bencede
New member
Moskova'dan selamlar: “Cosy Bear”, “Midnight Blizzard”, “Nobelium” veya “The Dukes” olarak da bilinen Rusya merkezli tehdit grubu APT29'un, yeni kötü amaçlı yazılımlarla önemli Alman politikacılara ve partilere saldırdığı bildirildi. 2022'den bu yana Google'ın bir parçası olan siber güvenlik şirketi Mandiant'ın yaptığı analizden ortaya çıkan şey bu. Siber saldırı, insanları 1 Mart'taki CDU yemeğine davet eden Şubat ayının sonunda gönderilen kimlik avı e-postaları aracılığıyla gerçekleştirildi. İçerdiği bağlantılar kurbanları güvenliği ihlal edilmiş bir web sitesine yönlendiriyordu. Başlangıçta, kötü amaçlı yazılım düşürücü olarak görev yapan ve wineloader adı verilen bir arka kapı yüklemeye çalışan Rootsaw çalıştırılabilir programı burada gizlenmişti.
Duyuru
Soruşturmayla ilgili bir blog gönderisinde yer alan Mandiant ekran görüntüsüne göre, sahte e-postanın Almanca dilinde “Etkinliğe katılmak için bir anket doldurmanız ve bunu önümüzdeki birkaç gün içinde e-posta yoluyla göndermeniz gerekiyor” yazıyor. Ancak daha dikkatli okursanız bazı tuhaf kelimelerle karşılaşabilirsiniz. Akşam yemeği, etkinlik günü “akşam 7'de yardım edecek” partinin “bölgesel temsilcisi” tarafından organize edilmelidir.
Öncelikle alıcılardan bir anket doldurmaları istendi. Bu nedenle davetiyelerin “uygun bir zamanda gönderilmesi” gerektiğini söyledi. İlk olarak 2023 baharında kamuoyuna duyurulan Rootsaw indiricisi, ikinci bir mesajda aniden başlangıç saatini 18.30'a ayarladı ve “iş amaçlı akıllı” kıyafet kuralını belirtti. Konum bilgileri “hala netleştiriliyor”.
Hayali CDU yemeği
Tehlikeli bağlantılara kaç misafirin tıkladığı bilinmiyor. CDU, Spiegel'e olayla ilgili bilgilerin zaten alındığını doğruladı. E-postada bahsi geçen olay hayal ürünüdür: “1 Mart'ta resmi bir CDU yemeği yoktu.” Spiegel'e göre Anayasayı Koruma Dairesi ve BSI halihazırda dava üzerinde çalışıyor. Saldırıların amacı virüslü bilgisayarlardan veri çalmaktı.
Mandiant'a göre kötü amaçlı yazılım, bilinen APT29 kötü amaçlı yazılım ailelerinin özelliklerini taşıyor ve ortak bir geliştirici öneriyor. Batılı gözlemcilere göre grup, Rus dış istihbarat servisi SWR tarafından kontrol ediliyor. APT, diğerlerinin yanı sıra SolarWinds, HPE ve Microsoft'taki yıkıcı siber ihlallerle ilişkilendirildi. Ayrıca 2016 ABD seçimleri öncesinde Demokrat Parti sunucularına, Batılı bakanlıklar ve büyükelçiliklere, korona aşısı geliştirme laboratuvarlarına yapılan siber saldırılardan da sorumlu olduğu söyleniyor.
Kapsamlı Rus siber operasyonlarına karşı uyarı
Mandiant'a göre, Ocak ayından bu yana yalnızca Batılı uzmanların radarında olan Wineloader arka kapısı muhtemelen Burntbatter, Muskybeat ve Beatdrop kötü amaçlı yazılım ailelerinin bir çeşidi. Her ikisi de şu ana kadar sistemlere nasıl saldırdıkları ve analizlerden nasıl korundukları açısından yalnızca APT29'a atandı. Ancak Wineloader'ın kullanımı çok daha basit olduğundan, ilgili kötü amaçlı yazılım işlemleri artık “son derece uyarlanabilir”.
Ocak ayının sonunda, yeni kötü amaçlı yazılım Çek Cumhuriyeti, Hindistan, İtalya, Letonya ve Peru'daki diplomatik birimlere yönelik kampanyalarda da kullanıldı. Hackernews tarafından belgelenen bir vakada, Wineloader içeren web sitelerine ziyaretçi çekmek için PDF bağlantıları da kullanıldı. Mevcut durumda bağlantılar doğrudan e-postalara eklenmiştir.
