Rusya’nın GRU’su, Batı Kritik Altyapısını Hedef Alan Yıllar Süren Casusluk Kampanyası

   Aralık 16, 2025  Posted in ThecyberExpress


Amazon Web Services (AWS), Batı’nın kritik altyapısını, özellikle de enerji sektörünü hedef alan çok yıllı ısrarlı bir siber casusluk kampanyasını, Rusya’nın Ana İstihbarat Müdürlüğü (GRU) ile güçlü bağlantılı olan ve yaygın olarak Kum Solucanı (veya APT44) olarak bilinen bir gruba bağladı.

Bulut devinin tehdit istihbarat ekipleri Pazartesi günü yayınlanan bir raporda, Rus bağlantı noktası aktörünün 2021’den günümüze kadar uzanan operasyonlarla Kuzey Amerika ve Avrupa’nın kritik altyapısına “sürekli odaklanmayı” sürdürdüğünü ortaya çıkardı.

Yanlış Yapılandırılmış Cihazlar Saldırganların Ağ Geçididir

AWS araştırması, ilk başarılı güvenlik açıklarının AWS platformundaki herhangi bir zayıflıktan değil, müşterinin yanlış yapılandırılmış cihazlarının kötüye kullanılmasından kaynaklandığını ortaya çıkardı. Tehdit aktörü, müşterilerin ağ uç cihazlarını ve sanal cihazlarını uygun şekilde koruma altına almamasından kaynaklanan ağ savunmasındaki temel bir başarısızlıktan yararlanıyor.

Operasyon, genellikle Amazon Elastic Compute Cloud (EC2) gibi platformlarda çalışan üçüncü taraf ağ cihazı yazılımlarını tehlikeye atarak kimlik bilgilerinin çalınmasına ve uzun vadeli kalıcılığın sağlanmasına odaklanıyor.

AWS CISO CJ Moses raporda şu uyarıda bulunarak şu uyarıda bulundu: “2026’ya girerken kuruluşların, bu kalıcı tehdide karşı savunma yapmak için ağ uç cihazlarının güvenliğini sağlamaya ve kimlik bilgisi tekrarlama saldırılarını izlemeye öncelik vermesi gerekiyor.”

Kalıcılık ve Kimlik Bilgisi Hırsızlığı, Kum Solucanı Başucu Kitabının Bir Parçası

AWS, GRU bağlantılı grubun tarihsel taktikleriyle uyumlu çeşitli temel taktikler, teknikler ve prosedürler (TTP’ler) kullandığını gözlemledi:

rapor-reklam-bannerrapor-reklam-banner

  1. Yanlış Yapılandırmalardan Yararlanma: İlk erişimi elde etmek için, özellikle açıkta kalan ağ cihazlarında, müşteri tarafındaki hatalardan yararlanılması.

  2. Kalıcılığın Sağlanması: Güvenliği ihlal edilmiş EC2 bulut sunucularına kalıcı, uzun vadeli bağlantılar kuran aktör kontrollü IP adreslerini göstermek için ağ bağlantıları analiz ediliyor.

  3. Kimlik Bilgisi Toplama: Nihai amaç, saldırganların ağlar arasında yanal olarak hareket etmesine ve ayrıcalıkları yükseltmesine olanak tanıyan ve genellikle kritik altyapı operatörlerinin hesaplarını hedef alan kimlik bilgisi hırsızlığıdır.

AWS’nin altyapı analizi, Ukrayna’daki 2015 ve 2016 elektrik şebekesi kesintileri gibi yıkıcı saldırılarla ünlü bir grup olan bilinen Sandworm operasyonlarıyla örtüşüyor, bu atıf konusunda yüksek güven sağlıyor.

Son zamanlarda tehdit istihbarat şirketi Cyble, savunma sistemlerini hedef alan gelişmiş arka kapılar tespit etmişti ve TTP’ler, Rusya’nın Sandworm taktik kitabına çok benziyordu.

