Yeni araştırmaya göre, Rus hükümeti destekli bir bilgisayar korsanlığı grubu, siber suçlular tarafından geliştirilen araçları ve altyapıyı kullanarak Ukrayna ordusunu hedef aldı.
Çarşamba günü Microsoft, Secret Blizzard adını verdiği ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) daha önce “neredeyse kesinlikle Rusya Federal Güvenlik Servisi (FSB) Merkezi’ne bağlı” olduğunu söylediği bir grup tarafından yürütülen hackleme kampanyasını ayrıntılarıyla anlatan bir rapor yayınladı. ,” ve diğer güvenlik şirketlerinin Turla olarak adlandırdığı.
Microsoft araştırmacıları, yayınlanmadan önce TechCrunch ile paylaşılan raporda, Secret Blizzard’ın, Rus bilgisayar korsanlığı forumlarında satıldığı ve bir siber suç grubu tarafından geliştirildiği iddia edilen Amadey olarak bilinen bir botnet’i “Ukrayna hükümetiyle ilişkili cihazlara” sızmaya çalışmak için kullandığını yazdı. askeri” bu yılın Mart ve Nisan ayları arasında. Secret Blizzard’ın Amadey’e nasıl erişim sağladığını araştırdığını kabul eden şirket, bilgisayar korsanlığının ya botnet’i bir hizmet olarak kötü amaçlı yazılım olarak ödeyerek kullandığını ya da hack’lediğini düşünüyor.
Rapora göre Amadey botnet’ine bu üçüncü taraflardan biri olarak atıfta bulunularak, “Secret Blizzard, casusluk değeri taşıyan dayanak noktaları oluşturmak için özel ve kasıtlı bir yöntem olarak gizlice erişim çalarak veya satın alarak üçüncü taraflardan tutunma noktaları kullanıyor.”
Bilgisayar korsanlarının hedeflerinden biri tespit edilmekten kaçınmaktı. Microsoft’un tehdit istihbaratı stratejisi direktörü Sherrod DeGrippo, TechCrunch’a “emtia araçlarını kullanmanın, tehdit aktörünün potansiyel olarak kökenlerini gizlemesine ve ilişkilendirmeyi daha zor hale getirmesine olanak tanıdığını” söyledi.
Bize Ulaşın
Ukrayna’yı hedef alan Rus hackerlar hakkında daha fazla bilginiz var mı? Veya diğer siber casusluk operasyonları? Çalışmayan bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram ve Keybase @lorenzofb aracılığıyla veya e-posta yoluyla güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.
Rapora göre Amadey botnet’i normalde siber suçlular tarafından kripto madenci yüklemek için kullanılıyor. DeGrippo, Microsoft’un Amadey’in arkasındaki bilgisayar korsanlarıyla Secret Blizzard’ın arkasındaki bilgisayar korsanlarının farklı olduğundan emin olduğunu söyledi.
DeGrippo, TechCrunch’a yaptığı açıklamada, bu kampanyada Secret Blizzard’ın Ukrayna Ordusu ve Ukrayna Sınır Muhafızlarıyla ilgili bilgisayarları hedef aldığını söyledi. Microsoft, bu son siber saldırıların “2022’den bu yana Secret Blizzard’ın Ukrayna’da kendi kötü amaçlı yazılımlarına yer açmak için bir siber suç kampanyası kullandığı en az ikinci kez” olduğunu söyledi.
Microsoft’un raporuna göre, Secret Blizzard’ın uzun vadeli casusluk ve istihbarat toplamaya odaklanarak “dünya çapındaki dışişleri bakanlıkları, elçilikler, devlet daireleri, savunma bakanlıkları ve savunmayla ilgili şirketleri” hedef aldığı biliniyor.
Bu durumda, Microsoft’un analiz ettiği Secret Blizzard kötü amaçlı yazılım örneği, diğer kötü amaçlı yazılımları ve araçları dağıtmanın ilk adımı olarak kurbanın sistemi hakkında (cihaz adı ve varsa hangi antivirüs yazılımının yüklü olduğu gibi) bilgi toplamak üzere tasarlandı.
Microsoft araştırmacılarına göre Secret Blizzard, hedeflerin “daha fazla ilgi çekici” olup olmadığını belirlemek için bu kötü amaçlı yazılımı cihazlara yerleştirdi. Örneğin Secret Blizzard, Ukrayna ordusunun işgalci Rus kuvvetlerine karşı yürüttüğü operasyonlarda kullandığı SpaceX’in uydu hizmeti Starlink’i kullanan cihazları hedef aldı.
DeGrippo, şirketin bu hackleme kampanyasının Secret Blizzard tarafından yürütüldüğünden emin olduğunu, çünkü hackerların Tavdig ve KazuarV2 adı verilen ve “hiç başka gruplar tarafından kullanılmadığı” özel arka kapıları kullandığını söyledi.
Geçen hafta, Microsoft ve güvenlik firması Black Lotus Lab, Secret Blizzard’ın 2022’den bu yana casusluk faaliyetleri için başka bir ulus-devlet hack grubunun araçlarını ve altyapısını nasıl kullandığını gösteren raporlar yayınladı. İki şirketin araştırmasına göre bu durumda, Secret Blizzard, Pakistan merkezli bir bilgisayar korsanlığı grubunu Afganistan ve Hindistan’daki askeri ve istihbarat hedeflerine taşıdı. O dönemde Microsoft, Secret Blizzard’ın diğer hackerların araçlarından ve altyapısından yararlanmak için bu tekniği 2017’den beri İran hükümeti hackerları ve Kazakistan hack grubu dahil olmak üzere vakalarda kullandığını belirtmişti.
Washington DC’deki Rusya büyükelçiliği ve FSB yorum taleplerine yanıt vermedi.
Kaynak: https://techcrunch.com/2024/12/11/russian-government-spies-targeted-ukraine-using-tools-developed-by-cybercriminals/