Rusya’nın 24 Şubat 2022’de Ukrayna’yı işgalini, sınırda toplanan Rus birlikleri tarafından altı aşamaya ayrılan artan siber operasyonlar takip etti.
Silicilere odaklanmanın ötesinde, Rus askeri istihbaratı (GRU), Ukrayna’daki siber ve bilgi operasyonlarını birleştiren birleşik bir savaş zamanı yeteneğinden yararlanır.
Bunun dışında, savunuculara yardımcı olmak için Mandiant’taki siber güvenlik araştırmacıları, GRU’nun yıkıcı oyun kitabını özetliyor.
Savunmacılar, GRU’nun oyun kitabını anlayarak kendilerini bu saldırılara karşı daha iyi savunabilirler.
UNC3810, CADDYWIPER kötü amaçlı yazılımını bir Ukrayna devlet kuruluşunun bilgisayar sistemlerinden veri silmek için kullandı.
Savaşın beşinci aşamasında, saldırı 31 Aralık 2022’de gerçekleşti. Saldırı, UNC3810 tarafından yenilenen yıkıcı saldırı kampanyasının bir parçasıydı.
GRU’nun Yıkıcı Başucu Kitabı
Mandiant Intelligence, Rusya’nın Ukrayna’yı işgalinden bu yana GRU’nun bilgi savaşı hedeflerine ulaşmak için denenmiş ve doğrulanmış bir oyun kitabı kullandığını gözlemledi.
Sofistike oyun kitabı ve TTP’ler ile GRU, tüm hedeflerini ve operasyonlarını başarılı bir şekilde gerçekleştirmek için hedeflenen ağdaki varlığını ve kalıcılığını bağışık hale getirdi.
Aşağıda beş operasyonel aşamadan bahsetmiştik: –
- Kenarında yaşayan: Hedeflere ilk giriş ve yenilenen giriş için gizli saldırıya uğramış yönlendiricileri, VPN’leri, güvenlik duvarlarını ve posta sunucularını kullanmak.
- Karadan Yaşamak: Kötü amaçlı yazılım izini en aza indirmek ve keşif, yanal hareket ve veri hırsızlığı gerçekleştirirken tespit edilmekten kaçınmak için yerel araçlar kullanılarak hedef ağlara gizlice sızılır.
- GPO’ya gitmek: Kanıtlanmış bir PowerShell betiği, grup ilkesi nesneleri (GPO) aracılığıyla silici dağıtımını kolaylaştırmak için kalıcı ayrıcalıklı erişim sağlar.
- Bozma ve Reddetme: Çeşitli senaryolara ve bağlamlara göre uyarlanmış, “saf” siliciler ve fidye yazılımları dahil olmak üzere, minimum riskli yıkıcı araçların çok yönlü dağıtımı.
- Telgraf “Başarı”: Operasyonel etkiden bağımsız olarak, etkili kesinti anlatısı, Telegram’daki bir dizi hacktivist kişi aracılığıyla büyütülür.
GRU’nun standart operasyon konsepti, GRU’nun siber savaş faaliyetlerini artırma niyetinde olduğunun açık bir göstergesidir.
GRU’nun oyun kitabı, Rusya’nın savaş zamanı hedeflerine ulaşmasına yardımcı olduğu için Ukrayna’daki siber savaşta ezber bozan bir unsurdur.
GRU’nun aynı ticaret aracını tekrar tekrar kullanması, bu konuda rahat olduklarının ve aynı zamanda etkili olduğunun açık bir göstergesidir.
GRU’nun yıkıcı oyun kitabı, Rusya’nın stratejik hedeflere ulaşmak için bilgi ve iletişim teknolojilerinin kullanılması olarak tanımladığı bilgi yüzleşmesinin tüm gücünü donatmaya çalışıyor.
Hep birlikte, bu yetenekler şu şekilde bilinir: –
- KRIKS (Bilgi ve iletişim sistemlerinin kriptografik keşfi)
- ITV (Bilgi-teknik efektler)
- IPV (Bilgi-etki etkileri)
UNC3810, Ukrayna’ya ve diğer hedeflere karşı yıkıcı operasyonlar yürüten GRU bağlantılı bir tehdit grubudur.
Sadece bu da değil, devlet kurumları ve özel işletmeler de dahil olmak üzere çok çeşitli kuruluşların kimlik bilgilerini de çaldı.
Yıkıcı Operasyonlarda Hacktivist Kimlikler
Aşağıda, bu yıkıcı operasyonlarda yer alan tüm kimliklerden bahsetmiştik: –
- SiberBerkut
- Siber Halifelik
- Yemen Siber Ordusu
- Guccifer 2.0
- Polonya
- Süslü Ayılar Hack Ekibi
- CyberArmyofRussia_Reborn
- XakNet Ekibi
- bilgi merkezi
- Ücretsiz Sivil
Rusya’nın GRU’su, siber ve bilgi operasyon yeteneklerini çeşitli Rus tehdit kümelerine uygulanabilen uyumlu bir oyun kitabına entegre ederken, casusluk ve saldırı için stratejik öncelikleri etkin bir şekilde hizalayarak Ukrayna’da stratejik olarak yıkıcı operasyonlar kullanıyor.
Mandiant tarafından Rusya’nın Ukrayna’daki savaşında kullanılan gözlemlenen başucu kitabı, finansal olarak motive edilen fidye yazılımı operasyonları, ilk erişim için uç altyapı güvenlik açıklarından yararlanma, kara dışı canlı tekniklerden yararlanma ve kötü amaçlı yazılım yayılımı için GPO’ları değiştirme ile benzerlikler paylaşıyor.
Birleştirme taktikleri, fidye yazılım gruplarının ticaret araçlarına karşı koymak için bulaşıcı faydalar sunarken, fidye süresini en aza indirmeyi, kesintiyi en üst düzeye çıkarmayı ve Rusya’nın siber oyun kitabına karşı savunmayı amaçlar.