Ukrayna’daki yabancı diplomatik misyonlar ve sivil toplum kuruluşları (STK), çalışanlarını temel kimlik avı saldırılarından yeterince korumada başarısız oluyor ve bu durum hükümet personelini ve ulusal güvenliği aşırı riske atıyor. Araştırma, önceki yıllardan farklı olarak neredeyse aynı yemlerin kullanıldığı tekrarlanan bir kampanyayı inceliyor.
Geçtiğimiz yıl, Palo Alto Networks’ün 42. araştırma ekibi, Cozy Bear veya APT29 grubuna ait bir dizi kimlik avı girişimini raporlamıştı. Bu girişimlerde Ruslar, kendilerini Kiev’den çekilen ve neredeyse yeni bir BMW 5 Serisi satmaya çalışan bir Polonyalı yetkili gibi tanıtmıştı.
Gizli bir ileri sürekli tehdit (APT) misyonu için “kapsamı şaşırtıcı” olarak tanımlanan Birim 42, Cozy Bear’ın Arnavutluk, Arjantin, Kanada, Kıbrıs, Danimarka, Estonya, Yunanistan, Irak, İrlanda, Kuveyt, Kırgızistan, Letonya, Libya, Hollanda, Norveç, Slovakya, İspanya, Sudan, Türkiye, Türkmenistan, ABD ve Özbekistan’dan diplomatları hedef aldığını ortaya çıkardı.
Bir yıl sonra, Unit 42 ekibi suç mahalline geri döndüğünde, bu kez Bükreş merkezli Güneydoğu Avrupa Kolluk Kuvvetleri Merkezi’nde (SELEC) çalışan, var olmayan bir personelin bir Audi Q7 Quattro SUV’u satmaya çalıştığını gördü.
Ancak bu sefer kampanyayı Cozy Bear değil, tamamen farklı bir APT grubu olan Fancy Bear, diğer adıyla APT28 veya Unit 42’nin rolodex’inde Fighting Ursa yönetiyor.
Unit 42, bu kampanyanın Mart 2024’e dayandığını ve Cozy Bear kampanyasıyla hiçbir ilgisi olmadığını söyledi. Ekip, 2024 Audi kampanyasını Cozy Bear’ın aksine Fancy Bear’a orta ila yüksek derecede güvenle bağlayabildiğini söyledi.
“Diplomatik-araba-satılık-kimlik avı yem temaları Rus tehdit aktörleri tarafından yıllardır kullanılıyor. Bu yemler diplomatlarla yankı bulma ve hedeflerin kötü amaçlı içeriğe tıklamasını sağlama eğilimindedir,” dedi ekip.
“Taktiklerdeki benzerlik, Fighting Ursa’nın bilinen davranışlarına işaret ediyor. Fighting Ursa grubu, başarılı taktikleri yeniden kullanmasıyla biliniyor – hatta örtüleri çoktan açığa çıktıktan sonra bile 20 ay boyunca bilinen güvenlik açıklarını sürekli olarak kullanıyorlar,” dediler.
Fancy Bear’ın kampanyasında, tıklandığında kötü amaçlı bir HTML sayfası döndüren bir URL oluşturmak için meşru Webhook.site hizmeti kullanıldı. URL tıklandığında, HTML sayfası önce ziyaret eden bilgisayarda Windows çalışıp çalışmadığını kontrol etti ve çalışıyorsa, bir ZIP arşivi oluşturdu ve JavaScript tıklama işleviyle açmaya çalıştı.
IMG-387470302099.zip olarak kaydedilen bu arşiv, kurbanın sistemine Fancy Bear’ın HeadLace arka kapı zararlı yazılımını indirip çalıştırmak için birlikte çalışan üç dosya içeriyor ve bu sayede gruba hedeflenen organizasyona daha derin erişim sağlıyor.
42. Birim, Fancy Bear’ın saldırı zincirinde meşru bir web hizmeti kullanmasının, mağdur olma riski altında olan kuruluşlara saldırılarının önüne geçmek için bir şans verdiğini söyledi.
“Fighting Ursa’nın saldırı altyapısında meşru web hizmetlerini kullanmaya devam edeceğini değerlendiriyoruz,” dediler. “Bu saldırılara karşı savunma yapmak için, savunmacılar bu veya benzeri barındırma hizmetlerine erişimi gerektiği şekilde sınırlamalıdır. Mümkünse, kuruluşlar olası saldırı vektörlerini belirlemek için bu ücretsiz hizmetlerin kullanımını incelemelidir.”
İki ayı bir ayıdan daha mı iyidir?
Cozy Bear ve Fancy Bear’ın genellikle Rus istihbarat teşkilatının farklı birimlerinde faaliyet gösterdiği düşünülüyor.
Cozy Bear’ın, doğrudan Rus diktatörü Vladimir Putin’e bağlı Moskova Dış İstihbarat Servisi’yle (SVR) bağlantılı olduğu değerlendiriliyor.
Öte yandan Fancy Bear’ın daha çok, Rus askeri komutasına bağlı Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı (GRU) askeri istihbarat teşkilatı ile bağlantılı olduğu belirtiliyor.
Ancak hem SVR hem de GRU, Soğuk Savaş dönemi KGB’sinin halefi niteliğindedir ve hedeflerinin Rusya’nın genel jeopolitik hedefleriyle örtüştüğü göz önüne alındığında, iki operasyon arasında bir miktar örtüşme olması şaşırtıcı değildir.
Nitekim Cozy Bear ve Fancy Bear’ın her ikisinin de geçmişte birlikte çalıştıkları gözlemlenmiş ve bazen birlikte çalıştıklarında Grizzly Steppe olarak izlenmişler.