Kritik Altyapı Güvenliği , Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Devlet Ajansı, Hacker’ların Yıkıma Değil Casusluğa Odaklanmak İçin Taktikler Geliştirdiğini Söyledi
Bay Mihir (MihirBagwe) •
28 Haziran 2023
Ukrayna’nın ulusal olay müdahale ekibine göre, siber saldırganlar Şubat 2022’de Rus işgalinin başlamasından bu yana Ukrayna’nın kritik altyapısını 3.000’den fazla kez vurdu.
Ayrıca bakınız: UEBA: İçeriden Gelen Tehditleri Durdurmak için Davranış Analitiği için Yapay Zeka ve Makine Öğrenmesini Kullanma
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi, bu tür saldırıların karadaki çatışmalar sona erdikten sonra bile yıllarca devam edebileceği konusunda uyardı.
SSSCIP’in Information Security Media Group ile paylaştığı rapora göre, kamu ve yerel makamlar yoğun bir şekilde hedef alındı ve ülkenin güvenlik ve savunma sektörü bilgi kaynakları en az 367 kez saldırıya uğradı.
SSSCIP, saldırıları gerçekleştirmek için tercih edilen aracın kötü amaçlı yazılım olduğunu ve asıl amacın bilgi toplamak olduğunu söyledi.
Taktiklerde Değişiklik
Siber saldırganlar, Rus ordusunun hedefleriyle uyum sağlamak için, tam ölçekli işgalin ilk günlerinden bu yana Ukrayna’nın kritik altyapısına karşı taktiklerini değiştirdiler. Başlangıçta saldırılar, etkileme operasyonlarına ve kritik BT altyapısının yok edilmesine odaklanmıştı. SSSCIP, Viasat’a yönelik siber saldırıya atıfta bulunarak, “Bu tür saldırıların tek amacı askeri işgale karşı direnişi engellemek ve ülke geneline kaos ortamı yaratmaktı” dedi.
Ancak işgal ilerledikçe, SSSCIP, Rus bilgisayar korsanlarının her sektörde, özellikle askeri ve teknoloji kuruluşlarında yıkımdan casusluğa geçtiğini söyledi (bkz:: Rus Hacker’lar Sistem Yıkımına Değil Casusluğa Odaklandı).
Rus Tehdit Aktörleri ve Uzmanlıkları
Rus bilgisayar korsanı grupları, belirli siber saldırı türlerinde uzmanlaşmıştır. Siber saldırıların yaklaşık %20’si yıkıcıdır ve çoğunlukla Sandworm grubu tarafından gerçekleştirilmektedir. SSSCIP, “Bu bilgisayar korsanları sistemlere sızar ve insanlar için hayati önem taşıyan verileri, altyapıyı ve hizmetleri yok eder” dedi.
Bir örnek, Sandworm’un 8 Nisan 2022’de bölgesel bir elektrik dağıtım şirketine yönelik engellenen siber saldırısıdır. Saldırı, özel sektör ortakları Microsoft ve Eset’in zamanında yardımı sayesinde başarıyla önlendi (bkz:: Rusya Bağlantılı Kum Solucanı Ukrayna Enerji Tesisine Saldırdı).
SSSCIP, Rusya’nın dış istihbarat servisiyle ilişkili bir bilgisayar korsanlığı grubu olan InvisiMole’un “en tehlikeli siber casusluk grubu” olarak görüldüğünü ve siber casusluk veya gizli verileri çalmaya odaklandığını söyledi.
InvisiMole bilgisayar korsanları, yıllarca fark edilmeden kalabilen casus yazılımları dağıtmak için korsan yazılım torrentlerini kullanır. Grup öncelikle politikacılara, diplomatik misyonlara ve büyükelçilere, orduya ve bunların üretim ve üretim birimlerine odaklanmaktadır. SSSCIP, Rus özel servislerinin çalınan verileri ülkeye konvansiyonel savaş yoluyla daha fazla saldırı planlamak için kullandığını söyledi.
Siber casusluk konusunda uzmanlaşmış bir diğer Rus hacker grubu ise, çoğunlukla güvenlik ve savunma sektörü kuruluşlarını hedef alan Armageddon. UAC-0010, Gamaredon ve Primitive Bear olarak da izlenen Armageddon, Rusya’nın Kırım Cumhuriyeti’ndeki FSB Ofisi ve Sivastopol şehri ile bağlantılı. Ukrayna Güvenlik Servisi’nin bir raporuna göre, 2014’ten beri faaliyet gösteren grup, FSB’nin düzenli memurlarından ve Ukrayna’nın bazı eski kolluk kuvvetlerinden oluşuyor.