Rusya ile Ukrayna arasındaki kinetik savaş devam ederken, siber uzayda da bilgisayar korsanlarının kritik altyapıyı, devlet kurumlarını ve bireysel hizmet personelini hedef aldığı paralel bir savaş yürütülüyor.
Siber kampanyalar, kişisel verileri tehlikeye atma ve Signal ve Telegram gibi güvenli iletişim kanallarına sızma çabalarıyla birlikte, Ukrayna savunmasını zayıflatmak ve anlaşmazlıkları ekmek için casusluk, aksaklık ve sosyal mühendisliğe odaklanıyor.
Gamaredon gibi gelişmiş kalıcı tehdit (APT) grupları da dahil olmak üzere Rusya bağlantılı siber aktörler, Rusya’nın 2022’de Ukrayna’yı işgalinden bu yana saldırılarını yoğunlaştırdı.
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi’nin (SSSCIP) Eylül ayına göre, Ukrayna’nın siber güvenliği artırma çabalarına rağmen Rus bilgisayar korsanları araçlarını geliştirmeye devam ediyor ve Rusya’nın siber savaş taktikleri çeşitli ve kalıcı. rapor.
Bunlar iki devlet arasındaki siber savaşın en son örneklerinden sadece birkaçı. ek kötü amaçlı yazılım failleri ve siber saldırı birimleri dahil Kum kurdu (diğer adıyla APT44)çoğalmaya devam ediyor.
Mesajlaşma Uygulamaları Hizmet Üyelerini Hedefliyor
Yakın zamandaki bir kampanya şunları içeriyor: Rusya uyumlu UAC-0184 grubu Signal dahil olmak üzere mesajlaşma uygulamaları aracılığıyla Ukraynalı askeri personeli hedef alıyor.
Bilgisayar korsanları, tanıdık kişilerin kimliğine bürünerek, cihazlara kötü amaçlı yazılım bulaştırmak için savaş görüntüleri veya askere alma malzemesi gibi görünen kötü amaçlı dosyalar gönderiyor.
Google Cloud Mandiant Siber Casusluk Analizi yöneticisi Dan Black, akıllı telefonlar ve tabletler gibi yaygın teknolojilerin, ön saflardaki askeri personel için gerçek zamanlı istihbarat ve diğer kritik destek yetenekleri sağlayan temel araçlar haline geldiğini söylüyor.
“Fakat onların faydası her iki yolu da kesiyor” diye uyarıyor.
Böylesine değerli bir yetenek sağladıkları için, bu cihazlara nüfuz etmek, düşmana, ele geçirildiği takdirde hedefler için ciddi, hatta ölümcül sonuçlar doğurabilecek çeşitli hassas savaş alanı bilgilerine gizli bir mercek sağlayabilir.
BforeAI’nin tehdit araştırması başkanı Abu Qureshi, mesajlaşma uygulamaları aracılığıyla askeri personeli hedef alan hedefli siber saldırıların operasyonel güvenliği ciddi şekilde tehlikeye atabileceğini açıklıyor.
Kureshi, “Saldırganlar, iletişimleri engelleyerek veya güvenilir iletişim kanalları aracılığıyla kötü amaçlı yazılım dağıtarak, personelin fiziksel konumlarına ilişkin hassas verileri elde edebilir” diyor. “Bu, gerçek dünyada sonuçlara yol açabilir.”
DomainTools’un güvenlik danışmanı Malachi Walker, Rusya/Ukrayna savaşında görülen hedefli bir siber saldırının, ekibin finansal hizmet sektöründe gözlemlediği domuz kesme saldırılarına benzediğini, bir saldırganın kurbanıyla kişisel bir ilişki kurduğunu ekliyor. bir ödeme almak için bir süre boyunca güvenlerini kazanmak.
Walker, “Bu taktiğin mali kazanç yerine savaşta kullanıldığını görmek, askeri birliğin operasyonel güvenliğini etkiliyor” diye açıklıyor.
Mali amaçlı bir domuz kesme saldırısının yalnızca bir kurban bırakabileceğini, ancak bu tekniğin savaş ortamında kullanılmasının bütün bir asker grubunu tehlikeye atabileceğini söylüyor.
DoControl’ün kurucu ortağı ve CEO’su Adam Gavish, bu birliklerin çoğunun hassas istihbarat ve kritik sistemlere erişiminin özellikle endişe verici olduğunu söylüyor.
“Başarılı bir saldırı potansiyel olarak yalnızca bireysel askerleri değil, tüm askeri operasyonları veya stratejileri tehlikeye atabilir” diyor.
Tek bir ihlalin dalga etkisi birçok kişiye zarar verebilir ve bu kişiselleştirilmiş saldırıları özellikle tehlikeli hale getirebilir.
Gavish, “Bütün bunlar muharebe etkinliğini, hazırlığı ve genel askeri yetenekleri önemli ölçüde etkileyebilir” diyor.
