Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Rus devlet bilgisayar korsanlarının bu hafta Aralık 2021’e kadar uzanan arka kapıları kullanarak birden fazla hükümet web sitesini ihlal ettiğini söyledi.
CERT-UA, Perşembe sabahı saldırıya uğramış web sitelerinden birinde tehdit aktörlerinin (UAC-0056, Ember Bear veya Lorec53 olarak izlenen) ek kötü amaçlı yazılım yüklemek için kullandıkları bir web kabuğu keşfettikten sonra saldırıları tespit etti.
CERT-UA’ya göre bu web kabuğu Aralık 2021’de oluşturuldu ve bir yıl önce Şubat 2022’de CredPump, HoaxPen ve HoaxApe arka kapılarını dağıtmak için kullanıldı.
Tehdit aktörleri, saldırılarının ilk aşamalarında HoaxPen arka kapısını konuşlandırmak için GOST (Go Simple Tunnel) ve Ngrok araçlarını da kullandı.
Ukrayna’nın siber güvenlik savunma ve güvenlik kurumu SSSCIP Perşembe günü yaptığı açıklamada, “Bugün, 23 Şubat’ta, Ukrayna merkezi ve yerel makamlarının bazı web sitelerine yönelik bir saldırı tespit edildi ve bu saldırı, bazı web sayfalarının içeriğinin değiştirilmesine neden oldu.”
“Şu anda, Ulusal Siber Güvenlik Koordinasyon Merkezi bünyesindeki Birleşik Müdahale Ekibi çerçevesinde, SSSCIP, Ukrayna Güvenlik Servisi ve Siber Polis uzmanları, siber olayı izole etmek ve araştırmak için birlikte çalışıyor.
SSSCIP, olayın Ukrayna kamu makamlarının işleyişini etkileyecek “temel sistem arızalarına veya kesintilerine” neden olmadığını da sözlerine ekledi.
Bu haftaki olayın arkasındaki grup olan Ember Bear, en az Mart 2021’den beri aktif ve arka kapılar, bilgi hırsızları ve öncelikli olarak kimlik avı e-postaları aracılığıyla gönderilen sahte fidye yazılımları ile Ukraynalı kuruluşları hedef almaya odaklanıyor.
Ancak, operatörlerinin Kuzey Amerika ve Batı Avrupa kuruluşlarına yönelik saldırılar düzenlediğinden de şüpheleniliyor.
APT grubunun, Aralık 2021’den itibaren Ukrayna’da kimlik avı kampanyalarını ve ağ gizliliği çabalarını artırdığı tespit edildi.
Ayrıca kimlik avı e-postaları ile Gürcistan devlet kurumlarını hedef alırken tespit edildiler ve saldırıları Rus devletinin çıkarlarıyla koordinasyon ve uyum sağladı.
Geçen ay, CERT-UA, CaddyWiper veri silme kötü amaçlı yazılımıyla ülkenin ulusal haber ajansına (Ukrinform) yönelik Rus Sandworm askeri bilgisayar korsanlığı grubuyla bağlantılı başka bir siber saldırıyı ifşa etti ve bu saldırı operasyonlarını etkilemedi.
Aynı grup, Nisan 2022’de büyük bir Ukraynalı enerji sağlayıcısına karşı başarısız olan başka bir saldırıda CaddyWiper kötü amaçlı yazılımını kullandı.