Rusya’ya bağlı Sandworm, başka bir silici kötü amaçlı yazılım türünü kullandı. NikoSilecek Ekim 2022’de Ukrayna’da bir enerji sektörü şirketini hedef alan saldırının bir parçası olarak.
Siber güvenlik şirketi ESET, The Hacker News ile paylaştığı en son APT Etkinlik Raporunda, “NikoWiper, Microsoft’un dosyaları güvenli bir şekilde silmek için kullanılan bir komut satırı yardımcı programı olan SDelete’ye dayanmaktadır.”
Slovak siber güvenlik firması, saldırıların Rus silahlı kuvvetleri tarafından Ukrayna enerji altyapısını hedef alan füze saldırılarıyla aynı zamana denk geldiğini ve hedeflerin örtüştüğünü öne sürdü.
Açıklama, ESET’in Sandworm’u 25 Ocak 2023’te adı açıklanmayan bir Ukrayna kuruluşuna karşı konuşlandırılan SwiftSlicer adlı Golang tabanlı bir veri siliciyle ilişkilendirmesinden yalnızca birkaç gün sonra geldi.
Rusya’nın yabancı askeri istihbarat teşkilatı GRU ile bağlantılı gelişmiş kalıcı tehdit (APT) grubu, ulusal haber ajansı Ukrinform’u hedef alan ve güvenliği ihlal edilmiş makinelere beş adede kadar farklı silici yerleştiren kısmen başarılı bir saldırıda yer aldı.
Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), beş silecek çeşidini CaddyWiper, ZeroWipe, SDelete, AwfulShred ve BidSwipe olarak tanımladı. Bunlardan ilk üçü Windows sistemlerini hedef alırken, AwfulShred ve BidSwipe Linux ve FreeBSD sistemlerini hedef aldı.
Sandworm’un Ukrayna’daki hedeflenen kuruluşlara geri dönülmez hasara neden olmak için en az iki farklı durumda bir silici olarak yardımcı programı denediğini öne sürdüğü için SDelete’nin kullanımı dikkate değerdir.
Bununla birlikte, ESET kötü amaçlı yazılım araştırmacısı Robert Lipovsky The Hacker News’e “NikoWiper farklı bir kötü amaçlı yazılımdır” dedi.
Sandworm’un son kampanyaları, SDelete’i silahlandırmanın yanı sıra, kurban verilerini herhangi bir kurtarma seçeneği olmadan şifreleme engellerinin arkasına kilitlemek için Prestige ve RansomBoggs dahil olmak üzere ısmarlama fidye yazılımı ailelerinden de yararlandı.
Çabalar, yıkıcı silecek kötü amaçlı yazılım kullanımının arttığının ve Rus bilgisayar korsanlığı ekipleri arasında tercih edilen bir siber silah olarak giderek daha fazla benimsendiğinin en son göstergesidir.
BlackBerry’den Dmitry Bestuzhev The Hacker News’e yaptığı açıklamada, “Silecekler, hedeflenen silahlar oldukları için yaygın olarak kullanılmadı.” “Sandworm, açıkça Ukrayna için kullanılan siliciler ve fidye yazılımı aileleri geliştirmek için aktif olarak çalışıyor.”
APT29, Callisto ve Gamaredon gibi diğer Rus devlet destekli kuruluşlar, arka kapı erişimini ve kimlik bilgileri hırsızlığını kolaylaştırmak için tasarlanmış hedef odaklı kimlik avı kampanyaları yoluyla Ukrayna altyapısını felce uğratmak için paralel çabalar yürüttüğü için, bu sadece Sandworm değil.
APT29’u (namı diğer Nobelium) BlueBravo takma adı altında izleyen Recorded Future’a göre, APT, muhtemelen GraphicalNeutrino kod adlı bir kötü amaçlı yazılım yükleyiciyi teslim etmek için yem olarak kullanılan, tehlikeye atılmış yeni bir altyapıya bağlandı.
Ana işlevi devam eden kötü amaçlı yazılımları dağıtmak olan yükleyici, Notion’ın komut ve kontrol (C2) iletişimleri için API’sini ve platformun kurban bilgilerini depolamak ve indirilmek üzere yükleri hazırlamak için veritabanı özelliğini kötüye kullanır.
Şirket, geçen hafta yayınlanan bir teknik raporda, “Ukrayna kriziyle bağlantısı olan herhangi bir ülke, özellikle de Rusya veya Ukrayna ile önemli jeopolitik, ekonomik veya askeri ilişkileri olan ülkeler, hedef alınma riskiyle karşı karşıyadır” dedi.
Meşru bir not alma uygulaması olan Notion’a geçiş, APT29’un kötü amaçlı yazılım trafiğini birleştirmek ve algılamayı atlatmak için Dropbox, Google Drive ve Trello gibi popüler yazılım hizmetlerini “genişleyen ancak sürekli kullanımının” altını çiziyor.
İkinci aşama kötü amaçlı yazılım tespit edilmemesine rağmen, Ekim 2022’de kötü amaçlı yazılımın bir örneğini de bulan ESET, bunun “Cobalt Strike’ı getirmeyi ve yürütmeyi amaçladığını” teorize etti.
Bulgular, Rusya’nın 2022’de “eşgüdümlü saldırganlığın” hedefi olduğunu ve “istihbarat teşkilatları, ulusötesi BT şirketleri ve bilgisayar korsanları” tarafından “benzeri görülmemiş dış siber saldırılarla” karşı karşıya kaldığını belirtmesinin hemen ardından geliyor.
Rus-Ukrayna savaşı resmen on ikinci ayına girerken, çatışmanın siber alemde nasıl ilerleyeceği henüz belli değil.
Lipovsky, “Geçen yıl boyunca, işgalden sonraki ilkbaharda, sonbaharda ve yazın daha sakin aylarda olduğu gibi, artan aktivite dalgaları gördük, ancak genel olarak neredeyse sürekli bir saldırı akışı oldu.” Dedi. “Bu yüzden emin olabileceğimiz bir şey daha fazla siber saldırı göreceğimizdir.”