Okuyun: Cyble, Belarus Askeri Cazibesi Aracılığıyla Gelişmiş Arka Kapı Hedefleme Savunma Sistemlerini Tespit Ediyor

Enerji Tedarik Zincirine Tekil Odaklanma

AWS’nin tehdit istihbaratı ekipleri tarafından analiz edilen hedefleme profili, hem doğrudan operatörler hem de onları destekleyen teknoloji sağlayıcılar dahil olmak üzere küresel enerji sektörü tedarik zincirine hesaplı ve sürekli bir odaklanmayı göstermektedir:

  • Enerji Sektörü: Enerji müşterileri konusunda uzmanlaşmış elektrik hizmeti kuruluşları, enerji sağlayıcıları ve yönetilen güvenlik hizmeti sağlayıcıları (MSSP’ler).

  • Teknoloji/Bulut Hizmetleri: Kritik altyapı geliştirme için gerekli olan işbirliği platformları ve kaynak kodu depoları.

  • Telekomünikasyon: Birden fazla bölgedeki telekom sağlayıcıları.

Hedeflemenin coğrafi kapsamı küreseldir ve Kuzey Amerika, Batı ve Doğu Avrupa ile Orta Doğu’yu kapsamaktadır ve NATO ülkeleri ve müttefikleri arasında güç dağıtımını ve enerji akışını yöneten operasyonel teknoloji (OT) ve kurumsal ağlarda yer kazanmaya yönelik stratejik bir hedefi göstermektedir.

Bulut Kenarından Kimlik Bilgisi Hırsızlığına

AWS’nin telemetrisi, ilk erişimi elde etmek için müşterinin bulutta barındırılan cihazlarda yanlış yapılandırmasından yararlanan, yöntemli, beş adımlı bir kampanya akışını ortaya çıkardı:

  1. AWS’de barındırılan Müşteri Ağ Uç Cihazından ödün verilmesi: Saldırı, Amazon EC2 gibi platformlarda çalışan ağ uç cihazlarındaki (güvenlik duvarları veya sanal cihazlar gibi) müşteri tarafındaki güvenlik açıklarından veya yanlış yapılandırmalardan yararlanılarak başlıyor.

  2. Yerel Paket Yakalama Yeteneğinden Yararlanın: Aktör içeri girdikten sonra ağ trafiğini gizlice dinlemek için cihazın kendi yerel işlevselliğini kullanır.

  3. Ele Geçirilen Trafikten Kimlik Bilgilerini Toplayın: Önemli adım, güvenliği ihlal edilmiş cihazdan geçerken ele geçirilen trafikten kullanıcı adlarının ve şifrelerin çalınmasını içerir.

  4. Mağdur Kuruluşların Çevrimiçi Hizmetleri ve Altyapısına Karşı Kimlik Bilgilerini Tekrar Oynat: Toplanan kimlik bilgileri daha sonra diğer hizmetlere erişmek için “tekrar oynatılır” (kullanılır), böylece saldırganların ele geçirilen cihazdan daha geniş kurban ağına geçmesine olanak sağlanır.

  5. Yanal Hareket için Kalıcı Erişim Sağlayın: Son olarak aktörler, yanal hareketi ve daha fazla casusluğu kolaylaştırmak için gizli, uzun vadeli bir varlık oluşturur.

Sınırı Güvenceye Alın ve Kimlik Bilgilerinin Tekrar Oynatılmasını Durdurun

AWS, altyapısı güvenli kalsa da bu kampanyayı mümkün kılan temel güvenlik kusurlarını düzeltme sorumluluğunun müşterilere ait olduğunu belirtti. Raporda kuruluşlara iki cephede derhal harekete geçmeleri şiddetle tavsiye ediliyor:

  • Güvenli Ağ Kenarı: Genel internete açık tüm ağ cihazları ve sanal cihazlar üzerinde kapsamlı denetimler yapın ve yama uygulayın, bunların güvenli bir şekilde yapılandırıldığından emin olun.

  • Kimlik Bilgisi Tekrarını İzleyin: Tehdit aktörlerinin hedef ortamların derinliklerine inmek için kullandığı kimlik bilgileri tekrarı ve hırsızlık saldırılarıyla ilişkili güvenlik ihlali göstergeleri (IOC’ler) için gelişmiş izleme uygulayın.



Source link