Son on yılda, Kremlin’in Sandworm olarak bilinen en agresif siber savaş birimi, Rusya Cumhurbaşkanı Vladimir Putin’in Rusya’nın komşusunu tam ölçekli işgalinden bu yana, daha çok Ukrayna’ya işkence etme kampanyalarını odakladı. Şimdi Microsoft, bu kötü şöhretli hackleme grubundaki bir ekibin, dünya çapında ağları ihlal etmek için ayrım gözetmeden çalışarak hedeflemesini kaydırdığını ve geçen yıl İngilizce konuşan Batı ülkelerindeki ağlara özel bir ilgi gösterdiği konusunda uyarıyor.
Çarşamba günü, Microsoft’un Tehdit İstihbarat Ekibi, Sandworm içindeki bir gruba şirketin analistlerinin Badpilot adını verdiği yeni bir araştırma yayınladı. Microsoft, ekibi, güvenlik araştırmacılarının yıllardır Rusya’nın GRU Askeri İstihbarat Ajansı’nın bir birimi olarak tanımladığı Sandworm’un daha büyük organizasyonundaki diğer bilgisayar korsanlarına erişimi vermeden önce ekibi, kurban ağlarında ihlal etmeye ve kazanmaya odaklanan bir “başlangıç erişim operasyonu” olarak tanımlıyor. . Microsoft, Badpilot’un ilk ihlallerinden sonra, diğer kum kurdu korsanları müdahalelerini kurban ağları içinde hareket etmek ve bilgileri çalmak veya siber saldırıları piyasaya sürme gibi etkiler gerçekleştirmek için kullandı.
Microsoft, Badpilot’u yüksek miktarda saldırı denemesi başlatması, geniş bir ağ oluşturması ve daha sonra belirli kurbanlara odaklanmak için sonuçları sıraladığını tanımlar. Son üç yılda şirket, grubun hedeflemesinin coğrafyasının geliştiğini söylüyor: 2022’de, manzaralarını neredeyse tamamen Ukrayna’ya koydu, daha sonra 2023’te hacklemesini dünya çapında ağlara genişletti ve daha sonra tekrar eve döndü. ABD, İngiltere, Kanada ve Avustralya’daki kurbanlar hakkında.
Microsoft’un Tehdit İstihbarat Stratejisi direktörü Sherrod Degrippo, “İlk erişim girişimlerini püskürttüklerini, neyin geri geldiğini gördüklerini ve daha sonra sevdikleri hedeflere odaklandıklarını görüyoruz” diyor. “Odaklanmanın mantıklı olanı seçip seçiyorlar. Ve bu batı ülkelerine odaklanıyorlar. ”
Microsoft, Badpilot’un müdahalelerinin belirli bir kurbanını adlandırmadı, ancak hacker grubunun hedeflerinin “enerji, petrol ve gaz, telekomünikasyon, nakliye, silah üretimi” ve “uluslararası hükümetler” i içerdiğini belirtti. En az üç kez Microsoft, operasyonlarının Sandworm tarafından Ukrayna hedeflerine karşı yapılan veri tahrip edici siber saldırılara yol açtığını söylüyor.
Batı ağlarına daha yakın zamanda odaklanmaya gelince, Microsoft’tan Degrippo, grubun çıkarlarının muhtemelen siyasetle daha fazla ilişkili olduğunu ima ediyor. “Küresel seçimler muhtemelen bunun bir nedenidir” diyor Degrippo. “Bence değişen siyasi manzara, taktikleri değiştirmek ve hedefleri değiştirmek için bir motivasyon kaynağı.”
Microsoft’un Badpilot’u izlediği üç yıldan fazla bir süredir, grup, İnternet’e dönük yazılımlarda bilinen fakat eşleştirilmemiş güvenlik açıklarını kullanarak kurban ağlarına erişmeye çalıştı, Microsoft Exchange ve Outlook’ta hacklenebilir kusurları ve OpenFire, Jetbrains uygulamaları ve Zimbra. Microsoft, özellikle geçen yıl Batı ağlarını hedeflemesinde, Badpilot’un Fortinet’in PC’lerde güvenlik yazılımlarını merkezi olarak yönetmek için başka bir uygulama olan ConnectWise Screenconnect ve Fortinet Forticlient EMS’deki uzaktan erişim aracındaki bir güvenlik açığından yararlandığı konusunda uyarıyor.
Bu güvenlik açıklarından yararlandıktan sonra Microsoft, BadPilot’un genellikle bir kurban makinesine kalıcı erişim sağlayan yazılımlar yüklediğini, genellikle Atera Agent veya Splashtop uzaktan hizmetleri gibi meşru uzaktan erişim araçlarıyla yüklediğini buldu. Bazı durumlarda, daha benzersiz bir bükülmede, bir kurbanın bilgisayarını Tor anonimlik ağında sözde soğan hizmeti olarak çalıştıracak ve aslında Tor’un iletişimlerini gizlemek için proxy makineleri koleksiyonu aracılığıyla iletişim kuran bir sunucuya dönüştürüyor.