Ukrayna’da siber savaş artık sadece kod ve sunucular değil. Bu cephe altyapısı, psikolojik savaş ve kinetik saldırılar bir araya geldi. Ukrayna’nın H2 2024’teki siber olaylar için son raporunun bilgisayar acil müdahale ekibine göre, Rusya destekli bilgisayar korsanları taktiklerini yükseltti: daha agresif, daha otomatik ve yerdeki askeri eylemle çok daha koordineli.
İzole siber saldırıların yanılsaması çoktan gitti. Ukrayna’nın şu anda karşılaştığı şey dijital kuşatma savaşı.
Hacim yukarı, gizli aşağı
CERT-UA, sadece H2 2024’te 2.576 siber olayla işledi-önceki yarıdan% 48’lik bir sıçrama. Ancak toplam olay sayısı hızla yükselirken, kritik ve yüksek şiddetli olaylar%77 düştü. Bu, daha düşük risk değil, daha iyi saldırı gizlemesini yansıtabileceğini anlayana kadar ilerleme gibi görünüyor.
Kötü amaçlı yazılım oyun kitabı da değişiyor. Kötü amaçlı yazılım dağıtım kampanyalarında% 112’lik bir artış oldu ve kimlik avı giderek daha fazla sanayileşti. Birçok durumda saldırganlar, kötü amaçlı yazılım barındırma için Google Drive ve GitHub gibi bulut hizmetlerini kullandılar – meşru altyapıyı tehdit vektörlerine dönüştürdüler.
Enerji sektörü: kalıcı bir bullseye
Rusya’nın tutarlı olduğu bir şey varsa, Ukrayna’nın enerji şebekesine olan takıntıları. CERT-UA, siber saldırıların, siber kinetik savaşla birleştiren koordineli bir modelin ardından, artık füze grevlerinden önce olduğunu doğrular. Bu saldırılar, daha önce tehlikeye atılan OT altyapısını yeniden kullanan ve daha zayıf savunma ile tedarik zinciri satıcılarını hedefleyen tehdit aktörleri ile uzun vadeli projelerdir-genellikle 6 ila 8 aydan fazla bir süredir-.
Bu sadece casusluk değil. Bu sabotaj.
Savunma Hedefleri ve Askeri Cihazlar: Artık dokunulmaz değil
Ordu artık sadece bir hedef değil, aktif bir savaş alanı. Personel ve savunma firmalarına karşı FirmAchagent ve Spectr gibi eski araç setleri gibi yeni kötü amaçlı yazılım varyantları konuşlandırıldı. Bu implantlar GPS koordinatlarından sinyal kimlik bilgilerine kadar her şeyi çaldı.
CERT-UA, askeri iletişimi, dosya paylaşımlarını ve hatta gözetim sistemlerini hedefleyen UAC-0020 (Vermin) ve UAC-0180 gibi birden fazla kümeyi izledi. Bir örnekte, rakipler meşru savaş alanı yazılımının sahte mobil versiyonları olarak gizlenmiş kötü amaçlı yazılımlar sunarak dahili sistemlere verilen güveni kullandı.
Ayrıca okuyun: Vermin Hackers, Spectral kötü amaçlı yazılımlarla Ukrayna Savunma Kuvvetlerini hedeflemek için yeniden ortaya çıktı
Enfeksiyon zinciri acımasızca verimli idi: sinyal mesajları, klonlanmış uygulamalara enjekte edilen java kodu, enfekte telefonlar üzerinde uzaktan kumanda. İçeri girdikten sonra, saldırganlar sadece veri toplamak değil, savaş alanı sonuçlarını şekillendiriyorlardı.
Silahlı bir alan olarak sivil altyapı
Ukrayna Adalet Bakanlığı devlet kayıtlarının Aralık ayında ihlali sadece hizmetleri geciktirmedi. Pasaport ihraçını dondurdu, mülk işlemlerini durdurdu ve sınır geçişlerini bozdu. Sivil sistemlerin stratejik etki ile nasıl saldırı vektörleri olabileceğine dair bir ders kitabı gösterdi.
Siber saldırı sadece kullanıcıları rahatsız etmedi. Ulusal işlevleri felç etti – modern devletler için dijital altyapının statecraft olduğunu vurguladı.
