Muhtemelen, hiçbir gelişmiş kalıcı tehdit (APT), Rusya’nın Askeri İstihbarat (GRU) içinde askeri birim 74455 olarak bilinen kum kurdu kadar kötü şöhrete sahip değildir. Vurgu makarası içerir NotpetyaBİR 2018 Kış Olimpiyatlarına Karşı Saldırıve iki etkili Ukrayna’nın Güç Şebekesine Saldırılar. Daha yeni faaliyetler arasında bir Danimarka’nın enerji sektörüne karşı kampanya ve Üçüncü kez Ukrayna’nın ızgarasını aşağı indirmek için başarısız girişimardından bir başarılı girişim.
Times’ın bir işaretinde, Sandworm ustaca daha sessiz, daha yaygın müdahalelere doğru kayıyor. Grubu “Seasshell Blizzard” olarak izleyen Microsoft, 74455’te yalnızca büyük endüstriler ve coğrafi bölgelerdeki yüksek değerli kuruluşlara ilk erişim sağlamaya odaklanan bir alt grup belirledi. Bu alt grubu “badpilot” olarak adlandırıyor.
Sandworm’s IAB, Badpilot
En azından 2021’in sonlarından bu yana, Badpilot, popüler e-posta ve işbirliği platformlarındaki bilinen güvenlik açıklarından yararlanarak internete dönük altyapıya karşı fırsatçı saldırılar gerçekleştiriyor. Dikkate değer örnekler Zimbra’nın CVE-2022-41352, Microsoft Exchange Hatası CVE-2021-34473Ve Microsoft Outlook’ta CVE-2023-23397. Bu güvenlik açıklarının üçü de ortak güvenlik açığı puanlama sisteminde (CVSS) 10 puan üzerinden “kritik” 9.8 aldı.
Badpilot, bu kritik güvenlik açıklarını geleneksel olarak yüksek değerli kuruluşlara yararlı başlangıç erişimini elde etmek için kullanır: telekomünikasyon şirketleri, petrol ve gaz şirketleri, nakliye şirketleri, silah üreticileri ve yabancı hükümetlerin kuruluşları. Hedefler Ukrayna ve daha geniş Avrupa’dan Orta ve Güney Asya ve Orta Doğu’ya kadar değişmektedir.
2024’ün başlarından beri Badpilot, ABD ve İngiltere’deki hedeflere de erişmeye genişledi. Bunun için, uzaktan izleme ve yönetim yazılımındaki hataları özel olarak kullanmıştır: CVE-2023-48788örneğin, Fortinet Forticlient Enterprise Management Server’da (EMS) uzak bir enjeksiyon fırsatı ve 10 CVSS dereceli 10 üzerinden nadir 10’u CVE-2024-1709ConnectWise tarafından screenconnect’te kimlik doğrulama bypass’a izin verir.
Hedeflenen bir sistemde dayanağını kazandıktan sonra, Badpilot herhangi bir ortalama hack işleminin olağan adımlarını takip eder. Derhal, özel “localolive” web kabuğunun yanı sıra, uzlaştırılmış sistemleri Tor gizli hizmetler olarak yapılandıran meşru uzaktan yönetim ve izleme (RMM) araçlarının kopyalarını veya “Shadowlink” ü kullanarak kalıcılığı oluşturur. Kimlik bilgilerini toplar, yanal hareket gerçekleştirir, gerektiğinde verileri pespiltratlar ve bazen daha fazla kontromise sonrası faaliyet gerçekleştirir.
Microsoft Tehdit İstihbarat Stratejisi Direktörü Sherrod DeGrippo, “Burada sofistike bir eksiklik yok, çeviklik ve hedefler elde etmeye odaklanıyor” diyor. Diyerek şöyle devam etti: “Bu TTP’ler çalışıyor çünkü bu tehdit oyuncusu kalıcı ve hedeflerini sürdürmeye devam ediyor.”
Ukrayna’daki etki
Nihayetinde, Badpilot’un işi, ana grubunun daha önemli saldırılarını yağlamak ve uzatma yoluyla kontrol eden hükümetini güçlendirmektir. Etkinliğinin çoğu fırsatçı görünse de Microsoft, “Rusya’nın gelişen stratejik hedeflerine yanıt verirken kümülatif olarak deniz kabuğu Blizzard seçenekleri sunuyor.”
Örneğin, grubun Rusya’nın Ukrayna’yı işgalinden sadece aylar önce ortaya çıkması bir tesadüf olabilir veya olmayabilir. Bu savaş başladığında ve Rusya komşusunu her zamankinden daha fazla siber saldırı ile biberledikçe, Badpilot karışımda haklıydı ve düşmanına siyasi veya askeri destek sağladığını algılanan kuruluşlara erişim sağladı. Ayrıca Microsoft, grubun 2023’ten beri Ukrayna’da en az üç yıkıcı saldırı sağladığını söylüyor.
Sandworm, telekomünikasyon altyapısı, üretim ve lojistik, enerji, su, askeri ve hükümet kuruluşları ve sivil nüfusu desteklemek için amaçlanan diğer altyapı da dahil olmak üzere savaş başladığından beri Ukrayna’da kritik altyapıyı hedefledi. Ayrıca istihbarat toplama amacıyla askeri toplulukları hedeflemiştir.
Degrippo, “Bu tehdit aktörleri kalıcı, yaratıcı, organize ve iyi kaynaklı.” Bu nedenle, “kritik sektörlerin ortalamanın üzerinde güvenlik uygulamalarını sürdürmelerini, yazılımlarını yama yapmalarını, internete dönük varlıkları izlemelerini ve genel güvenlik duruşlarını geliştirmelerini sağlamalıdır.”