Rus yanlısı bilgisayar korsanlığı grubu Killnet bu hafta, tehdit aktörünün Rusya’nın Ukrayna’daki çıkarlarına düşman olarak algıladığı ülkelerdeki kuruluşlara karşı devam eden misilleme kampanyasında 14 büyük ABD hastanesine ait ağlara dağıtılmış hizmet reddi (DDoS) saldırıları başlattı.
Saldırılar – geçen Şubat ayında Rusya’nın işgalinden bu yana çoğu Killnet saldırısında olduğu gibi – Stanford Health, Michigan Medicine, Duke Health ve Cedars-Sinai’yi içeren hedeflenen kuruluşların herhangi birindeki ağ operasyonlarını ciddi şekilde bozmak için çok az şey yapmış gibi görünüyor.
Daha Fazla Destek Almak İçin Tasarlandı
Bununla birlikte, güvenlik uzmanları bu hafta Killnet’i Rusya ve başka yerlerdeki benzer düşünen bilgisayar korsanlarından daha fazla destek alacaklar ve hatta muhtemelen diğerlerinden operasyonlarına yatırım yaparak onları süreçte daha tehlikeli hale getirecekler.
Radware tehdit istihbaratı direktörü Pascal Geenens, “Killnet, yaklaşık 12 aydır Ukrayna’yı destekleyen veya Rusya’ya karşı çıkan herkese aktif olarak saldırıyor” diyor. “Kendilerini davalarına adadılar ve Rus yanlısı bilgisayar korsanlığı yanlısı gruplar arasında deneyim kazanmak ve etki çemberlerini genişletmek için zamanları oldu.”
Killnet geçen yıl, Rusya’nın Şubat ayında Ukrayna’yı işgal etmesinden kısa bir süre sonra ortaya çıktı. O zamandan beri grup, ABD’de ve diğer birçok ülkede kritik altyapı sektörlerindeki kuruluşlara genellikle yüksek profilli bir dizi DDoS saldırısı gerçekleştirdi. Kurbanları arasında havaalanları, bankalar, savunma müteahhitleri, hastaneler, İnternet servis sağlayıcıları ve Beyaz Saray yer alıyor.
Killnet’in bu hafta ABD’deki hastanelere ve Almanya, Polonya ve Birleşik Krallık dahil olmak üzere diğer birçok ülkedeki tıbbi kurumlara karşı yürüttüğü son DDoS kampanyası, muhtemelen NATO ülkelerinin ABD öncülüğünde Ukrayna’ya muharebe tankları gönderme kararından kaynaklandı. Ancak, bu saldırıların etkisi şüpheli olmaya devam ediyor.
Killnet’in Şüpheli DDoS Etkisi
Örneğin Michigan Medicine’de halkla ilişkiler müdürü Mary Masson, Killnet’in DDoS saldırılarının 30 Ocak’ta uofmhealth.org ve mottchildren.org dahil olmak üzere birçok web sitesini vurduğunu söylüyor. Masson, saldırıların bazıları için “aralıklı sorunlara” neden olduğunu açıklıyor. Michigan Tıbbı üçüncü taraf bir hizmet sağlayıcı tarafından barındırılan halka açık web siteleri.
“Etkilenen sitelerin hiçbiri hasta bilgisi içermiyor ve tüm hasta bilgileri güvende” diyor. “Hastalar her zaman myuofmhealth.org üzerinden hasta portalına erişebiliyordu.” Web siteleri, bir gün sonra, 31 Ocak’ta neredeyse normal işlemlerine geri döndü.
Cedars-Sinai’de medya ilişkileri müdür yardımcısı Sally Stewart, Killnet’in DDoS saldırısının hastanenin operasyonları üzerinde benzer şekilde düşük bir etkiye sahip olduğunu açıklıyor: “Cedars-Sinai web sitesinde Pazartesi sabahı erken saatlerde kısa bir hizmet kesintisi yaşandı ve bu sorun çözüldü. Web sitesi tamamen dolu durumda. işlevsel,” dedi Stewart, Dark Reading’e e-postayla gönderilen bir açıklamada.
Stanford Healthcare ve Duke Health, Dark Reading’in yorum talebine hemen yanıt vermedi.
“İddia ettikleri kadar yıkıcı değiller” diyen Geenens, Killnet’in asıl amacının dikkat çekmek ve Rus yanlısı mesajlarını duyurmak olduğunu ekliyor. “Kurumların, hükümetlerin ve kuruluşların halka açık web siteleri gibi daha geniş kitleler tarafından görülebilen hedeflerin peşine düşüyorlar.” Genellikle grubun hedeflediği kaynaklar iş açısından kritik değildir.
