Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Sandworm Group Hacker’ları Siber Güvenlik Basın Brifingini Bozmak İçin Kötü Amaçlı Yazılım Silicileri Kullandı
Bay Mihir (MihirBagwe), Prajeet Nair (@prajeetspeaks) •
28 Ocak 2023
Ukrayna, ülkenin bilgi koruma dairesinin Salı günü Rus Sandworm bilgisayar korsanlarına verdiği basın brifingini geciktiren bir siber saldırının izini sürdü. Müfettişler, Ukrayna ulusal Medya Merkezini bozmak için silici kötü amaçlı yazılım kullanmakla suçlanan grubun Rus GRU ile yakın bağları olduğunu söylüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Devlet Özel İletişim ve Bilgi Koruma Servisi ile birlikte yürütülen bir soruşturmada Ukrayna Bilgisayar Acil Durum Müdahale Ekibinden müfettişlere göre, saldırıda Rus bilgisayar korsanlarına bağlı beş tür kötü amaçlı yazılım kullanıldı: CaddyWiper, ZeroWipe, SDelete, AwfulShred ve BidSwipe.
Ülkenin ulusal haber ajansı ve medya merkezi Ukrinform, Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi başkanı Yurii Shchyhol tarafından geçen hafta düzenlenen basın toplantısında İnternet bağlantı sorunları yaşamaya başladı.
CERT-UA uzmanları, saldırganların CaddyWiper ve ZeroWipe yıkıcı kötü amaçlı yazılımlarının yanı sıra meşru bir SDelete yardımcı programını kullanarak kullanıcı iş istasyonlarının normal çalışmasını bozmak için başarısız girişimlerde bulunduğunu söylüyor.
CERT-UA yaptığı açıklamada, “Aynı zamanda, merkezi kötü amaçlı yazılım dağıtımı için bir grup ilkesi nesnesi kullanıldı. Karşılık gelen zamanlanmış görevlerin oluşturulmasını sağladı.”
Kesilen Basın Toplantısı
Shchyhol, Rusya’nın hibrit savaşının ayrıntılarını, ülkenin bilgi altyapısını yok etme amacını ve Moskova’nın Ukrayna’nın kritik altyapısına yönelik füze saldırılarının başlangıcı olarak siber saldırıları kapsamlı bir şekilde kullanmasını tartışmak üzereydi (bkz.: Ukrayna: Ruslar Bilgi Altyapısını Yok Etmeyi Hedefliyor).
Bunun sonucunda tüm çevrimiçi yayınlar 15 dakika süreyle kesintiye uğradı, ancak SSSCIP ekibi bağlantıları hemen geri yüklemeyi başardı ve ardından medya merkezi planlanmış faaliyetlerine devam etti.
Medya merkezi saatler sonra yaptığı açıklamada siber saldırıyı Rusya’ya bağladı. Basın brifinginin devamında Shchyhol, “Rus hackerların tek yapabildikleri brifingimizin başlamasını 15 dakika geciktirmek oldu. Aynı şekilde yaptıklarıyla ülkelerinin sonunu geciktiriyorlar. Bu kesinlikle olacak.” yakın gelecek.”
Rusça konuşan bir Telegram kanalı “CyberArmyofRussia_Reborn”, teknik sorunların ilk kez yaşanmasından sadece birkaç dakika sonra, Salı günü öğle saatlerinde saldırının sorumluluğunu üstlendi. CERT-UA, Telegram kanalının DDoS saldırıları ve web sitesi tahrifatı hakkındaki tipik mesajlara ek olarak Sandworm grubunun yıkıcı faaliyetlerini defalarca yayınladığını söylüyor.
CERT-UA, tehdidin derhal yerelleştirilmesiyle siber saldırının önlendiğini söylüyor.
Ajans ayrıca siber saldırının, özellikle etkilenen sınırlı sayıda veri depolama sistemiyle ilgili olarak yalnızca kısmi bir başarı olduğunu vurguluyor.
Sandworm Hacker’ları
Sandworm bilgisayar korsanlarının kurbanları hedef almak için ORCSHRED, SOLOSHRED, AWFULSHRED ve en popüler olan Industroyer gibi çeşitli kötü amaçlı yazılım ailelerini kullandıkları geleneksel olarak bilinir.
Grubun Aralık 2016’da Industroyer kötü amaçlı yazılımını kullanarak Ukrayna’nın elektrik şebekesini hedef aldığı biliniyor ve Nisan 2022’de gelişmiş Industroyer2 varyantı ile geçmişi tekrarlamak üzereydi, ancak yürütmeden önce zamanında durdurulmak üzere (bkz:: Rusya Bağlantılı Kum Solucanı Ukrayna Enerji Tesisine Saldırdı).
Bu saldırının analizi sırasında siber güvenlik firması ESET, adından da anlaşılacağı gibi bir veri silecek olan Caddywiper kötü amaçlı yazılımını da buldu. ESET, grubun bu kötü amaçlı yazılımı Windows işletim sisteminde çalışan bilgisayarları hedeflemek için kapsamlı bir şekilde kullandığını söyledi.
ESET araştırmacıları, kötü amaçlı yazılımın iki versiyonunun olduğunu da söyledi: Birincisi, endüstriyel kontrol sistemi konsollarının kontrolünü yeniden ele geçirme girişimlerini yavaşlatan ve ikincisi, saldırganların hedefin ağının önceden kontrolüne sahip olduğunu gösteren Grup İlkesi Nesnesi aracılığıyla dağıtılan ESET araştırmacıları. dedim.
CERT-UA’nın medya merkezine yapılan son siber saldırıyla ilgili ilk analizi, saldırganların benzer bir taktik kullandığını söylüyor: “CaddyWiper kötü amaçlı programı, GPO kullanarak bilgilerin bütünlüğünü ve kullanılabilirliğini ihlal etmek için merkezi olarak başlatıldı.” Bu ve diğer teknikler ve prosedürler, CERT-UA’nın siber saldırıyı UAC-0082 veya Sandworm grubuna atfetmesine yardımcı oldu.
CERT-UA, Bilgi Güvenliği Medya Grubunun, Sandworm grubunun basın toplantısı sırasında saldırıyı zamanlamak için Medya Merkezinin ağına ne kadar önceden erişim sağladığına ilişkin ek ayrıntılar talebine yanıt vermedi.