Rusya'nın jeopolitik çıkarları göz önüne alındığında araştırmacılar, Avrupalı ve Batılı siyasi partilere, sivil toplum örgütlerine ve şirketlere yönelik küresel bir tehdit olduğunu varsayıyorlar. Saldırganlar kimlik avının yanı sıra bulut tabanlı kimlik doğrulama mekanizmalarını da aşmaya çalışabilir. Mandiant analisti Dan Black, keşfedilen saldırının “Rusya'nın Avrupa'nın Ukrayna'ya verdiği desteği baltalamaya yönelik daha geniş bir çabanın parçası” olduğunu söylüyor. Meslektaşı John Hultquist “bu faaliyetlerin belirli bir parti veya ülkeyle sınırlı olduğuna inanmak için hiçbir neden yok” diyor. SWR her zaman Kremlin'in Batı siyasetini anlamasına ve tahmin etmesine yardımcı olmakla görevlendirildi.
(Asla)
Haberin Sonu
Duyuru
Soruşturmayla ilgili bir blog gönderisinde yer alan Mandiant ekran görüntüsüne göre, sahte e-postanın Almanca dilinde “Etkinliğe katılmak için bir anket doldurmanız ve bunu önümüzdeki birkaç gün içinde e-posta yoluyla göndermeniz gerekiyor” yazıyor. Ancak daha dikkatli okursanız bazı tuhaf kelimelerle karşılaşabilirsiniz. Akşam yemeği, etkinlik günü “akşam 7'de yardım edecek” partinin “bölgesel temsilcisi” tarafından organize edilmelidir.
Öncelikle alıcılardan bir anket doldurmaları istendi. Bu nedenle davetiyelerin “uygun bir zamanda gönderilmesi” gerektiğini söyledi. İlk olarak 2023 baharında kamuoyuna duyurulan Rootsaw indiricisi, ikinci bir mesajda aniden başlangıç saatini 18.30'a ayarladı ve “iş amaçlı akıllı” kıyafet kuralını belirtti. Konum bilgileri “hala netleştiriliyor”.
Hayali CDU yemeği
Tehlikeli bağlantılara kaç misafirin tıkladığı bilinmiyor. CDU, Spiegel'e olayla ilgili bilgilerin zaten alındığını doğruladı. E-postada bahsi geçen olay hayal ürünüdür: “1 Mart'ta resmi bir CDU yemeği yoktu.” Spiegel'e göre Anayasayı Koruma Dairesi ve BSI halihazırda dava üzerinde çalışıyor. Saldırıların amacı virüslü bilgisayarlardan veri çalmaktı.
Mandiant'a göre kötü amaçlı yazılım, bilinen APT29 kötü amaçlı yazılım ailelerinin özelliklerini taşıyor ve ortak bir geliştirici öneriyor. Batılı gözlemcilere göre grup, Rus dış istihbarat servisi SWR tarafından kontrol ediliyor. APT, diğerlerinin yanı sıra SolarWinds, HPE ve Microsoft'taki yıkıcı siber ihlallerle ilişkilendirildi. Ayrıca 2016 ABD seçimleri öncesinde Demokrat Parti sunucularına, Batılı bakanlıklar ve büyükelçiliklere, korona aşısı geliştirme laboratuvarlarına yapılan siber saldırılardan da sorumlu olduğu söyleniyor.
Kapsamlı Rus siber operasyonlarına karşı uyarı
Mandiant'a göre, Ocak ayından bu yana yalnızca Batılı uzmanların radarında olan Wineloader arka kapısı muhtemelen Burntbatter, Muskybeat ve Beatdrop kötü amaçlı yazılım ailelerinin bir çeşidi. Her ikisi de şu ana kadar sistemlere nasıl saldırdıkları ve analizlerden nasıl korundukları açısından yalnızca APT29'a atandı. Ancak Wineloader'ın kullanımı çok daha basit olduğundan, ilgili kötü amaçlı yazılım işlemleri artık “son derece uyarlanabilir”.
Ocak ayının sonunda, yeni kötü amaçlı yazılım Çek Cumhuriyeti, Hindistan, İtalya, Letonya ve Peru'daki diplomatik birimlere yönelik kampanyalarda da kullanıldı. Hackernews tarafından belgelenen bir vakada, Wineloader içeren web sitelerine ziyaretçi çekmek için PDF bağlantıları da kullanıldı. Mevcut durumda bağlantılar doğrudan e-postalara eklenmiştir.
Rusya'nın jeopolitik çıkarları göz önüne alındığında araştırmacılar, Avrupalı ve Batılı siyasi partilere, sivil toplum örgütlerine ve şirketlere yönelik küresel bir tehdit olduğunu varsayıyorlar. Saldırganlar kimlik avının yanı sıra bulut tabanlı kimlik doğrulama mekanizmalarını da aşmaya çalışabilir. Mandiant analisti Dan Black, keşfedilen saldırının “Rusya'nın Avrupa'nın Ukrayna'ya verdiği desteği baltalamaya yönelik daha geniş bir çabanın parçası” olduğunu söylüyor. Meslektaşı John Hultquist “bu faaliyetlerin belirli bir parti veya ülkeyle sınırlı olduğuna inanmak için hiçbir neden yok” diyor. SWR her zaman Kremlin'in Batı siyasetini anlamasına ve tahmin etmesine yardımcı olmakla görevlendirildi.
(Asla)
Haberin Sonu