Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Askeri Çıkmaz Moskova’yı Veri Hırsızlığı, Psikolojik Operasyonlar Takibine Yönlendirdi
Mathew J. Schwartz (euroinfosec) •
13 Mart 2023
Ukrayna hükümeti, Rus bilgisayar korsanlığı ekiplerinin geçen yıl Ukrayna’da dikkatlerini kesintiden siber casusluk, veri hırsızlığı ve psikolojik operasyonlara kaydırdığı sonucuna varıyor.
Devlet Özel İletişim ve Bilgi Koruma Servisi, Rus bilgisayar korsanlarının taktiklerini nasıl ayarladıklarına dayanarak, Kremlin’in odak noktasını değiştirdiğini söylüyor. medya ve telekomünikasyon sektörlerinin enerji altyapısını hedeflemesi. Bilgisayar korsanları, kimlik avı saldırılarıyla hedefleri doğrudan vurmak yerine, hizmet sağlayıcıların altyapısındaki yazılım güvenlik açıklarından giderek daha fazla yararlanmaya ve nihai olarak istenen nihai hedeflere erişim elde etmek için adadan atlama kullanmaya başladı.
Ayrıca bakınız: Rusya-Ukrayna Savaşında Siber Savaş
Bu sonuç, Rusya’nın Avrupalı komşusunu topyekun işgalinin birinci yıl dönümünden sadece haftalar sonra yayınlanan bir rapordan geliyor.
Hükümet iletişimini ve siber savunmayı güvence altına almakla görevli hükümet kurumu SSSCIP, Rus bilgisayar korsanlarının “etki operasyonları ve daha fazla müzakere için kapı açacağı umuduyla sivil ve kritik altyapıya aktif olarak saldırıyor” diyor.
Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi geçen yıl 2.194 siber olayı araştırdı ve bunlardan 1.148’inin kritik, yüksek düzeyde risk oluşturduğunu söyledi. CERT-UA, Rusya tarafından başlatılan büyük çevrimiçi saldırıların geçen yaz azaldığını ve ardından yıl sonunda ortakları ve bilinen güvenlik açıklarını hedef alan bir saldırının geldiğini söylüyor.
SSSCIP’in bildirdiğine göre, bu tür saldırılar 2022’nin sonunda arttı ve Rus bilgisayar korsanları bir noktada Ukrayna’nın enerji altyapısını hedef almak için “dört sekmeli tedarik zinciri saldırıları” kullandı.
Rusya çıkmaza girdi
Rusya’nın değişen stratejileri, tasavvur edilen hızlı işgal askeri planlayıcılarından şu anda devam eden göreli çıkmaza geçişi yansıtıyor.
24 Şubat 2022’de Rusya Devlet Başkanı Vladimir Putin, işgali bahane ederek ülkeyi “silahsızlaştırma ve askerden arındırma” niyetinde olduğunu söyledi. Mart ayında, Putin’in güçleri Kiev’i kuşatmayı başaramayınca ülkenin kuzeyinden atıldı. Washington merkezli düşünce kuruluşu Atlantic Council, yılın ikinci yarısına “Ukrayna’nın bir dizi olağanüstü zaferiyle damgasını vurdu” diyor.
Askeri çabalar dururken, Putin sivil altyapıya saldırı emri verdi. Füze dalgaları ve kamikaze insansız hava araçları, kışın ortasında Ukrayna’nın büyük bir bölümünü zaman zaman elektriksiz bırakırken, açık bir şekilde moral bozmak için, savunucular yılmamış görünüyor.
Rusya’nın siber operasyonları, değişen askeri taktiklerine paralel. Rusya, özellikle 2022’nin ikinci yarısında enerji sektörünü hedef alan büyük bir bilgisayar korsanlığı saldırısı dalgası başlattı. SSSCIP raporunda, “Bizi korkutmak için kitle iletişim araçları aracılığıyla Ukraynalıları etkilemeyi umuyordu” diyor.
Kimlik avı saldırılarındaki düşüş, hizmet sağlayıcıların e-posta filtrelemesi ve korumasıyla desteklenen Ukrayna’nın BT ekiplerinin daha fazla devlet sistemini buluta taşımasına bir yanıt gibi görünüyor. SSSCIP’e göre bu, sosyal mühendislik ve “iyi hazırlanmış kimlik avı e-postalarının kurbanı olan” bireylerin oluşturduğu riski ortadan kaldırmasa da, bilgi çalan kötü amaçlı yazılım taşıyan kötü niyetli Rus e-postalarının etkisinden bir parça aldı (bkz. : Rusya-Ukrayna Savaşı: Siber Saldırılar En İyi Ortaklıklarda Başarısız Oldu).
