YORUM
Ukrayna siber güçleri, Rusya’nın Ukrayna’yı işgal ettiği 24 Şubat 2022’den bu yana neredeyse ilk günden bu yana Rus altyapısına ve varlıklarına saldırıyor. Şu anda iyi yağlanmış bir makine olan “Ukrayna Bilişim Ordusu” (bilindiği üzere), Ukrayna’nın yanında çalışıyor. Ukrayna’nın ana siber müdürlüğü SSSCIP, siber çatışmanın saldırgan yönleri hakkında. Temel dayanağı hizmet reddi (DoS) saldırıları olsa da, Rus gümrük sistemi Ve Rus havalimanlarında karaya oturan uçuşlarDiğer şeylerin yanı sıra, Rus varlıklarını ihlal etmekten ve büyük miktarda veriyi ele geçirmekten çekinmiyor.
Diğer hacktivist gruplar da bayraklarını Ukrayna tarafına sağlam bir şekilde diktiler. Bunlar arasında, Rusya karşıtı ana faaliyetleri #OpRussia operasyonu kapsamına giren Anonymous da yer alıyor. Daha küçük gruplar da Ukrayna’yı destekledi. Ağ Taburu 65 (Ağustos 2022’de faaliyeti durdurulmuştur) ve BulutsusuMayıs 2023’te aktif hale gelen daha yeni bir oyuncu. Kökenleri ne olursa olsun ortak bir noktaları var: yalnızca Rus veya Belarus varlıklarına saldırmak. En azından yakın zamana kadar.
Nebula Beklenmedik Bir Hedefe Vurdu
28 Ekim’de Nebula, tıbbi yazılım konusunda uzmanlaşmış İranlı bir şirket olan Raykasoft’a yönelik ihlalin ekran görüntülerini yayınladı. Her ne kadar ihlal karmaşık olmasa da (grup bir şekilde root elde etmiş ve “rm -rf –no-preserve-root” ile yedekleri ve dosya sistemlerini siliyor), bıraktıkları, doğrudan İran’a atıfta bulunan mesaj alışılmadık bir durum. Mesaj şöyle başlıyor:
“İran, haddini aştın ve seni ilgilendirmeyen çatışmalara bulaşıyorsun. Sonuç olarak, birkaç kritik sunucu arasında 10 TB’ın üzerinde veri içeren tıbbi veritabanlarını bıraktık. Bu sunucuları da yok ettik. Raykasoft tıbbi verileri güvence altına alamadıklarını kanıtladı.”
Nebula’nın Raykasoft saldırısına ilişkin tam açıklama.
Çatışma sırasında Ukraynalı bilgisayar korsanlarının Rusya’ya ait olmayan varlıklara yönelik saldırıları da gerçekleşti, ancak bunlar nadirdir. Ukrayna BT Ordusu, şüphesiz önemli askeri yardım sağlayan Batılı destekçileri rahatsız etmekten kaçınmak için yalnızca Rus ve Belarus varlıklarını hedef almayı ilke edindi. Hala Rusya’da iş yapan bazı Batılı şirketler anekdotsal olarak hedef alınıyor ancak bu, resmi duruşu Rusya’ya odaklanmak olan resmi Ukrayna siber güçlerinden ziyade daha çok Anonymous’a atfediliyor.
Nebula’nın mesajındaki “Sizi ilgilendirmeyen çatışmalar”, İran’ın başta Rusya olmak üzere Rusya’ya sağladığı askeri desteğe işaret ediyor. Şahlı dronlar Bir yılı aşkın bir süredir Ukrayna şehirlerine yağan yağmurlar sivil halkın tarifsiz acılar çekmesine neden oldu.
Nebula Kimdir?
Peki bu grup tam olarak kim? 17 Kasım’da Nebula, Rus yazılım şirketi Insoft.ru’ya yönelik son ihlalinin ekran görüntülerinde yanlışlıkla operasyonel IP adreslerinden birini sızdırdı.
