Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
‘Çamaşır Ayısı’ 2024’ten beri aktif
Akhabokan Akan (Athokan_akhsha) •
27 Mayıs 2025
Hollanda istihbarat ajansları ve Microsoft, yeni bir Rus devlet istihbarat hackleme grubunun, Kuzey Amerika ve Avrupa ağlarına giriş yapmak için ceza pazarlarından çalıntı kimlik bilgilerini satın aldığını söylüyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Salı günü koordineli açıklamada, Hollanda hükümeti ve bilgi işlem devi, bu devlet bağlantılı hacker kümesinin 2024’ten beri aktif olduğunu ve “Avrupa Birliği ve NATO üye ülkelerine özel bir ilginin” olduğunu söyledi. Hollandalı ajanslar, “çamaşır ayı” olarak adlandırdıkları grubun, genellikle APT28 olarak izlenen Rus Ana İstihbarat Müdürlüğü’nün 26165 ünitesiyle taktikleri paylaştığını söyledi. “Bununla birlikte, çamaşır ayı ve apt28 iki farklı tehdit aktördür.”
Microsoft, grubu “Void Blizzard” olarak izliyor ve diğer Rus istihbarat hack operasyonlarıyla hedeflemede örtüşme gösterdiğini söylüyor. Diyerek şöyle devam etti: “Bu kavşak, bu tehdit aktörlerinin ana kuruluşlarına atanan ortak casusluk ve istihbarat toplama çıkarlarını öneriyor.”
Yetkililer, başarılı bir Eylül 2024’ün bir polis ajansına karşı kurabiye saldırısından sonra yeni siber başlık biriminin farkına vardılar ve Hollanda istihbaratının Rus hackerlarının giriş kurabiyesini bir Infostealer’ın bir suç pazarındaki teklifinden satın aldığını değerlendirdi. Bilgisayar korsanları, Ajansın Emniyet Müdürlüğü çalışan iletişim bilgilerini içeren küresel adres listesini kopyaladı.
Infostealers geleneksel olarak çevrimiçi dolandırıcıların ve kriptotiklerin aracı olmuştur, ancak bu çizgi Rusya’da, sağlam suçlu yeraltını bir personel ve veri kaynağı olarak kullanan ve hatta operasyonel bir yardımcı olarak kullanan bu çizgi genellikle bulanıktır (bkz: bkz: UYARI: Siber suç hizmetleri ulusal güvenlik riskini desteklemektedir).
Bu ayın başlarında uluslararası bir kolluk operasyonu, 2022’de Rusça dili siber suçlu forumlarında satışa sunulan Lumma Infostealer’ın operatörleri tarafından kullanılan altyapıyı devraldı. Başka bir operasyon Danabot’u bozdu, iki varyant olarak satıldı: Biri siber kiriş için ve diğeri espiller için, diğeri ise, diğeri, veri stoleninde, Rusya’nın içi tutulurken, görüntüleyin (diğeri). ABD, Danabot kötü amaçlı yazılımını düşürüyor, geliştiricileri gösteriyor).
Çamaşırhane, “Batı hükümetleri tarafından askeri malların tedariki ve üretimi ve üretimi ve Batı ülkelerinden Ukrayna’ya silah teslimatları” arıyor. Sadece günler önce, bir dizi Batı siber güvenlik ajansı Çarşamba günü, Rus istihbaratının Ukrayna’ya teslim edilen askeri yardımı izlemek için lojistik ve teknoloji şirketlerini hedeflediği konusunda uyardı.
Çalınan kimlik doğrulama kimlik bilgileri ve şifre püskürtme, çamaşır ayarı operasyonlarının büyük kısmını oluşturur, ancak Microsoft, grup şubesini ortadaki düşman saldırılarına dönüştürdüğünü söyledi. Siber savunucular, Nisan ayında kurbanları Microsoft Entra kimlik doğrulamasını sahte bir yönlendiren alana yönlendiren 20 sivil toplum kuruluşuna yönelik bir kimlik avı kampanyası gördü.
Kimlik avı yem, sahte bir “Avrupa Savunma ve Güvenlik Zirvesi” ni davet etti. Davette bir QR kodu tarayan kurbanlar aktarıldı. micsrosoftonline.combir entra kimlik doğrulama sitesini taklit eden bir kimlik kimlik avı sayfası.
Eksploit sonrası etkinlik, kullanıcı posta kutularını ve buluta barındırılan dosyaları numaralandırmak için bulut API’lerini kullanmayı içerir. Birkaç durumda, çamaşır ayı aktörleri Microsoft ekiplerine erişti veya kullanıcılar, roller, gruplar, uygulamalar ve uzlaşmış hesaba ait cihazlar hakkında bilgi edinmek için Azurehound Hacking aracını konuşlandırdı.