Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Bilgisayar Korsanları Füze Saldırıları ve Drone Saldırılarının Etkisini Araştırmak İçin CCTV Görüntülerini Çaldı
Mathew J. Schwartz (euroinfosec) •
16 Kasım 2023
Ukrayna’nın kritik altyapısına yönelik siber saldırıların temposu, Kiev’in Rusya’nın fetih savaşını savuşturduğu ikinci yıl olan bu yıl yoğunlaştı.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi başkan yardımcısı Viktor Zhora, bu yılın ilk 10 ayında Ukrayna’nın ulusal bilgisayar acil durum müdahale ekibi CERT-UA’nın 2.054 siber olay kaydettiğini, bu rakamın 2022 yılının tamamında 2.194 olduğunu söyledi. . Zhora, Perşembe günü Dublin’de düzenlenen bir siber güvenlik konferansında, olayların dörtte üçünün sivil altyapıyla ilgili olduğunu söyledi.
Düzenlenen IRISSCON konferansında konuşan Zhora, bilgisayar korsanlarının en önemli hedeflerinin güçlerin düzeni hakkında bilgi çalmak, kritik altyapı hizmetleri sağlayan kuruluşlara sızmak ve sigorta ve sağlık hizmetleri de dahil olmak üzere çeşitli sektörlerdeki kuruluşlardan insanların kişisel bilgilerini çalmak olduğunu söyledi. IRISSCERT – İrlanda Raporlama ve Bilgi Güvenliği Hizmetinin kısaltması – video bağlantısı aracılığıyla.
Kendisi, Rusya’nın 24 Şubat 2022’de topyekün bir işgal başlatmasından bu yana, en tehlikeli bilgisayar korsanlığı olaylarının genellikle Rusya’nın GRU askeri istihbarat grubundan kaynaklandığını söyledi. Bu yıl en fazla saldırının Federal Güvenlik Servisi (FSB) tarafından gerçekleştirildiği görülüyor. Diğer tehditler arasında SVR dış istihbarat servisi, büyükelçilikler ve ortak kurumlar ile Rusya Savunma Bakanlığı’ndaki bazı gruplar yer alıyor. Hükümet korsanlarına “siber suç grupları ve ayrıca Telegram kanalları aracılığıyla birleşen, daha az yetenekli ancak sayıları daha fazla olan sözde hacktivist gruplar da katılıyor” dedi.
Rusya’nın hedeflemesi gelişmeye devam ediyor. Zhora, savaşın başlangıcında birçok saldırının “sistemlerimizi yok etmeye ve direncimizi kırmaya” odaklandığını söyledi. Bu tür saldırılar devam ederken, kolluk kuvvetleri ve savcılık sistemlerini hedef alan, şüpheli Rus casusları hakkında bilgi ve savaş suçlarıyla ilgili deliller arayan saldırılarda bir artış olduğunu söyledi. Bilgisayar korsanlarının, hedeflenen bölgelerdeki yerel CCTV görüntülerini çalmak da dahil olmak üzere, Rus füze saldırılarının ve insansız hava aracı saldırılarının etkinliği hakkında bilgi toplamaya çalıştıklarını söyledi.
Çok sayıda siber güvenlik uzmanı, çatışmayla ilgili bir sürprizin, siber saldırıların kinetik saldırılarla yakın koordinasyon içinde kullanılmaması olduğunu söyledi (bkz: Ukrayna’nın Siber Savunma Başarısı: Önemli Çıkarımlar).
Buna rağmen Rusya, operasyonel teknoloji ortamlarını hedef alan saldırılar da dahil olmak üzere birçok cephedeki yeteneklerini geliştirmeye devam ediyor.
IRISSCON’da konuşan siber güvenlik tedarikçisi Forescout’un güvenlik istihbaratından sorumlu başkan yardımcısı Rik Ferguson, güvenlik uzmanlarının, bu yüzyılın başında İran’daki santrifüjleri hedeflemek için oluşturulan Stuxnet kötü amaçlı yazılımı da dahil olmak üzere, saldırganlar tarafından OT ortamlarını vurmak üzere oluşturulan yalnızca sekiz benzersiz kötü amaçlı yazılım türü saydığını söyledi. Bunların çoğunun Rusya’ya atfedildiğini ve Ukrayna’nın elektrik şebekesini vurmak için kullanıldığını söyledi.
