Kimlik Avı Koruması, DMARC, Siber Savaş / Ulus Devlet Saldırıları, Uç Nokta Güvenliği
Silecekler ve Kimlik Avı Saldırıları 2022’de Hızla Arttı
Daha Fazla (AnvikshaDevamı) •
16 Şubat 2023
Rus devlet bilgisayar korsanları, 2022’nin ilk dört ayında Ukrayna’yı Google ve Mandiant güvenlik araştırmacılarının son sekiz yılda tespit ettiğinden daha fazla yıkıcı kötü amaçlı yazılımla alt üst etti.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
Google’ın Tehdit Analizi Grubu’ndan ve artık Google’ın bir parçası olan Mandiant’tan araştırmacılar bir raporda, saldırıların Moskova’nın Kiev’e olan güveni baltalama girişimleri olduğunu ve daha yavaş bir hızda ve daha az metodik görünen bir modelde de olsa gerçekleşmeye devam ettiğini söylüyorlar. Rusya’nın Ukrayna’yı fethetme girişiminin siber uzay boyutunu gözden geçirmek.
Savaşın dış gözlemcileri, Rusya’nın Ukrayna’daki siber operasyon odağının istihbarat toplamaya kaydığını söylediler; bu, Google ve Mandiant tarafından bir şekilde eşleşen bir sonuç. İki Google biriminden araştırmacılar, veri hırsızlığı ve veri silme dahil olmak üzere birden çok stratejik amaca hizmet etmek üzere tasarlanmış siber olaylarda artış gördüklerini söylüyor.
Raporda, “Pek çok operasyon, GRU’nun, faaliyetin her aşamasında rekabet eden erişim, toplama ve kesinti önceliklerini dengeleme girişimini gösterdi” diyor. GRU, adı Ana İstihbarat Müdürlüğü olarak tercüme edilen askeri casusluk teşkilatının Rusça kısaltmasıdır.
Vahşi doğada tespit edilen yeni siliciler, Ukrayna siber savunmasının ayırt edici özelliği oldu ve rapor, Mandiant’ın daha önce bilinmeyen, bazılarının birden fazla varyantı olan altı yıkıcı uygulama gözlemlediğini söylüyor.
Sonuç olarak, yıkıcı siber saldırı dalgası, önceki Rus siber saldırıları kadar etkili görünmüyor. 2015 ve 2016’da Rus bilgisayar korsanları, genellikle Sandworm olarak bilinen GRU bilgisayar korsanlığı grubuna atfedilen bir faaliyet olan Ukrayna’nın elektrik şebekesini bozdu.
Google, Sandworm’u FrozenBarents olarak izler. Rapora göre grup başarılı oldu. Raporda, saldırının, başlangıçta Ukrayna ordusu tarafından kullanılan ve Rusya’nın insansız hava araçlarını devre dışı bırakmasının ardından aniden ortadan kaybolan bir Türk insansız hava aracı üreticisini hedef aldığı belirtiliyor.
Kimlik avı, belirgin bir ilk erişim vektörüdür. Çoğunlukla Ukrayna dışına yayılma etkisi göstermeyen yıkıcı saldırıların aksine, Rus kimlik avı girişimleri Ukrayna içinde ve NATO ülkelerinin sınırları içinde hızla arttı.
Rapora göre, 2020 ile karşılaştırıldığında, geçen yılın verileri Ukrayna’daki kullanıcıları hedef alan kimlik avı e-postalarında %250, NATO ülkelerinde ise %300’den fazla artış gösteriyor. Rapor, Google’ın Pushcha olarak izlediği, Beyaz Rusya’da bulunan ancak Kremlin’le yakından bağlantılı bir grup tarafından gerçekleştirilen kimlik avı saldırılarını içeriyor.
ColdDriver, Seaborgium ve TA446 olarak bilinen bir grup tarafından gerçekleştirilen bir kimlik avı kampanyası, Birleşik Krallık’taki bazı önde gelen isimlerin Proton e-posta hesaplarını hedef aldı ve saldırganlar daha sonra kamuoyunu şekillendirmek amacıyla bilgi sızdırdı. Bir web sitesi, Brexit’in önde gelen birkaç savunucusundan sızdırılmış e-postalar yayınladı ve bunların Birleşik Krallık’ta gizlice kararlar aldıklarını öne sürdü.
Faaliyetlerdeki sıçramanın arkasında, Rus askeri istihbarat bilgisayar korsanlarının odaklarının Ukrayna’ya kayması ve oradaki çabalarının yoğunlaşması var. Rapor, FrozenVista olarak takip edilen ve aynı zamanda UNC2589 olarak tanımlanan nispeten yeni bir GRU grubunun 2021 baharında Ukrayna’da aktif hale geldiğini söylüyor. Rusya, Ukrayna sınırına asker yığmaya başladığında, Ukrayna’daki yaklaşık 2.000 hedefe kimlik avı e-postaları gönderdi. çoğunlukla hükümet veya ordudaki bireyler. Raporda, Ocak ayında Ukrayna devlet kurumlarına karşı “bir ön saldırı olmuş olabilecek” veri silicileri konuşlandırıldığı belirtiliyor.
Rusya’nın fetih savaşındaki kayda değer bir gelişme, her iki tarafta da bilgisayar korsanlığının artması oldu. Bazı grupların çalınan verileri sızdırmasına rağmen, kendilerini Kremlin yanlısı veya Kiev yanlısı ilan eden faaliyetlerin çoğu, dağıtılmış hizmet reddi saldırıları şeklinde gerçekleşti. Mandiant, bu Rus gruplarının – XakNet Team, Infocentr ve CyberArmyofRussia_Reborn – Google’ın FrozenLake olarak izlediği Rus hükümeti hacker grubu ile operasyonları koordine ettiğini “ılımlı bir güvenle” değerlendiriyor. Grup ayrıca Fancy Bear, APT28 ve Stronsiyum olarak da bilinir.
Rapora göre, Kremlin yanlısı DDoS grubu KillNet’in Rus istihbaratıyla bağlantılı olduğuna dair doğrudan bir kanıt yok.