Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
CERT-UA, Tehdit Aktörünün “Haşarat”ın Senkronizasyon Uygulaması Kullandığını Açıkladı
Akşaya Asokan (asokan_akshaya) •
6 Haziran 2024
Ukraynalı siber savunucular, işgal altındaki Donbas şehri Luhansk’ta faaliyet gösteren Rus istihbarat korsanlarının bir bilgi hırsızı ile askeri e-posta gelen kutularını hedef aldığını söyledi.
Ayrıca bakınız: Canlı Web Semineri | Dijital Doppelgängers: Deepfake Teknolojisinin İkili Yüzü
Perşembe günü Ukrayna Bilgisayar Acil Durum Müdahale Ekibi, “Vermin” olarak da bilinen UAC-0020 olarak takip ettiği bir grubun, hedef odaklı kimlik avı kampanyasının bir parçası olarak “Spectr” adlı kötü amaçlı yazılım türünü kullandığını söyledi.
Kimlik avı e-postasının bir silah taretiyle ilgili şifre korumalı bilgiler içerdiği görülüyor. Bir ek, üç dosyadan oluşan bir arşiv klasörü içerir: sahte PDF, çalıştırılabilir bir dosya ve bir toplu iş dosyası. Yürütülebilir dosya, meşru bir açık kaynak, eşler arası senkronizasyon uygulaması olan Syncthing’in değiştirilmiş bir sürümüyle birlikte gelen Spectr kötü amaçlı yazılımını içeriyor. Bilgisayar korsanları, Syncthing’in kullanıcı bildirimlerinin devre dışı bırakılmasını da içeren değişiklikler yaptı.
Kötü amaçlı yazılım, arka planda çalışırken etkilenen cihazdan belgeleri, dosyaları, şifreleri ve kurbanların Telegram, Signal ve Skype hesaplarındaki veriler de dahil olmak üzere diğer bilgileri çalıyor.
Bilgi hırsızı, sızdırılan verileri bir alt klasöre kopyalar ve dosya paylaşım uygulamasını kullanarak aktarır.
CERT-UA, kampanyayı “o kadar da başarılı değil” olarak nitelendirerek “SIckSync” adını verdi. Ukrayna, Vermin’in Luhansk kolluk kuvvetlerinin bir operasyonu olduğunu söyledi. Ukrayna’nın bu bölgesi, Rusya’nın sözde ilhak ettiği 2014’ten 2022’ye kadar ayrılıkçı bir devlet olarak Rusya destekli paramiliter güçlerin desteğiyle faaliyet gösterdi.
Vermin’in bilinen son operasyonu, Ukraynalı siber savunucuların Spectr kötü amaçlı yazılımını dağıtan benzer bir kampanyayı tespit ettiklerini söylediği Mart 2022’de gerçekleşti.
Rusya-Ukrayna savaşı üçüncü yılına giriyor. Mayıs ayında Rusya, Kharkiv bölgesinde yeni bir savaş cephesi açtı ve Savaş Araştırmaları Enstitüsü Çarşamba günü yaptığı açıklamada, yenilenen ABD askeri yardımının ön cepheye geniş ölçekte ulaşmasından önce “Rus kuvvetlerinin taktiksel ve operasyonel açıdan önemli kazanımlar elde etmeye çalıştığını” söyledi. ABD Başkanı Joe Biden Mayıs ayında Ukrayna’nın Rusya’daki Rus güçlerine saldırmak için topçu silahlarını kullanmasını onayladı. New York Times Çarşamba günü, Ukraynalı bir parlamento üyesinin, silahlı kuvvetlerin bu izni, Amerikan Yüksek Hareketli Topçu Roket Sistemini kullanarak Belgorod bölgesindeki Rus füze rampalarını imha etmek için kullandığını söylediğini bildirdi.