Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Araştırmacılar, Rusya’nın İstila Taktikleri arasında Sahte Hacktivist Gruplar Oluşturmayı da İçeriyor
Mathew J. Schwartz (euroinfosec) •
19 Nisan 2023
Araştırmacılar, Rus hükümetinin Ukrayna’yı işgalini desteklemek için hack-and-leak çabaları da dahil olmak üzere bir dizi kimlik avı saldırısı ve bilgi operasyonu kullanmaya devam ettiğini bildirdi.
Ayrıca bakınız: Ateşkes! Çeviklik ve Güvenlik, Bulut Güvenliğinde “Birlikte Daha İyi” Çalışan Ortaklık Buluyor
Google’ın Mandiant olay müdahale grubu yöneticilerinden Jurgen Kutscher bir blog gönderisinde, Rus hükümetinin askeri ve istihbarat siber güçlerinin Ukrayna’ya karşı aktif olmaya devam ettiğini ve saldırganların “kritik altyapıyı bozmaya çalışırken aynı zamanda anlatıyı etkilemeye çalıştıklarını” söyledi. .
Google’ın Tehdit Analizi Grubundan araştırmacılar, bu yılın ilk çeyreğinde Rusya tarafından başlatılan gözlemlenen kimlik avı saldırılarının %60’ının Ukrayna’daki kullanıcıları hedef aldığını bildirdi. E-posta yoluyla yapılan kimlik avı saldırıları bazen yem olarak sahte Windows güncellemelerini kullanır. Hedefler ayrıca SMS yoluyla iletilen kimlik avı sitelerine bağlantılar aldı. Saldırganlar, bilgi çalan kötü amaçlı yazılım indirerek başarılı saldırıları takip etti ve bu, tarayıcı tanımlama bilgileri dahil olmak üzere verilerin ve kimlik bilgilerinin çalınmasına yol açtı (bkz.: Kimlik Avı Kampanyası, Rusya Bağlantılı Siber Casuslukla Bağlantılı).
Google’ın kısa bir süre önce bildirdiğine göre, geçen yıl Rusya tarafından başlatılan çevrimiçi saldırı türlerine kimlik avı hakim oldu (bkz: Ukrayna, Rus Siber Saldırılarının Seline Dayanıyor).
Araştırmacılara göre, silici saldırılar 2022’nin başında hızla artarken, Rusya’nın 24 Şubat 2022’de işgalini yoğunlaştırmasından kısa bir süre sonra düşüşe geçti ve görünüşe göre Rusya’nın GRU askeri istihbarat teşkilatının birincil bilgisayar korsanlığı rolü oynadığı artan siber casusluk faaliyetlerine yol açtı. .
Mandiant yeni bir raporda, “Ukrayna’daki savaşın başlangıcından bu yana, GRU, Ukrayna’daki kilit hizmetlere ve kuruluşlara yönelik art arda ve neredeyse sürekli siber casusluk ve bozma kampanyaları yürütmeye çalıştı.” Dedi. “Hedeflenen kuruluşlara yönelik bu erişim ve bunlara karşı eylem dengesi, yönlendiriciler ve diğer internete bağlı cihazlar gibi uç altyapının tehlikeye atılmasına dayanır.”
Google, bu siber operasyon ve casusluk çabalarının birçoğunu GRU’nun Sandworm grubu, diğer adıyla Telebots, Voodoo Bear, Iron Viking ve FrozenBarents ile ilişkilendirir. Sandworm’un saldırı yetenekleri arasında “kimlik bilgileri kimlik avı, mobil etkinlik, kötü amaçlı yazılım, hizmetlerin harici istismarı ve ötesi” yer alırken, hedef seçimi genellikle hükümet, savunma, enerji, ulaşım/lojistik, eğitim ve insani yardım dahil olmak üzere Rus istihbaratının ilgilendiği sektörlere odaklanıyor. kuruluşlar,” dedi Google.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın 2020’de bildirdiğine göre Sandworm, en az Nisan 2019’dan beri posta sunucularının kontrolünü ele geçirmek için Exim posta aktarım aracı yazılımındaki güvenlik açıklarından yararlanmaya başladı.
Google, bu Exim MTA hedefleme saldırılarının devam ettiğini ve “tehlikeye atılan ana bilgisayarların kurban ağlarına eriştiği, kurban hesaplarıyla etkileşime girdiği, kötü niyetli e-postalar gönderdiği ve bilgi operasyonları faaliyetlerinde bulunduğu gözlemlendi” dedi.