En son keşfedilen türlerin, her ikisi de geçen yıl bulunan Industroyer2 ve Incontroller ile ilk kez bu yıl görülen CosmicEnergy olduğunu söyledi.
Geçmişte bu tür saldırılar, kötü amaçlı yazılımın, kurban kuruluş tarafından kullanılan altyapıya göre özelleştirilmesini gerektiriyordu. Güvenlik uzmanlarına göre bu, genellikle saldırganların hedeflenen tesisle aynı donanıma sahip ve aynı yazılım sürümünü çalıştıran bir test laboratuvarı kurmasını gerektiriyordu.
Ferguson, Google Cloud’un Mandiant’ından yakın zamanda yayınlanan bir araştırmaya atıfta bulunarak, yakın zamanda “saldırı yapmak için meşru OT araçlarını kullanarak ‘karadan yaşamaya’ dönüştüklerine” dair kanıtlar bulunduğunu ve bunun da son derece özelleştirilmiş kötü amaçlı yazılımlar geliştirmek zorunda kalmalarını önlemelerine yardımcı olduğunu söyledi. tehdit istihbarat grubu (bkz: Rus Kum Solucanı Hackerları Ekim 2022’de Elektrik Kesintisine Neden Oldu).
“Karadan geçinmek”, kötü amaçlı yazılımdan koruma araçları da dahil olmak üzere kısmen savunmalardan kaçmaya yardımcı olmak için bir kurbanın ağına sızmak ve ağına girmek için meşru araçların kullanılması anlamına gelir.
Google Cloud’un Mandiant tehdit istihbarat grubu geçen hafta, geçen yıl hafifletilmesine yardımcı olan bir saldırıda saldırganların Ukrayna’daki bir OT ortamını vurmak için bu tür taktikler kullandığını bildirdi. Firma, saldırıları, yaklaşık on yıldır Ukrayna’yı siber saldırılarla hedef alan GRU’nun Sandworm hack ekibine bağladı.
Mandiant, “Aktör ilk olarak kurbanın trafo merkezi devre kesicilerini tetiklemek için OT düzeyinde karadan yaşama tekniklerini kullandı ve bu da Ukrayna genelinde kritik altyapıya yapılan kitlesel füze saldırılarıyla aynı zamana denk gelen plansız bir elektrik kesintisine neden oldu” dedi. “Sandworm daha sonra kurbanın BT ortamına CaddyWiper’ın yeni bir versiyonunu yerleştirerek ikinci bir yıkıcı olay gerçekleştirdi.” CaddyWiper, sistemleri silmek için tasarlanmış yıkıcı bir kötü amaçlı yazılımdır.
Mandiant, CaddyWiper saldırısının çok fazla hasar vermediğini veya denetleyici kontrol ve veri toplama da dahil olmak üzere hipervizör veya endüstriyel kontrol sistemlerini etkilemediğini söyledi. Buna ek olarak, CyberArmyofRussia_Reborn adlı, kendini hacktivist ilan eden bir grup, CaddyWiper’ın herhangi bir sistemi şifrelemeden önce sistemlere bulaştığıyla övünerek, sözde Rus hacktivist grupların istihbarat servisleriyle yakın bağları olduğunu öne sürdü.
Mandiant’ın daha önce bildirdiğine göre, “Bir dizi operatör hatası nedeniyle UNC3810, ağın kesintiye uğradığıyla övünen Telegram gönderisinden önce silme saldırısını tamamlayamadı.” “Bunun yerine, Telegram gönderisi CaddyWiper’ın infazından 35 dakika önce geldi ve CyberArmyofRussia_Reborn’un GRU’dan tekrarlanan bağımsızlık iddialarını baltaladı.”
Forescout’tan Ferguson, Rusya’ya bağlı tehdit aktörü gruplarının çoğu öncelikle dağıtılmış hizmet reddi saldırıları ve kimlik avı kampanyaları yürütürken, Forescout’un balküpleri tarafından tespit edilen saldırı girişimlerine dayanarak “hacktivistlerin OT’yi hedeflediğini kesinlikle görüyoruz” dedi. Bu saldırılar yalnızca otomatik değil, aynı zamanda uygulamalı klavye manevralarını da içeriyor gibi görünüyor. Saldırganlar oturum açar ve ortamlarda mevcut olabilecek bilinen güvenlik açıklarından aktif olarak yararlanmaya çalışır.
“Bu sadece fırsatçılık değil, son derece hedef odaklı bir durum” dedi.