki gazeteciler
Gazeteciler ayrıca Rus tehdit aktörleri tarafından yüksek değerli hedefler olarak görülüyor. Kaynaklardan elde edilen hassas kayıt dışı materyaller, Rus devlet destekli gruplar için çok değerlidir. Elde edilen istihbarat, en eski arka plan bilgilerinden bazıları olacağından zamanında da olabilir.
“Onlar [journalists] birçok yönden sızıntılar, sırlar, hassas bilgiler var,” dedi DeGrippo. Kötü aktörün ayrıca hesabı tehlikeye atma ve hedefmiş gibi görünen e-postalar gönderme seçeneğine de sahip olduğunu ekledi: “Çünkü o noktada, Rus çıkarları için siber casusluk istihbaratına özel bir ilgi alanı olan kaynaklara sorular sormaya başlayabilirsiniz.”
NCSC danışma belgesi, diğer gruplar arasındaki benzerliğe işaret ediyor ve Seaborgium, ancak NCSC’nin kendi sektör raporlarına göre grupların birlikte çalışmadığını açıklıyor.
APT42/Charming Kitten/Yellow Garuda/ITG18 olarak da bilinen TA453, hassas bilgileri toplamak için kimliğe bürünme ve keşif gibi teknikleri kullanan İran merkezli bir bilgisayar korsanlığı grubudur.
ABD siber güvenlik şirketi tarafından TA446 olarak da anılan Seaborgium hakkında soruşturmalara 2021’in başlarında başlayan Proofpoint’in üst düzey yöneticisi Alexis Dorais-Joncas.
Dorais-Joncas, Proofpoint’in Seaborgium’un eğitim sektörünü ve ABD federal sivil hedeflerinin yanı sıra jeopolitik bağlantıları olan kar amacı gütmeyen grupları (STK’lar) hedef aldığını gördüğünü söyledi. Rus bilgisayar korsanlığı grubu, kampanyalarına genellikle iyi niyetli e-postalarla başlar. Grup, yalnızca e-postanın etkin olup olmadığını tespit ettikten sonra, kimlik bilgilerini toplamayı amaçlayan kötü amaçlı bağlantılar içeren kimlik avı e-postaları gönderir.
Dorais-Joncas, Seaborgium’un faaliyetinin “teslimat için büyük ölçüde keşif ve kimliğe bürünmeye dayandığını” söyledi.
Seaborgium’un saldırılarının doğası benzersiz olmasa da, Rus grup tarafından kullanılan taktikler gelişti ve daha rafine hale geldi.
köstebek vurmak
Dorais-Joncas, Seaborgium’u yayından kaldırmalar gerçekleşse de gerçekleşmese de bir “köstebeği vur” oyunu oynayan biri olarak tanımlıyor: “Tehdit aktörü, oluşturdukları tüketici e-posta adreslerinde ve altyapıda taklit ettikleri kişileri ve takma adları hızla kaydeder ve değiştirir.“.
“Proofpoint analistleri, bir kampanyanın sonuna kadar ilk teslimattan birkaç saat sonra ekli çeşitli dosya türlerini, teslimat zincirlerini ve kaçırma yöntemlerini gözlemledi.”
Proofpoint’te eski bir tehdit araştırma ve tespit kıdemli direktörü olan DeGrippo, Seaborgium tarafından kullanılan geleneksel taktiklerin, tekniklerin ve prosedürlerin özellikle sinsi olduğunu söyledi.
Kötü niyetli bir aktör, iyi huylu bir kişi olarak oturum açar ve e-postaları kendi altyapısına yönlendirir, “bu, bu kişinin e-postalarını herhangi bir noktada bir Rus tehdit aktörü tarafından ele geçirildiğini bilmeden kullanmaya devam ettiği anlamına gelir” dedi.
Rus aktör, hedefin aldığı e-postaların kopyalarını almaya devam ediyor. Kötü oyuncu, hesaptan e-posta göndermek için asla yararlanamaz ve hesabı yalnızca istihbarat toplamaya dayalı kararlar almak için kullanabilir.
Siber güvenlik firması Sekoia.io, Seaborgium’un (Calisto olarak da anılır) Rus istihbarat toplamasına ve özellikle tanımlanmış suçla ilgili kanıtlara ve/veya uluslararası adalet prosedürlerine katkıda bulunduğunu belirtti. Fransız grubu, bu türden bilgi toplamanın muhtemelen Rusya’yı gelecekte parmakla işaret etme konusunda bir karşı anlatı oluşturacağını ve tahmin edeceğini belirtti.
DeGrippo, kullanılan yöntemlerin devlet destekli olduklarını gösterdiğini söyledi. Saldırganlar, konunun yanıt verip vermediğini görmek için ilk e-postaları göndererek e-postanın çalışır durumda olup olmadığını belirlemek için büyük çaba sarf eder: “Suç yazılımı aktörleri bunu yapmaz; suç yazılımı aktörleri bir devlet kurumu adına faaliyet göstermiyor.”
Dorais-Joncas, hedef seçiminin bazen Ukrayna savaşındaki olaylarla zamanlandığını söyledi. “Nükleer enerjiyle ilgili hedefleme, enerji santrallerinin etrafındaki kara savaşlarıyla veya Ukrayna’ya askeri yardım ve silah teslimi konusu haber döngüsünde çıktığında savunma sektörü hedeflemesiyle zamanlandı” dedi.
NCSC’nin danışma belgesinin yayınlanması, Seaborgium’un saldırılarının karmaşıklığındaki bariz yükselişe bir tepki olabilir. Dorais-Joncas, danışma belgesinin “bu belirli kuruluşlar için farkındalık yarattığını … en azından çok gelişmiş bir tehdit aktörünün hedefi olduklarını bildiklerini” savundu.
O güvenlik alanındaki diğer kuruluşlarla işbirliği yaparak, TA446 gibi tehdit aktörlerinin faaliyetlerini izlemek ve azaltmak için etkili ve bütünsel bir yöntem üretebiliriz. Tamamlayıcı ve farklı görünürlükteki işbirlikleri sayesinde, hedeflenen kullanıcılara en fazla bağlamı ve bilgiyi sağlamak için hepimiz daha iyi bir konumdayız.”
Seaborgium, MI6’nın eski başkanı Richard Dearlove’a ait Protonmail hesabının hacklenmesinden sorumluydu.
Dorais-Joncas, e-posta kullanıcılarını korumanın tüm kuruluşlar için, özellikle de yüksek düzeyde e-posta trafiği olan yoğun şekilde hedeflenen sektörler için en önemli öncelik olması gerektiğini söyledi. İnsanlara, süreçlere ve teknolojiye dayalı bir siber güvenlik stratejisine odaklanmak bir öncelik olmalıdır. Bu, çalışanların kötü amaçlı e-postaları belirlemeleri ve tehditleri kullanıcıların gelen kutularına ulaşmadan önce engellemek için e-posta güvenlik araçlarını kullanmaları için eğitilmesini içerir.
Tehditler, doğru süreçleri devreye sokarak hafifletilebilir. Dorais-Joncas, “Kimlik bilgileri kimlik avı içeren diğer tüm saldırılarda olduğu gibi, tüm olası sistemlerde sağlam çok faktörlü kimlik doğrulamanın uygulanması, kimlik bilgilerinin çalınmasının etkisini azaltmaya yardımcı olacaktır” dedi.