Ülkenin bilgi güvenliği kurumu ANSSI bir danışma belgesinde, Rusya ile bağlantısı olan devlet destekli aktörlerin Fransız diplomatik kuruluşlarını hedef alan siber saldırılarla bağlantılı olduğunu söyledi.
Saldırılar, Microsoft tarafından Midnight Blizzard (eski adıyla Nobelium) adı altında takip edilen ve APT29, BlueBravo, Cloaked Ursa, Cozy Bear ve The Dukes olarak izlenen etkinliklerle örtüşen bir kümeye atfedildi.
APT29 ve Midnight Blizzard takma adları, Rus Dış İstihbarat Servisi (SVR) ile ilişkili izinsiz giriş kümelerini ifade etmek için birbirinin yerine kullanılırken, ANSSI, bunları Dark Halo adlı üçüncü bir kümenin yanı sıra farklı tehdit kümeleri olarak ele almayı tercih ettiğini söyledi. SolarWinds yazılımı aracılığıyla 2020 tedarik zinciri saldırısından sorumlu.
“Nobelium, belirli kodların, taktiklerin, tekniklerin ve prosedürlerin kullanılmasıyla karakterize edilir. Diplomatik kuruluşlara yönelik Nobelium kampanyalarının çoğu, diplomatik personele ait güvenliği ihlal edilmiş meşru e-posta hesaplarını kullanıyor ve diplomatik kurumlara, elçiliklere ve konsolosluklara karşı kimlik avı kampanyaları yürütüyor.” ajans söyledi.
Diplomatik kuruluşların hedef alınmasının da Diplomatic Orbiter adı altında takip edildiğini belirtmekte fayda var.
Saldırılar, Fransız kamu kuruluşlarına yabancı kurumlardan ve tehdit aktörünün daha önce ele geçirdiği kişilerden bir dizi kötü niyetli eylem başlatmak üzere kimlik avı e-postaları gönderilmesini içeriyor.
“Mayıs 2023’te Kiev’deki birçok Avrupa büyükelçiliği, Nobelium operatörleri tarafından yürütülen bir kimlik avı kampanyasının hedefi oldu” dedi. “Kiev’deki Fransız büyükelçiliği, ‘Satılık Diplomatik araba’ temalı bir e-posta aracılığıyla yürütülen bu kampanyanın hedeflerinden biriydi.”
ANSSI, aynı ay içinde Romanya’daki Fransız Büyükelçiliğini hedef alan bir başka saldırının da sonuçta başarısız olduğunu belirtti.
Tehdit aktörü tarafından gerçekleştirilen diğer izinsiz girişler, fırsatçı bir kampanyanın parçası olarak JetBrains TeamCity sunucularındaki güvenlik kusurlarından yararlandı. Son aylarda Microsoft ve Hewlett Packard Enterprise’ın (HPE) ihlalleriyle de ilişkilendirildi.
Ajans, “Nobelium operatörleri tarafından BT ve siber güvenlik kuruluşlarının casusluk amacıyla hedef alınması, onların saldırı yeteneklerini ve temsil ettikleri tehdidi potansiyel olarak güçlendiriyor” dedi. “BT sektörü kuruluşlarına yönelik son saldırılar sırasında toplanan istihbarat, Nobelium’un gelecekteki operasyonlarını da kolaylaştırabilir.”
Açıklama, Polonya’nın, 16 Haziran 2024’te Euro 2024 futbol turnuvasının çevrimiçi yayınının kesintiye uğramasına yol açan Telewizja Polska’ya (TVP) yönelik DDoS saldırısının arkasında Rus bilgisayar korsanlarının olabileceğini açıklamasının ardından geldi.