Süslü Ayı Saldırıları
Rusya-Ukrayna savaşı sırasında, bir dizi saldırıya bağlı başka bir GRU bilgisayar korsanlığı ekibi, APT28, diğer adıyla Fancy Bear, FrozenLake ve Strontium’dur. Araştırmacılar, grubun saldırılarının bu yıl devam ettiğini ve genellikle bilinen güvenlik açıklarından yararlandığını söyledi.
Salı günü yayınlanan ortak bir uyarıda, ABD ve İngiltere hükümet kurumları, APT28’in “kötü yapılandırılmış ağlardan yararlandığı ve kötü amaçlı yazılım dağıtmak ve dünya çapındaki Cisco yönlendiricilerine erişmek için bilinen bir güvenlik açığından yararlandığı gözlemlendi” uyarısında bulundu. Yetkililer, saldırıların 2017’de yamalanan bir güvenlik açığından yararlanarak ABD’li, Avrupalı ve Ukraynalı kurbanları, en azından 2021 gibi yakın bir tarihte, öncelikle keşif amacıyla bir araya topladığını söyledi.
Google, yılın başından bu yana, grubun kurbanları hedeflemek için kimlik avı e-postaları kullandığını ve kurbanları yönlendirmek için bir web uygulamasından kötü amaçlı bir komut dosyasını bir kullanıcının tarayıcısına yansıtmayı içeren siteler arası komut dizisini yansıttığını gördüğünü söylüyor. kimlik bilgilerini çalmak için tasarlanmış canlı kimlik avı etki alanları. Çoğu durumda, araştırmacılar bu etki alanlarının güvenliği ihlal edilmiş Ubiquiti ağ cihazlarında barındırıldığını tespit etti.
Hacktivistlerin Etkisi Abartılı
Ukrayna Devlet Siber Koruma Merkezi bu tür gruplara bağlı saldırıların azaldığını bildirmesine rağmen, Hacktivist gruplar da Rusya’nın siber operasyonlar taktik kitabının bir parçası olmaya devam ediyor.
2022’nin sonuna kıyasla, bu yılın ilk çeyreğinde “Rus yanlısı bilgisayar korsanlığı grupları tarafından ticari, mali, hükümet ve yerel makamlar ile güvenlik ve savunma sektörlerini hedef alan saldırıların sayısı önemli ölçüde azaldı” O buldu.
“Aynı zamanda, enerji ve medya sektörlerini hedef alan siber saldırıların yoğunluğu aynı seviyede kalıyor” ve Rusya yanlısı ve Batı karşıtı bir anlatıyı ilerleten bilgi operasyonlarının gücünü koruduğu belirtildi.
KillNet gibi Rus yanlısı bilgisayar korsanlığı grupları bağımsız olduklarını iddia ederken, uzmanlar en azından bazılarının hükümet cephesi olduğunu söylüyor. Çarşamba günü Google, Instagram, YouTube ve Telegram kanallarını işleten böyle bir grubu – CyberArmyofRussia, diğer adıyla CyberArmyofRussia_Reborn – GRU’ya bağladığını bildirdi. Kişinin Telegram kanalı, Ukrayna’dan çalınan verileri sızdırmak ve dağıtılmış hizmet reddi saldırıları için hedefler göndermek için düzenli olarak kullanıldı.
Araştırmacılar, bilgisayar korsanlığı yapan grupların (hükümet tarafından yönetilen veya başka türlü) çatışma üzerindeki gerçek etkisinin, en azından bilgisayar korsanlığı yoluyla, minimum düzeyde kaldığını söylüyor.
Recorded Future’da ortak bir tehdit istihbarat analisti olan Alexander Leslie geçen ay Information Security Media Group’a verdiği demeçte, “Hacktivist gruplar Rusya’nın siber yeteneklerini artırmada gerçekten başarısız oldular.”
“Bu grupların bazılarının Rus ulus-devlet bilgisayar korsanlarına atfedilmesi” ve getirebilecek potansiyel bilgisayar korsanlığı gücü göz önüne alındığında bile, bilgisayar korsanı grupların bilgi operasyonlarını desteklemekten biraz daha fazlasını yapmış gibi göründüğünü söyledi.