Rus Hükümeti Destekli Siber Saldırı
Yeni bir araştırmaya göre, Rusya hükümeti destekli bir hacking grubu, Ukrayna’nın askeri sistemlerini hedef alarak, siber suçlular tarafından geliştirilen araçlar ve altyapıyı kullanmış.
Secret Blizzard Hacking Grubu
Microsoft, Secret Blizzard adlı grubu analiz eden bir rapor yayınladı. Bu grup, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Rusya Federal Güvenlik Servisi (FSB)’nin 18. merkezine bağlı olduğu belirtilmiştir. Diğer siber güvenlik firmaları ise bu grubu Turla olarak da adlandırmaktadır.
Amadey Botnet’in Rolü
Microsoft araştırmacıları, Secret Blizzard’ın, siber suçluların geliştirdiği ve Rusya’nın hacker forumlarında satılan Amadey adındaki bir botnet’i kullandığını belirtiyor. Bu botnet aracılığıyla Mart ve Nisan ayları arasında Ukrayna askeriyle ilişkilendirilmiş cihazlara girmeye çalıştılar. Microsoft, Secret Blizzard’ın Amadey’e nasıl erişim sağladığını hala araştırmakta, ancak grubun muhtemelen botnet’i ya satın alarak ya da sızarak kullandığını düşünüyor.
Raporda, “Secret Blizzard, üçüncü parti erişimlerini kullanarak, casusluk değeri taşıyan ayaklar kurmaya yönelik belirli ve kasıtlı bir yöntem olarak bu tür girişimleri sürdürmektedir” ifadesine yer verildi.
Saklambaç ve İzleme Stratejisi
Hackers tarafından kullanılan yöntemler arasında izlenmeyi önlemek için yaygın araçların kullanılması da var. Microsoft’un tehdit istihbaratı stratejisi başkanı Sherrod DeGrippo, “Ticari araçların kullanılması, tehdit aktörünün kökenini gizlemesine ve atıf yapılmasını daha zor hale getirmesine olanak tanır” dedi.
Amadey Botnet’in Kullanım Amacı
Genellikle siber suçlular tarafından bir kripto madencisi yüklemek için kullanılan Amadey botnet’in, bu kampanya için farklı bir amaçla kullanıldığı belirtildi. Microsoft, Amadey ve Secret Blizzard’ın arkasındaki hackerların farklı olduğuna kesinlikle inanıyor.
Bu kampanyada, Secret Blizzard’ın, Ukrayna Ordusu ve Ukrayna Sınır Koruma ile ilgili bilgisayarlara saldırdığı bildirildi. Microsoft, bu tür siber saldırıların 2022’den beri Secret Blizzard’ın, Ukrayna’da kendi yazılımlarını yaymak için siber suç kampanyalarını kullandığı en az ikinci kez olduğunu belirtiyor.
Uzun Süreli Espiyonaj ve İstihbarat Toplama
Secret Blizzard, yabancı işbirlikleri, elçilikler ve savunma bakanlıkları gibi hükümet kuruluşlarını ve savunma ile ilgili şirketleri uzun vadede hedef alıyor. Bu saldırılar, bilgi toplama ve istihbarat üretme amacını gütmektedir.
Microsoft’un incelediği malware örneği, kurbanın sistemine dair bilgileri toplamak için tasarlanmıştı. Örneğin, cihaz adı ve yüklü herhangi bir antivirüs yazılımı gibi bilgiler bu ilk aşamada elde edilmekteydi. Bu bilgiler, sonrasında daha fazla malware ve araçların deploy edilmesi için kullanılmaktadır.
Starlink Hedef Alındı
Microsoft’un araştırmaları, Secret Blizzard’ın hedeflerini belirlerken Starlink gibi önemli iletişim sistemlerini hedef aldığını gösteriyor. Starlink, SpaceX tarafından sunulan bir uydu hizmetidir ve Ukrayna askeri operasyonlarında yaygın biçimde kullanılmaktadır.
Özel Araçların Kullanımı
DeGrippo, bu siber saldırıların Secret Blizzard tarafından gerçekleştirildiğinden %100 emin olduklarını belirtiyor. Çünkü hackerlar, diğer gruplarda daha önce görülmemiş özel backdoor’lar olan Tavdig ve KazuarV2’yi kullanmışlardır.
Geçtiğimiz hafta, Microsoft ve güvenlik şirketi Black Lotus Lab, Secret Blizzard’ın diğer ulus-devlet hacker gruplarının araç ve altyapısını nasıl koordine ettiğini gösteren raporlar yayınladı. Bu raporda, Secret Blizzard’ın, 2022’den beri Pakistan merkezli bir hacking grubunu kullanarak askeri ve istihbarat hedeflerine ulaştığı bildirildi.
Son olarak, Washington D.C.’deki Rus Büyükelçiliği ve FSB, konuyla ilgili yorum taleplerine yanıt vermedi.