Ukraynalı yetkililer geçen yıl siber operasyonların çoğunun ordu, güvenlik ve savunma sektörlerini hedef aldığını söylüyor. Telekomünikasyon, bilişim, lojistik ve ulaşım, medya ve enerji ve bankacılığın en çok hedef alınan sonraki sektörler olduğunu söylüyorlar.
İnternet hizmeti ve barındırma sağlayıcıları, ticari kuruluşlara erişim elde etmek için kullanılabildikleri için en önemli hedef olmaya devam ediyor gibi görünmektedir. Bazı saldırılarda Rus bilgisayar korsanları, nihayetinde bozmaya çalışacakları hükümet veya enerji sistemlerine erişim elde etmek amacıyla ada atlamalı saldırılar gerçekleştirmek için açık kaynaklı Linux tabanlı e-posta platformu Zimbra’daki bir güvenlik açığını kullandı.
Raporda, “Saldırganlar bir kuruluşa doğrudan giremedikleri durumlarda, barındırma/sağlayıcı aracılığıyla girme fırsatını değerlendiriyorlardı” diyor.
En azından bazı Rus hükümeti bilgisayar korsanlarının araçları kullanıma hazır görünüyor ve bilgileri çalmak ve Cobalt Strike penetrasyon testi çerçeve işaretçileri dahil daha fazla kötü amaçlı kod bırakmak için IcedID gibi kötü amaçlı yazılımları kullanmış gibi görünüyor. Bu tür taktikler, fidye yazılımı grupları tarafından da yaygın olarak kullanılır ve bu da ilişkilendirmeyi karmaşıklaştırabilir.
Devlet Hacking Ekipleri
Ukrayna’ya karşı aktif olarak siber operasyonlara katılan Rus hükümeti APT hackleme ekipleri arasında, 2022’nin ikinci yarısında çok sayıda saldırı gerçekleştiren Gamaredon, diğer adıyla Actinium adlı Federal Güvenlik Servisi birimi; GRU askeri istihbarat birimi APT28, diğer adıyla Strontium ve Fancy Bear; Nobelium ve Cozy Bear olarak da bilinen SVR birimleri APT29; ve SSSCIP’e göre siber casusluğa odaklanan UAC-0035, diğer adıyla InvisiMole.
Ukraynalı yetkililer, InvisiMole adından da anlaşılacağı gibi, grubun daha açık saldırılardan çok daha fazla hasara neden olabilecek gizli casusluk operasyonlarında uzmanlaştığını söylüyor.
SSSCIP, “Birincil hedefleri arasında en hassas bilgilere erişimi olan üst düzey yetkililer, diplomatlar ve diğer uzmanlar yer alıyor.” “Bu tür ‘sessiz’ saldırıların tespit edilmesi çok daha zor olduğundan, kritik sonuçları olabilir.”
CERT-UA, APT29 tarafından işlendiğinden şüphelendiği bazı saldırılar da dahil olmak üzere geçen yılki birden fazla saldırıyı ilişkilendirmeye çalıştığını söylüyor. Aynı birim, SolarWinds’e yönelik tedarik zinciri saldırısını gerçekleştirmekle de suçlanıyor. SSSCIP, “Kendi kötü amaçlı yazılım araç setlerine sahip olmaları ve Microsoft ürün ve hizmetlerini hedeflemede yüksek uzmanlıkları ile tanınırlar” diyor.
Siber suçlular – Gerçek ve Simülasyon
Bazı Rus APT grupları, faaliyetlerini gizlemek için suçlu gibi davranabilir. Güvenlik uzmanları, Sandworm’un geçen sonbaharda taktik değiştirdiğini ve Prestige fidye yazılımını Polonyalı ve Ukraynalı lojistik firmalarını etkilemek için kullanmaya başladığını ve kendisini bir hükümet bilgisayar korsanlığı ekibi gibi göstermemeye çalıştığını söylüyor.
Kasım 2022’de Microsoft, bu saldırıyı resmi olarak Sandworm’a bağladı (bkz: Polonya, Rus Hacklenmesi Konusunda Alarm Verdi).
Ukraynalı siber güvenlik yetkilileri, kıt kaynakları ve personel sayıları nedeniyle en az dokuz Rus suçlu veya bilgisayar korsanı grubunun da FSB, GRU ve SVR gruplarının sınırlamalarını artırmak için düzenli olarak kullanıldığını söylüyor.
En aktif gruplar, Moskova’ya “ilk erişim için e-posta yoluyla kimlik avı ve kötü amaçlı yazılım dağıtımından yaygın yanal hareket, veri hırsızlığı ve veri silmeye” ve bazı durumlarda istihbarat toplamaya kadar çeşitli saldırılarda yardımcı olan XakNet, CyberArmyofRussia ve Zarya’dır.