Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Standartlar, Düzenlemeler ve Uyumluluk
En Son APT29 Kampanyası Daha Önce Görülmemiş Bir Kötü Amaçlı Yazılım Arka Kapısını Kullanıyor
Akşaya Asokan (asokan_akshaya) •
22 Mart 2024
Bir Rus bilgisayar korsanlığı grubu, Moskova destekli casusluk kampanyası kapsamında Alman siyasi partilerini hedef alıyor. Güvenlik firması Mandiant'taki araştırmacılara göre kampanya, grubun ilk kez siyasi örgütleri hedef aldığının görülmesine işaret ediyor.
Ayrıca bakınız: 2018 1. Çeyrek İtibariyle Kuruluşların Güvenlik Duruşu
Cuma günü yayınlanan bir raporda Mandiant, kampanyayı Rusya Dış İstihbarat Teşkilatına bağlı Rus grubu APT29'a bağladı. Raporda, kampanyanın Şubat ayı sonundan bu yana aktif olduğu ve esas olarak Alman Hıristiyan Demokrat Birliği'nden geliyor gibi görünen kimlik avı e-postaları kullanıldığı belirtildi.
Google Cloud'un bir parçası olan Mandiant'ın baş analisti Dan Black, “Rusya'nın istihbarat servisleri için şu anda değişen Batı siyasi dinamiklerini izlemekten daha büyük bir öncelik yok” dedi. “Bu son hedefleme sadece Almanya'nın veya politikacılarının peşine düşmekle ilgili değil. Bu, Rusya'nın Avrupa'nın Ukrayna'ya verdiği desteği baltalamanın yollarını bulmayı amaçlayan daha geniş çabalarının bir parçası.”
Kampanya, bilgisayar korsanlarının Almanya Hıristiyan Demokrat Birliği'nden geliyormuş gibi görünen bir kimlik avı e-postası göndermesiyle başlıyor ve kurbanları bir akşam yemeği resepsiyonuna davet ediyor. E-postalar, zip dosyası eki olarak gizlenmiş RootSaw adlı bir kötü amaçlı yazılım damlatıcısı içeriyor.
Kurban kötü amaçlı dosyayı indirdiğinde, damlalık, bir kabuk kodunu çağırmak için şifre çözme işlevi gerçekleştiren, WineLoader adı verilen, daha önce görülmemiş bir kötü amaçlı yazılım arka kapısını yükler. Kötü amaçlı yazılım daha sonra saldırganların kurbanı tanımlamasına yardımcı olmak amacıyla kurbanın kullanıcı ve cihaz adları gibi bilgileri göndermek için komut ve kontrol sunucusuyla iletişim kurar.
Mandiant araştırmacıları, WineLoader şifre çözme dosyası analizine dayanarak, tehdit aktörlerinin daha önce Ukraynalı diplomatları hedef alan benzer bir kimlik avı kampanyasıyla ilişkilendirdikleri eski MuskyBeat türünün varyantını yeniden kullanmış olabileceğini tahmin ediyor.
Grup daha önce Avrupa hükümetlerini, yabancı büyükelçilikleri ve ilgili diplomatik faaliyetleri hedef alsa da Mandiant, yeni kampanyanın grubun ilk kez siyasi partileri hedef aldığını gösterdiğini ve saldırganların gelecekteki operasyonlar için taktiklerinde bir değişikliğe işaret ettiğini söyledi.
Son saldırıların herhangi bir partinin veya politikacının uzlaşmasıyla sonuçlanıp sonuçlanmadığı belli değil. Bir hafta önce birisi, BSW adında yeni oluşturulan bir Alman siyasi partisi için 35.000 bağışçının ve haber bülteni abonesinin kişisel bilgilerini sızdırdı, ancak araştırmacılar olayı APT29 kampanyasıyla ilişkilendirmedi.
Tehdit istihbaratı firmaları, Midnight Blizzard ve Dukes olarak da bilinen APT29'un, Moskova'nın Ukrayna'ya karşı devam eden savaşının bir parçası olarak küresel siber casusluk operasyonlarını güçlendirdiği konusunda uyardı.
Grup yakın zamanda geçen yıl en az altı hafta boyunca üst düzey Microsoft yöneticilerinin e-postalarının güvenliğini ele geçirdi ve şirketin kaynak kodu depolarını ve dahili sistemlerini sızdırdı (bkz: Rus Devlet Hackerları Microsoft Kod Depolarına Erişti)./p>
Geçtiğimiz ay Beş Göz istihbarat ittifakı, Rus grubunun artık genellikle çok faktörlü kimlik doğrulaması olmayan kurumsal bulut hesaplarını hedef aldığı konusunda uyardı (bkz: Rus Tehdit Aktörü APT29 Casusluk Amacıyla Buluta Dönüyor).
Almanya'daki son harekât, askeri ittifakın Ukrayna'ya verdiği desteği engellemek amacıyla Rusya'nın Avrupalı NATO ülkeleriyle daha geniş bir çatışmaya girebileceği yönündeki korkuların arttığı bir dönemde gerçekleşti.