Sandworm olarak da bilinen Rus devlet destekli hackleme grubu Seashell Blizzard’ın bir alt grubu, Badpilot olarak adlandırılan bir kampanya aracılığıyla siber operasyonlarını yoğunlaştırdı.
Bu çok yıllı girişim, dünya çapında kritik altyapıyı hedef aldı ve grubun erişimini Kuzey Amerika, Avrupa ve Asya-Pasifik bölgelerini içerecek şekilde Ukrayna ve Doğu Avrupa’ya olan geleneksel odağının ötesine genişletti.
Kalıcı erişim için güvenlik açıklarından yararlanmak
En az 2021’den beri aktif, Badpilot Kampanya, başlangıç erişimini elde etmek ve yüksek değerli ağlarda uzun vadeli kalıcılık oluşturmak için internete dönük altyapıdaki güvenlik açıklarından yararlanmakta uzmanlaşmıştır.
Alt grup, enerji, petrol ve gaz, telekomünikasyon, nakliye, silah üretimi ve hükümet kuruluşları gibi sektörleri hedefleyen gözlemlenmiştir.
Microsoft araştırmacıları, ConnectWise Screenconnect (CVE-2024-1709) ve Fortinet Forticlient EMS (CVE-2023-48788) gibi yaygın olarak kullanılan BT yönetim araçlarındaki kusurlar da dahil olmak üzere bilinen en az sekiz güvenlik açıkının sömürülmesini belirlediler.
Bu istismarlar, saldırganların sistemlere sızmasını, kimlik bilgilerini toplamasını, komutları yürütmesini ve ağlardaki yanal hareketi kolaylaştırmasını sağlar.
WordFence’e göre, kampanya fırsatçı “püskürtme” saldırılarının ve hedeflenen müdahalelerin bir kombinasyonunu kullanıyor.
Bir ağın içine girdikten sonra, saldırganlar DNS yapılandırmalarını değiştirmek ve kimlik bilgilerini hasat etmek için kötü amaçlı JavaScript’i giriş portallarına enjekte etmek gibi gelişmiş teknikleri kullanır.
Ayrıca, meşru ağ trafiğine karışırken gizli kalıcılığı korumak için Atera ajanı gibi uzaktan yönetim araçlarını da kullanırlar.
Operasyonların stratejik genişlemesi
. Badpilot Alt grubun faaliyetleri, özellikle askeri operasyonları ve istihbarat toplantısını desteklemede Rusya’nın jeopolitik hedefleriyle uyumludur.
Başlangıçta 2022’deki Rusya’nın işgalinin ilk aşamalarında Ukrayna üzerinde yoğunlaşan kampanya, o zamandan beri ABD, İngiltere, Kanada ve Avustralya gibi ülkelerde kritik altyapı içerecek şekilde kapsamını genişletti.
Bu coğrafi genişleme, Rusya’nın gelecekteki siber özellikli operasyonlar için seçenekleri sürdürürken, Rusya’nın düşmanca ülkeleri bozma konusundaki stratejik ilgisini yansıtıyor.
Microsoft, bu alt grubun 2023’ten beri Ukrayna’da en az üç yıkıcı siber saldırı sağladığını bildirdi.
Bu saldırılar, grubun Kremlin öncelikleriyle uyumlu olduğunda casusluktan yıkıcı operasyonlara geçiş yeteneğini göstermektedir.
Alt grubun tehlikeye atılan ağlara kalıcı erişimi, Seasshell Blizzard’a hem acil siber saldırılar hem de uzun vadeli zeka toplantısı için ölçeklenebilir bir platform sağlar.
Badpilot kampanyası, devlet destekli hack gruplarının yarattığı gelişen tehdidin altını çiziyor.
Bilinen güvenlik açıklarından ve gelişmiş kalıcılık tekniklerinden yararlanarak Seasshell Blizzard, küresel siber güvenlik savunmalarına meydan okumaya devam ediyor.
Kampanyanın kritik altyapıya odaklanması, kuruluşların güvenlik açıklarını derhal yamalama ve sağlam izleme çözümleri benimsemeleri için acil ihtiyacını vurgulamaktadır.
Uzmanlar, bu alt grubun dünya çapında ağları tehlikeye atmak için yatay olarak ölçeklenebilir teknikleri yenilemeye devam edeceği konusunda uyarıyor.
Jeopolitik manzara geliştikçe, bu siber operasyonların Rusya’nın stratejik hedeflerinin temel taşı olarak kalması bekleniyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free