Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırganların Hareketi: Veri Sızıntısı ve Ardından Ağ ve Donanım Bozulması
Mathew J. Schwartz (euroinfosec) •
17 Ekim 2023
Kiev siber savunucuları, Rus bilgisayar korsanlarının, BT sistemlerini silmek veya yok etmek için tasarlanmış “yıkıcı” kötü amaçlı yazılım yağmuruyla Ukrayna devlet kurumlarını ve kritik altyapıyı hedef aldığını söyledi.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi CERT-UA’nın Pazartesi günü bildirdiğine göre, Mayıs ve Eylül ayları arasında en az 11 Ukraynalı telekomünikasyon firması, bazı durumlarda hizmeti kesintiye uğratan saldırılar tespit etti.
Ukrayna, saldırıların arkasındaki tehdit aktörüne UAC-0165 kod adını verdi ve saldırıların, yarım on yılı aşkın süredir Ukrayna’yı siber saldırılarla hedef alan Sandworm hack ekibi tarafından gerçekleştirildiğine dair orta düzeyde güven duyduğunu söyledi. Batı istihbaratı Sandworm’un (diğer adıyla Seashell Blizzard, TeleBots ve Voodoo Bear) Rusya’nın GRU askeri istihbarat teşkilatı tarafından yönetildiğini söylüyor.
Ocak ayında, Ukrayna’nın en üst düzey bilgi koruma kurumu, Rusya’nın saldırı savaşını sürdürürken veri hırsızlarını ve kötü amaçlı yazılımları yok etmek ve siber casusluk amacıyla kullanmaya devam ettiği konusunda uyardı. Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi, en çok hedef alınan sektörlerin enerji, güvenlik ve savunma, telekomünikasyon, teknoloji ve kalkınma, finans ve lojistik olduğunu bildirdi.
SSSCIP geçtiğimiz günlerde sıcaklıkların soğumaya başlamasıyla birlikte Moskova’nın özellikle enerji sektörüne yönelik yıkıcı saldırılarını artırdığını söyledi (bkz: Ukrayna Siber Savunucuları Kışa Hazırlanıyor).
Bilgisayar Korsanlarının Arama Kartı: Masscan
CERT-UA’nın bildirdiğine göre, son aylarda Ukraynalı telekomünikasyon firmalarına karşı düzenlenen çevrimiçi kampanyalar, saldırganların Masscan ağ bağlantı noktası tarayıcısını kullanarak hedeflenen ağın alt ağlarını “kaba” bir şekilde taramasıyla başladı. Saldırganlar, bilinen güvenlik açıklarından yararlanmak ve Ffuf fuzzer, DirBuster sızma testi araç seti, Gowitness ekran görüntüsü yardımcı programı ve Nmap ağ eşleyici dahil olmak üzere çeşitli araçlarla halka açık web uygulamalarını hedeflemek için korumasız SSH veya uzak masaüstü protokol örneklerine kaba kuvvet saldırıları gerçekleştirdi.
CERT-UA’nın raporuna göre, bu çabaların bir parçası olarak, UAC-0165 sıklıkla ihlal edilen sistemlere çeşitli yazılımlar yüklemeye çalıştı: Yönetici şifrelerini gizlice dinleyebilen PoemGate kod adlı kötü amaçlı, ayrıcalıklı erişim yönetimi yazılımı; yetkisiz erişim işaretlerini ortadan kaldırmak için WhiteCat yardımcı programı gibi araçlar; Uzaktan kumanda araç seti olan Poseidon; ve web sunucuları için, kullanım sonrası uzaktan erişim için tasarlanmış Weevely web kabuğu.
CERT-UA, saldırganların genellikle Tor anonimlik ağından gelen veya Ukraynalı olduğu iddia edilen IP adreslerine sahip VPN hizmetlerini kullanarak hedeflenen ağlara eriştiklerini söyledi.
Saldırganların uzaktan erişim elde ettikten sonraki çalışma yöntemi genellikle ağın içinde yanlara doğru hareket etmek, yönetici ayrıcalıkları elde etmek ve çok sayıda sisteme erişmek, ayrıca belgeleri sızdırmak ve resmi sosyal medya hesaplarının şifrelerinin yanı sıra SMS mesajları göndermek için kullanılan jetonları çalmaktı. CERT-UA’nın bildirdiğine göre, bu faaliyeti, ağ donanımı da dahil olmak üzere mümkün olduğu kadar çok sayıda BT sistemini bozmak için “yıkıcı komut dosyaları” çalıştırarak takip ettiler.
UAC-0165’in Takibi
Ukrayna, UAC-0165’i, belirtilmemiş bir devlet kurumunu hedef alan bir bilgisayar korsanlığı kampanyasını takip ettiği en az Nisan ayından bu yana izliyor.
Bu saldırıda, bilgisayar korsanları yıkıcı bir sistemin değiştirilmiş bir versiyonunu kullandılar. .bat – toplu iş dosyası – RoarBat adı verilen, birçok farklı dosya türünü aramak ve yok etmek için tasarlanmıştır. Ukrayna, saldırının Ocak ayında ulusal haber ajansı Ukrinform’u hedef aldığını keşfettiği saldırıyla paralel olduğunu söyledi. Bu saldırıya ilişkin bilgiler, kendini hacktivist ilan eden grup “CyberArmyofRussia_Reborn” tarafından 17 Ocak’ta Telegram kanalında yayınlandı.
Google Cloud’un Mandiant tehdit istihbaratı bölümü, CyberArmyofRussia_Reborn’un, muhtemelen FancyBear olarak da bilinen APT28 tarafından çalınan bilgileri dağıtarak Rusya’nın GRU askeri istihbarat servisiyle koordineli çalıştığına oldukça güvendiğini bildirdi.
Mandiant, bir olayda CyberArmyofRussia_Reborn’un, kötü amaçlı yazılımın çalıştırılmasından önce, UNC3810 kod adlı bir GRU operatörü tarafından CaddyWiper silecek kötü amaçlı yazılımını içeren bir saldırıyla övündüğünü söyledi.
Mandiant, “Bir dizi operatör hatası nedeniyle UNC3810, ağın kesintiye uğradığını söyleyen Telegram gönderisinden önce silme saldırısını tamamlayamadı” dedi. “Bunun yerine, Telegram gönderisi CaddyWiper’ın infazından 35 dakika önce geldi ve CyberArmyofRussia_Reborn’un GRU’dan tekrarlanan bağımsızlık iddialarını baltaladı.”
Pek çok güvenlik uzmanı, Rusya bağlantılı birçok hacktivist grubun, doğrudan yönetilmese bile Rus istihbarat servisleri tarafından finanse edilebileceğini öne sürdü (bkz: Kızılhaç Hacktivistlere Seslendi: Hastaneleri Hedeflemeyi Durdurun).