Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Ukrayna, Saldırıları Rus İstihbaratına Bağladı Sandworm Hackerlar
Bay Mihir (MihirBagwe) •
3 Mayıs 2023
Ukraynalı siber savunucular, muhtemelen Sandworm olarak bilinen Rus istihbarat teşkilatı tehdit aktörü tarafından yerleştirilmiş bir Windows dosya arşivleme programında silme seçeneğini etkinleştirmek için kullanılan kötü amaçlı bir komut dosyası tespit ettiklerini söyledi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Cumartesi günü yayınlanan bir uyarıda, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi, adı açıklanmayan bir devlet kurumunda yürütülen bir soruşturmanın, el yazısıyla Word belgelerini veya veritabanlarını arayan bir Windows toplu iş dosyası komut dosyasını ortaya çıkardığını söyledi. RoarBat adlı betik, sürücüler de dahil olmak üzere iki düzineden fazla dosya uzantısının örneklerini silmek için WinRar arşivleme ve sıkıştırma uygulamasını kullanır.
CERT-UA, saldırganların güvenliği ihlal edilmiş bir VPN kimlik bilgisi aracılığıyla büyük olasılıkla devlet kurumuna girebildiklerini söylüyor.
Birkaç gösterge Sandworm’a işaret ediyor, Ukraynalı siber savunma ajansı da şunları söylüyor: IP adresleri, RoarBat’ın değiştirilmiş bir sürümünün varlığı ve “kötü niyetli planı uygulama yöntemi.” Hepsi, Ocak ayında Ukrayna ulusal haber ajansı Ukrinform’a düzenlenen saldırıyla benzerlikler taşıyor.
“CyberArmyofRussia_Reborn” olarak bilinen Telegram kanalı, Ukrinform saldırısı hakkında bilgi yayınladı, ancak Ukraynalı savunucular, gerçek bilgisayar korsanlarının Sandworm olduğunu ılımlı bir güvenle değerlendiriyor.
Siber tehdit istihbarat şirketi Mandiant, yine ılımlı bir güvenle, CyberArmyofRussia_Reborn’un muhtemelen FancyBear olarak da bilinen APT28 tarafından çalınan verilerin dağıtım kanalı olarak hareket ederek Rus GRU askeri istihbarat servisiyle koordineli çalıştığını değerlendirdi. Sandworm aynı zamanda bir GRU birimidir ve gruplar işbirliği yapmıştır.
Ocak ayındaki siber saldırı, Devlet Özel İletişim ve Bilgi Koruma Servisi başkanı Yurii Shchyhol’un Rusya’nın hibrit savaş tekniklerini ele almak için yapacağı basın brifingini erteledi.
Rusya’nın bilgisayar korsanlığı hedefleri, Şubat 2022’de Ukrayna’ya yönelik başlattığı işgalin seyri boyunca değişti. Ukrayna hükümeti kısa süre önce enerji altyapısının artık ana odak noktası olduğu sonucuna vardı. Avrupa Siber Çatışma Araştırma Girişimi tarafından bir araya getirilen bir grup siber savaş uzmanı, silicilerin Rus bilgisayar korsanlığının temel dayanağı olmaya devam edeceği sonucuna vardı (bkz:: Siber Uzmanlar Ukrayna’da Daha Zararlı Siber Saldırılar Öngörüyor).