Hedeflenen Rusça Konuşan Kullanıcılar
Bu sırada, DCRat Truva Atı oldu HTML kaçakçılığı yoluyla konuşlandırıldıBu, Rusça konuşan kullanıcıları hedeflemek için dağıtım yöntemlerinde bir değişikliğe işaret ediyor.
HTML kaçakçılığı teknikleri, saldırıları dosyalar gibi gizleme katmanları içine yerleştirerek geleneksel güvenlik önlemlerini atlayabilir ve çatışmalar sırasında kritik endüstriler için önemli bir tehdit oluşturabilir.
Walker, HTML kaçakçılığının kullanımının tehdit ortamındaki değişikliğin tek nedeni olmayabileceğini, ancak bunun ekibinin son iki yılda gözlemlediği devam eden bir değişikliğin göstergesi olduğunu açıklıyor.
“Siber saldırıların ve kötü amaçlı yazılımların, özellikle de üretken yapay zeka kullanımıyla kesişenlerin evrimi, tehdit aktörlerinin giriş engelini azaltarak daha fazla tehdide ve daha büyük saldırı hacmine yol açtı” diyor.
DCRat ve diğer benzer kötü amaçlı yazılımlar, elektrik şebekelerini, petrol boru hatlarını ve hatta nükleer tesisleri kontrol eden sistemlere sızarak herhangi bir ülkenin güvenliğini ciddi şekilde bozabilir. Walker, “Rusça konuşan kullanıcıları ve Rus şirketlerini hedef alma bağlamında, bu tür saldırıların diğer ülkelere ve şirketlere yayılan bir etkisi olabilir ve daha fazla güvensizliğe yol açabilir” diye ekliyor.
Kendisi, tüm Rus şirketlerine NATO müttefiki ülkeler tarafından yaptırım uygulanmadığını ve yaptırım uygulanmayanların, bu tehdit aktörlerinin etki alanlarını genişletmelerine olanak sağlayacağı için en çekici hedefler olabileceğini belirtiyor.
Bu etkiler, temel malların teslimatının gecikmesi ve enerji, sağlık hizmetleri, finansal hizmetler ve ulaşım gibi kritik sektörlerin tehlikeye atılması da dahil olmak üzere küresel bir etkiye sahip olabilir.
SlashNext Email Security+’ın saha teknoloji sorumlusu (CTO) Stephen Kowski, bu saldırı yönteminin geleneksel antivirüs çözümlerinin ötesine geçen daha karmaşık savunma stratejilerine olan ihtiyacı vurguladığını söylüyor.
“Bu kimlik avı tekniğine bakarken, dosya içindeki kötü amaçlı içeriğin canlı analizine ihtiyacınız var ve bu nedenle yalnızca imza tabanlı, akış tabanlı kimlik avı korumasına güvenemezsiniz” diye açıklıyor.
Ekledi endüstriyel kontrol sistemlerinin güvenliğinin sağlanması fiziksel saldırıları artırabilecek kesintilerin önlenmesinde çok önemlidir.
Kowski, “Düzenli güvenlik denetimlerini, ağ bölümlendirmesini ve sağlam erişim kontrollerini içeren kapsamlı bir yaklaşım, enerji altyapısının tedarik zinciri saldırılarına karşı korunmasına yardımcı olabilir” diyor.
Gamaredon için maç başlıyor
ESET rapor Geçtiğimiz ay yayınlanan dizide Ukrayna’nın en aktif gruplarından biri olan Gamaredon’un 2022 ve 2023 kampanyaları ele alınıyordu.
Grup, hedef odaklı kimlik avı kampanyaları yürütüyor ve Ukrayna devlet kurumlarına sızmak için özel kötü amaçlı yazılımlar kullanıyor; saldırılar sürekli olarak gelişiyor; örneğin PowerShell ve VBScript tabanlı saldırılara geçiş yapılıyor.
DoControl’den Gavish, Gamaredon’un ısrarcı yaklaşımının, daha az gizli olmasına rağmen, büyük hacim yoluyla Ukrayna’nın savunmasını alt etmede son derece etkili olabileceğini söylüyor.
“Bu sürekli saldırı yağmuru, siber güvenlik kaynaklarını birbirine bağlıyor ve sadece ısrarla başarılı bir ihlal olasılığını artırıyor” diyor. Gerçek dünyadaki etki, Ukrayna’yı sürekli olarak kaynakları siber savunmaya yönlendirmeye zorluyor. “Gamaredon’un NATO ülkelerini hedef alma çabaları Gavish, bunun uluslararası siber güvenlik işbirliği açısından önemli etkileri olacağını ekliyor.
Onun bakış açısına göre bu tür tehditler, müttefik ülkeler arasında artan bilgi paylaşımı ve ortak savunma stratejilerine olan ihtiyacın altını çiziyor. Gavish, “Ukrayna’daki durum, siber güvenliğin sadece bir BT meselesi olmadığını, bunun gerçek dünyada sonuçları olan bir ulusal güvenlik meselesi olduğunu net bir şekilde hatırlatıyor” diyor.