Kritik altyapı güvenliği, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Aeroflot Wiper Malware ile Hit, Belarus’tan Ukraynalı Hacker Pro-Ukraynalı hackerlar
Mathew J. Schwartz (Euroinfosec) •
28 Temmuz 2025
Rus bayrağı taşıyıcı Aeroflot, bir hack grubu BT sistemlerini bozduğu için kredi talep ettiği için Pazartesi günü düzinelerce uçuşu iptal etti.
Devlete ait çoğunluklu taşıyıcı Pazartesi günü yaptığı açıklamada, kesintilerin bir BT altyapısı başarısızlığına kadar izlendiğini söyledi. Rusya Genel Savcısı Ofisi Bozuklukları bilgisayar korsanlarına bağladı ve bir ceza soruşturması başlattığını söyledi.
Belarus hacktivist grubu Silent Crow, havayolunun BT altyapısını “tamamen tehlikeye attığını ve yok ettiğini” iddia etti. Hackers, köklü Belarus hacktivist grup siber partizan ile 22 terabayttan fazla e-posta, paylaşılan dosya ve veritabanları tutarında yaklaşık 7.000 fiziksel ve sanal sunucuyu silmek için çalıştıklarını söyledi.
Bilgisayar korsanlarının iddiaları bağımsız olarak doğrulanamadı.
Pazartesi günü yerel saatlerde Aeroflot, Moskova’nın Sheremetyevo Uluslararası Havalimanı’na uçması planlanan 123’ten 47 uçuşu iptal etmek zorunda kaldığını söyledi. Moskova’nın Ukrayna’ya karşı fetih savaşı üzerine getirilen Batı yaptırımlarına rağmen, Rusya’daki hava yolculuğu sağlam kaldı. Rossiya Havayolları ve Bütçe Havayolu Pobeda’yı içeren ana şirket Aeroflot Group, geçen yıl ülkenin pazar payının% 42’sini oluşturan 55.3 milyon yolcu taşıdı. Havayolu, taşınan yolcuların hacmine dayanarak dünyanın en iyi 20’sinden biri olarak yer alıyor.
Silent Crow, bir yıl önce havayolunun ağına eriştiklerini ve bu erişimi SharePoint, Exchange, Müşteri İlişkileri Yönetimi, ERP ve diğer sistemlerine dokunmak için genişlettiklerini söyledi. Bilgisayar korsanları ayrıca havayolu müşterileri hakkında çok miktarda veri çaldığını iddia ettiler ve bilgileri sızdırmayı planladıklarını söyledi.
“122 hipervizöre, 43 sanallaştırma zvirt kurulumuna, sunucu yönetimi için yaklaşık yüz ILO arayüzüne ve 4 proxmox kümesine erişim sağladık.” “Eylemlerin bir sonucu olarak, hem fiziksel hem de sanal yaklaşık 7.000 sunucu yok edildi. Elde edilen bilgilerin hacmi 12 TB veritabanı, Windows Share’den 8 TB dosya ve 2 TB kurumsal posta içeriyor.”
“Ukrayna’ya zafer! Long Canlı Belarus!” Grup gönderildi. Diyerek şöyle devam etti: “Aeroflot ile şimdiye kadar uçan tüm Rusların kişisel verileri de bir yolculuğa çıktı – bagaj ve tek yönlü olmasa da.”
Hava yoluyla seyahat etmek isteyen Ruslar, Kiev’in savaşı günlük Ruslara götürme çabasının bir parçası olarak ülkenin dronlarla hava sahasını hedefleyen Ukrayna’dan dolayı aralıklı aksaklıklara alışmışlardır. Rusya Federal Hava Taşımacılığı Ajansı, bu ayın başlarında bir ağır saldırı dalgasının Rus havayollarını 485 uçuşu iptal etmeye ve 1.900’ü daha geciktirmeye zorladığını ve ilave maliyetle milyarlarca ruble yol açtığını söyledi.
Belarus hacktivist hit
Silent Crow, daha önce büyük telekomünikasyon sağlayıcısı Rostelecom da dahil olmak üzere Rus hedeflerine ulaştı. Ocak ayında telekom, Rus devlete ait haber ajansı TASS’a, bilgisayar korsanlarının 154.000’den fazla müşterinin e-posta adresi ve 101.000 telefon numarasını sızdırdığını söyledi.
İlk iddia edilen saldırısı Rusya’nın resmi kadastosu ve kartografi ajansı Rosreestr’e karşı oldu. Ocak ayında, ABD Sosyal Güvenlik numaralarının Rus eşdeğeri de dahil olmak üzere kişisel bilgilerle on binlerce kayıt çaldığını iddia etti. Rus medyası o zaman ajansın konuyu araştırdığını bildirdi.
Rus siber güvenlik firması Bi.zone’a göre, grup 2012’nin ortalarından bu yana “Dumpforums” ile geçen daha önceki bir hackleme grubunun yeniden markası gibi görünüyor. Dumpforums, Rus hükümet kurumlarını hedef aldı ve aynı adı taşıyan bir foruma ev sahipliği yaptı, firma, Dumpforums’u “Phoenix Hidena” olarak izleyen.
Cyber Partisans, görevdeki otoriter lider Alyaksandr Lukashenka’nın oyların% 80’inden fazlasını kazandıktan sonra yeniden seçildiğini iddia eden bir Belarus hacktivist grubudur. ABD, Avrupa Birliği ve diğer hükümetler seçim sonuçlarını reddetti.
Siber partizanlar o zamandan beri hem Belarus hem de Rusya’daki otoriter rejimlere yönelik bir dizi saldırı başlattı. Bunlar, Rus birliklerinin konuşlandırılmasını yavaşlatmak için Şubat 2022’nin sonlarında Belarus’taki demiryolu hizmetlerini bozmayı içeriyordu (bkz:: Siber Standoff: Rusya-Ukrayna savaş saldırılarına bağlı 51 grup).
Geçen ay yayınlanan bir teknik raporda, Moskova merkezli siber güvenlik firması Kaspersky, ilk erişim elde etmek için kimlik avı saldırılarını kullanması da dahil olmak üzere grubun taktiklerinden bazılarını detaylandırdı. Grup ayrıca, Vasilek olarak adlandırılan daha önce hiç görülmemiş bir arka kapı kullandı, “bir komut ve kontrol sunucusuyla iletişim kurmak yerine”, grupun algılamadan kaçınmasına yardımcı olabilecek “bir telgraf grubu kullandığını ve” çeşitli ağ tünelleri ve proxy taktikleri ile birlikte “bir telgraf grubu kullandığını” söyledi.
Siber partizanlar, Pryanik lakaplı silecek kötü amaçlı yazılımını içeren birçok olayla bağlantılıdır.
Kaspersky, “Kasım 2021’den bu yana, endüstriyel işletmelere yönelik saldırılarda ‘bomba’ tekniğini ilk kez kullandı-örneğin, belirli bir zamanda belirtilen parametrelere göre otomatik olarak etkinleştirilen kötü amaçlı yazılımlar kullandı.” Dedi.
Silecek, Nisan 2024’te bir Belarus gübresi üretim tesisi de dahil olmak üzere, saldırganların bir kazan odasının çalışmasını durdurduğunu iddia ettikleri, ancak saldırganların “acil durumun acil durumunun ciddi fiziksel sonuçlarına ve hatta acil durumlara yol açabileceğini” söyledi.