Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Fed, ABD Kritik Altyapısı ve NATO’nun da Rus Tehdit Aktörleri Tarafından Hedef Alındığını Açıkladı
Mathew J. Schwartz (euroinfosec) •
27 Haziran 2024
Moskova’nın Ukrayna’ya karşı sebepsiz bir fetih savaşı başlatmasının üzerinden iki yıldan fazla süre geçtikten sonra, ABD federal savcıları bir Rus adamı işgali desteklemek için kullanılan temizleme amaçlı kötü amaçlı yazılımları kolaylaştırmakla suçladı.
Ayrıca bakınız: Web Semineri | Sosyal Mühendislik ve Kimlik Avıyla Mücadele İçin Yapabileceğiniz Her Şey
ABD Adalet Bakanlığı Çarşamba günü Rus sivil Amin Stigal’i, ülkesinin ordusuna, Ukrayna hükümetini ve sivil sistemleri yok etmek için fidye yazılımı olarak gizlenen WhisperGate silecek kötü amaçlı yazılımını kullanma konusunda yardım etmekle suçladı. Kremlin’in Rusya’nın Şubat 2022’deki topyekun işgalinden bir ay önce başlattığı dijital kampanyadaki hedefler arasında kritik altyapılar da vardı. Savcılar, amacın Ukrayna halkı arasında “endişe uyandırmak” olduğunu söyledi.
Çarşamba günü açıklanan bir iddianame, Stigal’i, Rusya ordusunun GRU olarak anılan genelkurmay başkanlığının dış istihbarat şubesini desteklemek amacıyla bilgisayara izinsiz giriş yapma ve zarar verme amaçlı bir komploya katılmakla suçluyor.
“Komplocular, kritik altyapılar da dahil olmak üzere düzinelerce Ukrayna hükümetinin bilgisayarlarına ve tarım, eğitim, bilim ve acil servisler de dahil olmak üzere askeri veya savunmayla ilgili rolleri olmayan diğer sektörlerden sorumlu kuruluşlara saldırdı ve bilgisayarları yok etti veya yok etmeye çalıştı. İddianamede, “Bu sistemleri Rus işgalinden önce yok edin” deniliyor.
Savcılar, Stigal’in aynı zamanda GRU’nun Ukrayna’yı sivil ve askeri yardımla destekleyen isimsiz bir Orta Avrupa ülkesini hacklemesini de desteklediğini söylüyor. İddiaya göre, “Maryland’de bulunan bir ABD hükümet kurumu tarafından idare edilen çok sayıda site dahil” ABD’nin kritik altyapısını araştırdı.
Saldırganlar, kısmen yurtdışında bulunan ve kripto para birimiyle ödenen altyapıyı kullanarak saldırılar düzenleyerek kimliklerini gizlemeye çalıştı.
ABD Dışişleri Bakanlığı Adalet Ödül Programı, Stigal veya GRU’nun “kötü niyetli siber faaliyetleri veya ilgili kişi ve kuruluşlar” hakkında bilgi verenlere bir ödül yayınladı. Parasal ödülün yanı sıra muhbirler yer değiştirme hakkına da sahip olabilir.
Hükümetin Stigal’i “kötü niyetli bir siber aktör” olarak tanımlaması, onun bir BT yöneticisi olarak mı yoksa GRU tarafından saldırgan bir bilgisayar korsanı olarak mı görevlendirildiğini açıklığa kavuşturmuyor. Hükümet, “2021 gibi erken bir tarihte, Amin Stigal tarafından yönetilen dijital ortamlar, çeşitli WhisperGate kötü amaçlı yazılım kampanyalarında kullanılan kötü amaçlı yükleri düzenlemek için kullanıldı” dedi. “Stigal, Ukrayna, NATO ve ABD bilgisayar ağlarına karşı WhisperGate operasyonlarıyla bağlantılıdır ve WhisperGate operasyonlarında kullanılmak üzere bir sosyal iletişim platformunda hesaplar oluşturmak için başkalarıyla komplo kurmuştur.”
Güvenlik araştırmacıları daha önce WhisperGate’in arkasındaki grubu, aynı adı taşıyan karanlık bir web hack-and-leak sitesine bağlanan Free Civilian adıyla bir Telegram kanalına bağlamıştı.
Microsoft, 2023’ün ortalarında WhisperGate saldırılarını GRU’ya bağlı, Cadet Blizzard kod adlı bir tehdit aktörüne bağladı ve bunun 2020’de faaliyete geçeceğini söyledi. Grup, Sandworm ve APT28 gibi diğer tanınmış Rus askeri istihbarat korsanlığı gruplarından farklıdır. Teknoloji devi, bunun Fancy Bear olarak da bilindiğini söyledi.
Microsoft, WhisperGate’in gürültülü saldırılar için tasarlandığını ve Windows ana önyükleme kaydını silerek sistemlerin başlatılamamasını sağladığını söyledi.
Wiper Malware’in Yükselişi ve Düşüşü
WhisperGate, devam eden savaş sırasında konuşlandırılan bir düzineden fazla farklı türden temizleme amaçlı kötü amaçlı yazılımdan biridir. Danışmanlık şirketi Chertoff Group’un CEO’su Chad Sweet, 2022 ortalarında yapılan bir röportajda, Rusya’nın topyekün işgalini başlattığı gün, GRU temizleme saldırılarının bir düzine hükümet ve komuta-kontrol kuruluşundaki 300 sistemi etkilediğini söyledi (bkz: Başlıca Çıkarımlar: Rusya-Ukrayna Savaşı Sırasında Siber Operasyonlar).
Rusya ayrıca onbinlerce Viasat KA-SAT uydu iletişim ağı tüketici geniş bant modemini kalıcı olarak devre dışı bırakan bir temizleyici olan acidRain kötü amaçlı yazılımını da serbest bıraktı.
WithSecure’un baş araştırma görevlisi Mikko Hypponen, 2022 ortalarında yapılan bir röportajda, Rusya’nın silici kötü amaçlı yazılımların konuşlandırılmasının, kadınlar ve çocukların çatışmanın başlangıcından kaçmaya çalışırken Ukrayna-Polonya sınırında 40 saate kadar bekleme sürelerine yol açtığını söyledi.
“Geriye gidemediler ve insanlar ‘Sınırlar neden kapalı?’ diye şaşkınlığa uğradılar” dedi. “Sınırlar kapatılmadı, ancak Ukrayna sınır kontrolünün bilgisayarları, GRU tarafından Rus askeri istihbaratından geliştirilen ve konuşlandırılan HermeticWiper tarafından silindi. Siber savaş gerçek dünyada buna benziyor.”
Siber güvenlik firması Trellix, 2022’nin ortalarına gelindiğinde, Rus kuvvetleri tarafından aralarında AsitRain ve WhisperGate’in de bulunduğu en az 15 farklı sileceğin kullanıldığını bildirdi.
İstiladan hemen önceki ve sonraki dönemlerde silici kötü amaçlı yazılım operasyonlarının temposu hızla devam ederken, güvenlik uzmanları Rusya’nın sonunda cephaneliğini yakmış gibi göründüğünü söyledi; bunun nedeni muhtemelen Moskova’nın askeri planlamacılarının hızlı bir zafer beklemesiydi. Daha sonra GRU ve diğer Rus bilgisayar korsanlığı ekipleri, durdurulan kara saldırısını desteklemek için odak noktalarını siber casusluk ve siber operasyonlara kaydırmış görünüyor.