Herhangi bir bilgi güvenliği uzmanı için neredeyse kabus gibi bir senaryoda, ekran görüntüleri yarım düzine Meterpreter kabukları Nebula Insoft’un altyapısında açıldı. (Meterpreter, dosyaları indirmek ve yüklemek, kodu çalıştırmak ve komut kabuğunu açmak için kullanılabilen bir Metasploit yüküdür.) Kaynak IP engellendi… ama pek iyi değil.
Dikkatli bakıldığında kaynak IP’sinin 91.92.246.69 veya 91.92.246.89 gibi göründüğü görülüyor. Her ikisini de nmap ile taramak, açık olarak 91.92.246.69’u gösteriyor Kobalt Saldırısı 4445 numaralı bağlantı noktasında işaret çalışıyor, yani muhtemelen bu. Bu IP’ler Hollanda’daki LimeNet’e aittir; ancak siber uzayda atıf yapmak zor bir şeydir, dolayısıyla bunun pek bir anlamı yoktur.
Kısmen karartılmış kaynak IP’lerle Insoft altyapısına bağlanan Meterpreter oturumları.
Her hacklemede, saldırganlar ayrıca birçok hacker takma adına teşekkür eder ve “bağırır”, ancak bunlar o kadar geneldir ki atfetmeleri zordur. (Kaç tane güvenlik araştırmacısının ve bilgisayar korsanının kontrole sahip olduğuna bakın Raz0r.) İlginç bir şekilde, Anonim sloganının bir varyasyonunu da kullanıyorlar: “Biz Anonymous’uz. Biz Legion’uz. Biz affetmiyoruz. Biz unutmuyoruz. Bizi bekleyin.”,” bunun yerine “bizi bekleyin. bize saygı gösterin” seçeneğini tercih edin.
Kanıtlara bakıldığında, Nebula’nın fiilen Ukrayna yanlısı olmasına rağmen SSSCIP veya Ukrayna BT Ordusu tarafından kontrol edilmesi pek olası değil. Tıbbi bir hedefin peşinden gitmesi Ukrayna Bilişim Ordusu’nun felsefesiyle uyumlu değil.
Ekim ayında Uluslararası Kızılhaç Komitesi (ICRC) bir rapor yayınladı. siber savaş kuralları Çatışma sırasında sivil hedeflere verilen zararın önlenmesi veya en aza indirilmesi, askeri hedeflere bağlı kalınması ve tıbbi hedeflerden kaçınılması anlamına gelir. onun üzerinde Telgraf kanalı 11 Ekim’de Ukrayna BT Ordusu kısa bir açıklama yaparak yanıt verdi: “Bu kurallara daha uygulamaya konulmadan önce sezgisel olarak uyduk, örneğin sağlık hizmetleri veya insani yardım sektörlerine asla saldırmadık.” (Bir ek not olarak, Rus hacker grubu Killnet’in ICRC kurallarıyla ilgili bir soruya verdiği yanıt şuydu: “Neden ICRC’yi dinlemeliyiz?”)
Raykasoft’un hacklenmesinden bu yana Nebula, Rus hedeflerine geri döndü. Kasım ayının ilk iki haftasında, her ikisi de Rus bilişim şirketleri olan Refactor-ICS ve Insoft’u devirdi.
Genel resme bakıldığında, Ukrayna yanlısı parçalanmış bir varlık olan Nebula’nın hedef alınmasında sadece fırsatçı davrandığı görülüyor. İran’a bir uyarı atışı yapmak için zayıf altyapıdan yararlanılıyor; bu, Ukrayna BT Ordusu’nun mevcut hedefleme felsefesine aykırıdır. İran’ın Rusya’ya verdiği destek iyi bilinse de, İran varlıklarına (en azından Ukrayna’dan gelenlere) yönelik siber faaliyetler şimdilik tek seferlik olmaya devam ediyor. Daha geniş İran Altyapısına karşı daha sürdürülebilir bir eğilime dönüşüp dönüşmeyeceğini görmek için bu gelişmeyi yakından takip etmemiz gerekecek.