Küçümseme Hatası
Ancak bu, grubun göz ardı edilebileceği anlamına gelmez. Amerikan Hastane Birliği, son DDoS saldırılarını takip eden bir danışma belgesinde, Killnet’i sağlık sektörü için aktif bir tehdit olarak tanımladı.
AHA, “KillNet’in DDoS saldırıları genellikle büyük hasara neden olmasa da, birkaç saat hatta gün süren hizmet kesintilerine neden olabilir” uyarısında bulundu. AHA, Killnet’in Rusya Dış İstihbarat Teşkilatı ile olan bağlantılarının henüz doğrulanmadığını kaydetti.[but] grup hükümet ve sağlık hizmetleri de dahil olmak üzere kritik altyapı kuruluşları için bir tehdit olarak görülmelidir.”
Daha da önemlisi, Killnet’in Rusya yanlısı DDoS kampanyası da çok daha fazla takipçi ve hayran çekmeye başladı. Radware siber tehdit istihbarat başkanı Daniel Smith, Telegram’da @Killnet_reserve abone sayısının Haziran 2022’de yaklaşık 34.000 aboneden 85.000 aboneye çıktığını söylüyor. Mart 2022’den beri abone kaybediyor” diyor.
Grup, takipçilerini kendi DDoS saldırılarını gerçekleştirmeye teşvik etmek için de kullandığı Telegram kanalı aracılığıyla tanıtıma oldukça odaklandı.
Takı ve Rap Marşları: Büyüyen Killnet Desteği
Radware’in Geenens’i, Rusya içinde çekmeye başladığı artan desteğin bir göstergesi olarak, NoName ve Passion Group gibi bağlı Rus gruplarının DDoS botnet’lerini saldırılar gerçekleştirmek için Killnet’e sunduğunu gösteriyor.
Killnet’in son aylarda seferber ettiği desteğin diğer işaretleri arasında, çetenin onuruna bir Rus rapçi tarafından yazılan “KillnetFlow (Anonim diss)” adlı şarkı ve HooliganZ adlı Moskova merkezli bir kuyumcu tarafından Killnet ile ilgili mücevher satışı yer alıyor. . Radware’e göre Killnet ayrıca Solaris adlı bir Dark Web pazarından 44.000 $ değerinde finansal destek aldı.
Geenens, “Killnet’in etkisi, erişimi ve becerileri artıyor ve yavaşlama veya yakında emekli olma belirtileri göstermiyor” diye uyarıyor.
Killnet’in artan desteğinden nasıl yararlanacağı veya başka, daha tehlikeli saldırı biçimlerine dönüp dönmeyeceği belli değil. SecurityScorecard’ın kurucu ortağı ve CEO’su Aleksandr Yamploskiy, Killnet’in kiralık bir botnet sunan mali amaçlı bir operasyon olarak nasıl başladığını belirtiyor. Ancak o zamandan beri, Rusya’nın Ukrayna’yı işgaline karşı olduğunu algıladığı hedeflere karşı bir dizi nispeten düşük karmaşıklıktaki DDoS saldırıları yürüten bilgisayar korsanlığı kolektifi haline geldi. “Killnet, saldırılarında tarihsel olarak açık proxy IP adreslerini ve halka açık betikleri kullanmıştır” diyor.
Radware’den Smith, grubu artık potansiyel olarak daha tehlikeli yapan şeyin, artan erişimi ve becerileri olduğunu ekliyor. Birkaç ay önce, Radware’in Killnet gibi Rus yanlısı bir bilgisayar korsanlığı grubunun oluşturduğu riske ilişkin değerlendirmesi düşük olurdu, diye açıklıyor. “Ancak deneyimlerini oluşturduktan 12 ay sonra,” diyor, “araçlarını geliştirip sosyal ağlarını büyüttükten sonra, bu riski ılımlı düzeye çıkarma olasılığım daha yüksek.”
Panik için bir sebep olmasa da tedbiri elden bırakmamak ve hazırlıklı olmak daha iyidir. Smith, “Güvenlik topluluğundaki herkes, bir organizasyonu veya altyapıyı bozmak veya etkilemek için son derece yetenekli veya sofistike aktörlerin gerekmediğini biliyor” diye ekliyor.