Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Rus zekası, dinlenmek için tasarlanmış SSL sıyırma saldırılarına bağlı
Mathew J. Schwartz (Euroinfosec) •
4 Ağustos 2025
Microsoft, Rus casusları Moskova internet servis sağlayıcılarına kötü amaçlı yazılım kurarak yabancı diplomatları gözetliyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Bilgisayar devi Cuma günü yaptığı açıklamada, Secret Blizzard olarak izlediği bir Rus devlet oyuncusu, Apolloshadow olarak bilinen özel bir uygulamayı dağıtmak için ortada bir düşman tekniği kullandığına dair kanıtlara sahip olduğunu söyledi. Kötü amaçlı yazılım, Rus siber güvenlik firması Kaspersky’den yazılım olarak maskelenerek kök web tarayıcı sertifikalarını yüklemeye yönelik cihazlar. Bu, cyberspies’in Web TLS şifreleme korumalarını çıkarmasına ve belirli kimlik jetonları ve kimlik bilgileri de dahil olmak üzere Web tarama etkinliğini yakalamasını sağlar.
Microsoft’un Tehdit İstihbarat Grubu’ndaki araştırmacılar, “En az 2024’ten beri devam eden bu kampanya, Moskova’da faaliyet gösteren yabancı elçilikler, diplomatik kuruluşlar ve diğer hassas kuruluşlar için, özellikle yerel internet sağlayıcılarına güvenen kuruluşlara yüksek risk oluşturmaktadır.”
Kampanya, Rusya’nın yabancı ve yerli hedeflere karşı siber sorumluluk faaliyetleri yürütmek için ISS’lerin yaygın olarak şüphelenildiği ilk kamu onayıdır. Microsoft, ilgili ISS’lerin Kremlin’in yasal kesişme emirlerine tabi olduğunu söyledi.
Batı istihbarat ajansları, Gizli Blizzard’ı Rusya’nın FSB olarak bilinen Federal Güvenlik Servisi’nin 16 merkezine atfetiyor. Tehdit oyuncusu, tehdit faaliyeti kümeleriyle örtüşüyor, ayrıca ATG26, Blue Python, Kripton, Yılan, Turla, Uroburos, Venomous Bear, Water Bug ve Wraith olarak izlendi.
Kamu sertifikası sisteminin zayıflığı, bir kök sertifika sağlayıcısıyla sonuçlanan bir güven zincirine bağlı olmasıdır. Kök şifreleme anahtarlarına erişimi olan herkes ağ trafiğini kesebilir, ancak uçtan uca şifreleme kötü niyetli üçüncü tarafların okunaklı bir şey almasını durdurur. Bu hala Hacker’ın güven zincirine ağ güvenliğinin çok yıllık bir tehlikesi sızmaya çalışmasını sağlıyor.
Microsoft, Rus ağlarının korunmasız kullanımından kaçınmayı tavsiye ediyor. Microsoft, “Şifreli bir tünelden tüm trafiği güvenilir bir ağa yönlendirin veya altyapısı dış taraflardan kontrol edilmeyen veya etkilenmeyen bir uydu tabanlı sağlayıcı gibi sanal özel bir ağ – VPN – servis sağlayıcısı kullanın.” Dedi.
Saldırı, bir kurbanı, saldırganlara bir sistemde yükseltilmiş ayrıcalıklar vermek ve sahte bir “Kaspersky anti-virüs (AV)” kök sertifikası kurmak için tasarlanmış Moskova merkezli Kaspersky’den maskeli bir yazılım çalıştırması için tasarlanmıştır.
Bir Kaspersky sözcüsü, şirketi kampanyadan uzaklaştırdı ve “güvenilir markaların genellikle bilgi veya rızası olmadan cazibe olarak yararlandığını” belirtti. Amerika Birleşik Devletleri’nde kara listeye alınan firma, “Microsoft’un Kaspersky’nin ISS aracılığıyla hedeflenen saldırılara ilişkin daha önceki araştırmalarını kabul ettiğini” söyledi.
Sertifika, SSL sıyırma saldırıları gerçekleştirmek için tasarlanmış gibi görünüyor – aka SSL düşürme veya HTTP düşürme saldırıları. Bu tür saldırılar, HTTPS bağlantısını güvensiz bir HTTP bağlantısına düşürerek kolay müdahaleyi kolaylaştırır.
Rus hackerlar kurbanları, hedeflenen cihazları bir otel veya havaalanında bir Wi -Fi sinyaline bağlanan gezginler tarafından yaygın olarak karşılaşılan ağ erişimini yöneten esir bir portal – web sayfalarına yönlendirerek kök sertifikalarını yüklemeye zorladı. Saldırganlar, kullanıcıları bir sertifika doğrulama hatası görüntüleyen bir web sayfasına yönlendirmek için bir cihazın İnternet erişimi olup olmadığını belirleyen Windows Network Bağlantı Durumu Göstergesi – meşru bir işletim sistemi aracını tetikledi.
Sahte sertifika doğrulama hatasına sahip sahte sayfa, kullanıcıları varsayılan Kaspersky uygulamasını indirmeye ve dosya adına sahip bir sertifika yüklemeye teşvik eder. CertificateDB.exe.
Kötü amaçlı yazılım ve alan adlarının meşru yazılım ve siteler olarak gizlenmesi, tekrarlayan bir gizli kar fırtınası taktiğidir. Siber güvenlik firması ESET, 2018’de en az iki yıl önce, gerçekte sahtekarlık edilen meşru bir Adobe alanından gelen sahte bir Adobe Flash yükleyicisi kullanan bir kampanya keşfettiğini bildirdi. ESET, bu kampanyanın kurbanlarının büyük ölçüde Sovyetler Birliği tarafından boyun eğdirilen ülkelerden oluşan “çoğunlukla Doğu Avrupa veya çevresindeki farklı ülkelerden konsolosluk ve elçilikler” olduğunu söyledi.
Center 16, FBI tarafından Moonlit Labirenti olarak adlandırılan ilk siberislik bölümlerinden biri de dahil olmak üzere 1990’lardan gelen kötü amaçlı yazılım saldırılarına bağlı. Araştırmacılar daha sonra FSB’ye atfedildi.