Siber Savaş / Ulus Devlet Saldırıları , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
Rus Askeri Bilgisayar Korsanları Mobil Cihaz Kötü Amaçlı Yazılım Kampanyası Planladı
Bay Mihir (MihirBagwe) •
9 Ağustos 2023
Ukraynalı siber savunucular, Rus askeri istihbaratının savaş alanı yönetim uygulamalarını gözetlemek için programlanmış yaygın kötü amaçlı yazılımları dağıtma girişimini engellediklerini söylediler.
Ayrıca bakınız: Efsaneyi Çürütmek: OT’yi Güvenceye Almak Mümkün
SBU olarak bilinen Ukrayna Güvenlik Servisi ve askeri müfettişler, GRU Ana İstihbarat Müdürlüğü’nde faaliyet gösteren Sandworm olarak bilinen Rus bilgisayar korsanlarının en az yedi özel kodlu Android kötü amaçlı yazılım paketine dayalı bir kampanya planladıklarını söyledi.
Ukrayna, savaş alanını yönetmek ve topçu hedeflemesini iyileştirmek için çeşitli uygulamalar kullanıyor. Salı günü yayınlanan bir raporda Kiev yetkilileri, Sandworm’un savaş alanında ele geçirilen Ukrayna askeri mobil cihazlarını ele geçirdiğini söyledi.
SBU, Rus bilgisayar korsanlarının kötü amaçlı yazılım kampanyasına yönelik hazırlığının “uzun vadeli ve kapsamlı” olduğunu söyledi. Hedefleri arasında, Rus hedeflerini belirlemek ve topçu saldırılarına rehberlik etmek için insansız hava araçları da dahil olmak üzere Kiev tarafından askeri iletişim için kullanılan alçak Dünya yörüngesindeki 3.500 uydudan oluşan mega takımyıldızı olan Starlink uydu sistemi üzerinden yapılan iletişimler vardı (bkz:: Pentagon, Ukrayna’nın Uydu Genişbantı için Starlink’e Ödeme Yapacak). Ukrayna’nın STL olarak tanımladığı kötü amaçlı yazılım, Starlink aracılığıyla yapılan iletişimleri toplamak için tasarlanmıştır.
Sandworm, Rusya’nın Şubat 2022’de Avrupa komşusunu işgal etmesinden önce elektrik şebekesindeki iki kesinti de dahil olmak üzere, yarım on yıldan fazla bir süredir Ukrayna’yı siber saldırılarla hedef aldı. 2022’deki tehdit istihbarat firması Mandiant, bilgisayar korsanlığı grubunu muhtemelen Kiev’in “yıkıcı ve yıkıcı saldırılar için en büyük tehdidi” olarak nitelendirdi. Sandworm ile bağlantılı son saldırılar, bu yılın başlarında tespit edilen önceden bilinmeyen bir siliciyi ve dosyaları silmek için kötü amaçlı bir komut dosyasını içerir (bkz: WinRAR, Ukrayna Kamu Sektörüne Yönelik Saldırılar İçin Silahlandı).
Sandworm’un askeri mobil cihazlara bulaşma yolu, geliştiricilere yönelik bir mobil işletim sistemi komut satırı aracı olan Android Debug Bridge idi.
SBU tarafından ifşa edilen diğer kötü amaçlı yazılım paketleri arasında, cihazın fabrika ayarlarına sıfırlanmasından sonra bile kalıcılık sağlayan NETD ve bilgisayar korsanlarına virüs bulaşmış cihazlara uzaktan erişim sağlayan DropBear adlı bir başka kötü amaçlı yazılım paketi yer alıyor.
Sandworm, tespit edilmekten kaçınmak için – kötü amaçlı yazılımı için meşru dosya adları ve işlemler kullanmak da dahil olmak üzere – şaşırtma teknikleri kullandı.
SBU Siber Güvenlik Departmanı başkanı Illia Vitiuk, “Toplu savaşın ilk günlerinden beri, Rus istihbarat servislerinin askeri komuta sistemimizi kırmaya yönelik siber saldırılarını ve daha fazlasını savuşturuyoruz” dedi.