Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırıların Arkasında UAC-0056 Olarak İzlenen Tehdit Aktörü
Bay Mihir (MihirBagwe) •
24 Şubat 2023
Rus bilgisayar korsanları, yaklaşık iki yıl önce yerleştirilmiş bir arka kapıyı kullanarak Perşembe sabahı birkaç Ukrayna devlet web sitesini ihlal etti ve değiştirdi.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi, olayın önemli bir aksamaya neden olmadığını söyledi. Ancak en geç 23 Aralık 2021’de oluşturulan ve resmi bir web sitesinin sunucusunda saklanan şifreli bir web kabuğunun keşfi, birkaç ek arka kapıyı ortaya çıkaran bir soruşturmaya yol açtı.
SSSCIP Perşembe günü yaptığı açıklamada, “Şu anda, olayın devlet organlarının işlevlerinin performansını etkilemediği söylenebilir. Çoğu bilgi kaynağının çalışması zaten eski haline getirildi ve normal çalışıyorlar.”
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi, saldırıları SSSCIP, Ukrayna Güvenlik Servisi ve ülkenin Siber Polisi ile koordineli olarak araştırıyor. Bulguları, bilgisayar korsanlarının UAC-0056 olarak izlenen bir gruba ait olduğunu belirledi ve web kabuğunu Çarşamba gecesi geç saatlerde etkinleştirdiklerini söyledi. Bilgisayar korsanları, bir web kabuğu oluşturmak için web kabuğunu kullandı. index.php kök web dizinindeki dosya.
UAC-0056, SaintBear, UNC2589 ve TA471 olarak da bilinir. Grup, en az 7 Mart 2021’den beri aktif ve Ukrayna ve Gürcistan hükümet kuruluşlarına ve kritik altyapıya yönelik saldırılar gerçekleştirdi. Siber güvenlik firması Rapid7’s, grubun faaliyetlerinin Kremlin ile uyumlu olduğunu değerlendiriyor, ancak grubun devlet destekli olduğuna dair hiçbir kanıt yok.
Soruşturma ayrıca üç arka kapının varlığını ortaya çıkardı: CredPump, HoaxPen ve HoaxApe. Bilgisayar korsanları, Şubat 2022’de bir Apache web sunucusu modülü kılığında HoaxPen ve HoaxApe’i kurdu.
CERT-UA, grubun HoaxPen arka kapısını teslim etmek için saldırının ilk aşamalarında Go Simple Tunnel ve Ngrok gibi güvenlik tünellerini kullandığını ortaya çıkarsa da, tehdit aktörü tarafından kullanılan ilk erişim vektörü belirsizdir.
Güvenlik araştırmacıları, aynı tehdit aktörünü 2022 baharında, kimlik avı e-postaları aracılığıyla gönderilen kötü amaçlı bir Excel dosyasını kullanarak kötü amaçlı yazılım türevlerini dağıtırken tespit etti (bkz: Excel Kullanarak Kötü Amaçlı Yazılım Dağıtan Siber Casusluk Aktörü).