Rusya kurulduğundan beri Şubat ayında Ukrayna’yı felaket boyutunda işgali, komşusuna karşı uzun süredir sürdürdüğü siber savaş da yeni bir döneme girdi – Rusya’nın zaman zaman bu süreçte bilgisayar korsanlığı operasyonlarının rolünü belirlemeye çalıştığı görülüyor. acımasız, fiziksel bir kara savaşı. Şimdi, bir siber güvenlik analisti ve ilk müdahale ekibinin bulgularına göre, en az bir Rus istihbarat teşkilatı yeni bir dizi siber savaş taktiğine yerleşmiş görünüyor: daha hızlı izinsiz girişlere izin verenler, çoğu zaman aynı hedefi sadece birkaç kez ihlal edenler. aylarca ve hatta bazen Ukrayna ağlarına gizli erişimi sürdürürken, içlerindeki bilgisayarların mümkün olduğunca çoğunu yok eder.
Bugün, Arlington, Virginia’daki CyberwarCon güvenlik konferansında, güvenlik firması Mandiant’tan analistler, Rusya’nın GRU askeri istihbarat teşkilatının, GRU’nun bilgisayar korsanlarının yıllardır taşıdığı Ukrayna’daki hedeflere karşı kullandığını söyledikleri yeni bir dizi araç ve teknik ortaya koydu. tarihteki en agresif ve yıkıcı siber saldırıların çoğunu geride bıraktı. Mandiant analistleri Gabby Roncone ve John Wolfram’a göre, bulgularının Mandiant’ın Ukrayna’da aylarca süren olay müdahale vakalarına dayandığını söylüyorlar, GRU özellikle “uçta yaşamak” olarak adlandırdıkları şeye geçti. GRU korsanlarının geçmişte genellikle kurbanların kimlik bilgilerini çalmak veya hedef kuruluşlardaki farkında olmayan kullanıcıların bilgisayarlarına arka kapılar yerleştirmek için kullandıkları kimlik avı saldırıları yerine, artık güvenlik duvarları, yönlendiriciler ve e-posta sunucuları gibi “uç” cihazları hedef alıyorlar ve genellikle bu makinelerde onlara daha hızlı erişim sağlayan güvenlik açıkları.
Roncone ve Wolfram’a göre bu değişim GRU’ya birçok avantaj sağladı. Rus askeri bilgisayar korsanlarının çok daha hızlı, daha hızlı etkilere sahip olmalarına, bazen bir hedef ağa nüfuz etmelerine, ağdaki diğer makinelere erişimlerini yaymalarına ve önceki operasyonlardaki aylara kıyasla sadece haftalar sonra veri yok eden kötü amaçlı yazılımları dağıtmalarına izin verildi. Bazı durumlarda, bilgisayar korsanlarının hem silecek saldırıları hem de siber casusluk için aynı küçük Ukraynalı hedef grubuna hızlı bir şekilde art arda birden çok kez girmesini sağladı. Ve GRU’ya bu ağlar içindeki yerlerini sağlayan uç cihazlar, kurumun siber saldırılarında mutlaka silinmediğinden, onları hacklemek bazen GRU’nun bir veri yok etme işlemi gerçekleştirdikten sonra bile kurban ağına erişimlerini sürdürmesine izin verdi.
Roncone, Wolfram’ın CyberwarCon konuşmasından önce WIRED’e “Stratejik olarak, GRU’nun yıkıcı olayları ve casusluğu dengelemesi gerekiyor” dedi. “Her alanda acıyı empoze etmeye devam etmek istiyorlar, ancak aynı zamanda bir askeri istihbarat aygıtı ve daha fazla gerçek zamanlı istihbarat toplamaya devam etmek zorundalar. Bu yüzden, bu sürekliliği hazır tutmak için hedef ağların ‘kenarlarında yaşamaya’ başladılar. hem kesinti hem de casusluk için bu hızlı işlemlere erişim sağladı ve etkinleştirdi.”
Sunumlarında yer alan bir zaman çizelgesinde, Roncone ve Wolfram, Rusya’nın bu yılın başından bu yana Ukrayna’da gerçekleştirdiği ve ülkenin enerji, medya, telekom ve finans sektörlerinin yanı sıra hedeflere yönelik en az 19 yıkıcı siber saldırıya işaret ediyor. Devlet kurumları. Ancak bu sürekli siber savaş barajı içinde, Mandiant analistleri, GRU’nun uç cihazları hacklemeye odaklanmasının yeni temposunu ve taktiklerini etkinleştirdiğini söyledikleri dört farklı izinsiz giriş örneğine işaret ediyor.
Bir örnekte, GRU bilgisayar korsanlarının, Ocak ayında bir hedef ağda yer edinmek için ProxyShell olarak bilinen Microsoft Exchange sunucularındaki güvenlik açığından yararlandıklarını ve ardından savaşın başlangıcında, sadece bir sonraki ay bir silecek ile bu organizasyonu vurduklarını söylüyorlar. Başka bir durumda, GRU davetsiz misafirleri, Nisan 2021’de bir kuruluşun güvenlik duvarını tehlikeye atarak erişim elde etti. Savaş Şubat ayında başladığında, bilgisayar korsanları bu erişimi kurban ağın makinelerine karşı bir silecek saldırısı başlatmak için kullandılar ve ardından, güvenlik duvarı aracılığıyla erişimi sürdürdüler. fırlatmalarına izin verdi bir diğer sadece bir ay sonra örgüte yönelik silecek saldırısı. Haziran 2021’de Mandiant, GRU’nun Şubat ayında bir silecek saldırısıyla vurmuş olduğu bir kuruluşa geri döndüğünü, çalınan kimlik bilgilerini kullanarak Zimbra posta sunucusuna giriş yaptığını ve görünüşe göre casusluk için yeniden erişim sağladığını gözlemledi. Dördüncü bir vakada, geçen baharda, bilgisayar korsanları, savaşın başlangıcında kötü amaçlı yazılımla bu ağa çarptıktan sadece aylar sonra, ağlarına gizli bir arka kapı oluşturmalarına izin veren GRE tüneli olarak bilinen bir teknikle bir kuruluşun yönlendiricilerini hedef aldı.