Tedarik zincirleri: yeni yumuşak hedef
Enerji ve savunma sektörleri sertleşirken, saldırganlar daha yumuşak giriş noktalarına dönüyor: satıcılar. Birkaç kampanya, Geoserver (CVE-2024-36401) ve Winrar (CVE-2023-38831) gibi üçüncü taraf yazılımlarda açılmamış güvenlik açıklarından yararlandı ve örgütleri arka kapı bağımlılıkları yoluyla uzlaştırdı.
CERT-UA, tedarik zinciri müdahalelerinin istisna değil, artık norm olduğu konusunda uyarıyor. Tehdit aktörleri, erişimlerini ölçeklendirmek için güven ilişkilerini ele geçirmeyi öğreniyorlar. Solarwinds’i düşünün, ancak yerel ve devam eden.
Rusya’nın Uygun Kümeleri: Aynı İsimler, Yeni Hileler
UAC-0001 (APT28) ve UAC-0050 gibi tanıdık tehdit aktörleri güncellenmiş oyun kitaplarıyla geri döndü. QR kodlu kimlik avı kampanyaları, PowerShell yükleri sunan sahte captchas ve arşiv tabanlı istismarlar eski VBS tabanlı kötü amaçlı yazılımların yerini aldı. Evrim kavramda değildi – teslimattaydı.
Ayrıca okuyun: Rus hackerlar tarafından yerel Ukrayna hükümetini hedeflemek için trojanize edilen ‘Robot değilim’ Recaptcha
Bu arada, UAC-0185 (UNC4221) sinyal, telgraf ve savaş alanı koordinasyon uygulamalarını hedefleyen kimlik bilgisi çalma kampanyaları yürüttü. Yükleri, teknik teslimat kadar sosyal mühendisliğe dayanarak konferans davetiyeleri veya meşru yazışmalar olarak gizlediler.
Bunlar püskürtme ve per-pahalı işlemler değildir. Askeri hassasiyette mızrak kimlik avı.
Ayrıca okuyun: Rus devlet destekli bilgisayar korsanları sinyal messenger hesaplarına yönelik saldırıları yoğunlaştırdı
Tespitin yeniden düşünülmesi: Nispin öncesi istihbarat davası
Ukrayna’nın savunucuları sadece tepki vermiyor. CERT-UA, birçoğu uluslararası destekle konuşlandırılan büyüyen bir sensör ve analiz platformu ağı oluşturdu. Birkaç saldırı “yakın özledim” olarak sınıflandırıldı-erken tehdit görünürlüğü sayesinde orta yürütme.
Ancak zorluk ölçek. Açıklamadan sonraki 12 ila 24 saat içinde sıfır günlerden yararlanan rakipler, yamadaki dakika gecikmeleri bile felaket olabilir. Tek sürdürülebilir savunma beklentidir: tehdit avı, telemetri paylaşımı ve proaktif düşman haritalaması.
Bilgi-psikolojik operasyonlar: Sessiz cephe
Arka kapıların ve farelerin ötesinde daha ince bir savaş yatıyor. Rusya’nın siber stratejisi IPSO-bilgi-psikolojik operasyonlar içeriyor. Bunlar, siviller ve hizmet üyeleri arasında korku, panik veya şüphe uyandırmayı amaçlamaktadır. Botlu saldırılar bile sisteme güveni sarsarlarsa bir amaca hizmet eder.
CERT-UA, özel verileri dışarı atmak ve dezenformasyon için silahlandırmak için tasarlanmış bireyleri Sinyal ve WhatsApp aracılığıyla hedefleyen devam eden kimlik avı girişimlerini teyit eder. Bu melez savaşta, siber saldırı ve propaganda arasındaki çizgi kasıtlı olarak bulanıktır.
Klavyede bitmeyen siber savaş
Rapor bir şeyi acı verici bir şekilde netleştiriyor: Ukrayna’nın siber savaş alanı kod veya güvenlik duvarlarıyla sınırlı değil. Telefonlar, pasaportlar, elektrik ve moral. Her tehlikeye atılan kayıt defteri, sahte mobil uygulama veya kaçırılmış satıcı hesabı, ulusal esnekliği aşındırmak için daha geniş bir çabanın bir parçasıdır.
Şimdi 2025’te soru saldırıların devam edip etmeyeceği değil – savunucuların düşmanların geliştiğinden daha hızlı adapte olup olamayacakları.
Bu gerçek silah yarışı.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.