Siber casusluk hücumları artarak devam ediyor
27.09.2024 - Cuma 14:00Siber güvenlik şirketi ESET şu anda Ukrayna'da en çok faaliyet gösteren Rusya temaslı gelişmiş kalıcı tehdit (APT) kümesi Gamaredon'un operasyonlarını inceledi. ESET araştırmacıları Bulgaristan, Letonya, Litvanya ve Polonya üzere birkaç NATO ülkesindeki maksatları tehlikeye atmaya yönelik birkaç teşebbüs de gördüğünü ancak başarılı bir ihlal gözlemlenmediğini açıkladı.
2013 yılından bu yana faal olan ve Ukrayna'da en çok faaliyet gösteren APT kümesi olan Rusya ilişkili Gamaredon'un operasyonlarını inceledi. Gamaredon, Ukrayna Güvenlik Servisi (SSU) tarafından, Kırım'da faaliyet gösteren FSB'nin Rusya 18. Bilgi Güvenliği Merkezi'ne atfedildi. ESET, bu kümenin ESET Research tarafından keşfedilen ve InvisiMole olarak isimlendirilen öteki bir tehdit aktörü ile iş birliği yaptığına inanıyor. Bulgulara nazaran Gamaredon'un siber casusluk akınlarının birden fazla Ukrayna devlet kurumlarına yönelik. ESET Nisan 2022 ve Şubat 2023'te Bulgaristan, Letonya, Litvanya ve Polonya üzere çeşitli NATO ülkelerindeki amaçları tehlikeye atmaya yönelik birkaç teşebbüs gördü fakat başarılı bir ihlal gözlemlenmediğini paylaştı.
Word evraklarını ve USB şoförlerini silah haline getiriyor
Gamaredon daima değişen gizleme hileleri ve alan tabanlı engellemeyi atlamak için kullanılan çok sayıda teknik kullanıyor. Bu taktikler, sistemlerin kümenin araçlarını otomatik olarak tespit etmesini ve engellemesini zorlaştırdığından izleme eforları için kıymetli bir zorluk oluşturuyor. Araştırması kapsamında ESET uzmanları bu taktikleri tanımlamayı ve anlamayı başararak Gamaredon'un faaliyetlerini takip ettiler. Datalara nazaran, küme 2022 istilasının çok daha öncesinden beri makus niyetli araçlarını maksatlarına karşı metodik olarak kullanıyor. Gamaredon, yeni kurbanları tehlikeye atmak için kimlik avı kampanyaları yürütüyor. Akabinde birinci kurbanın erişebildiği Word dokümanlarını ve USB şoförlerini silah haline getirmek için özel makûs gayeli yazılımını kullanıyor ve bunların başka potansiyel kurbanlarla paylaşılmasını bekliyor.
Casusluk yeteneklerini geliştiriyor
2023 yılı boyunca Gamaredon siber casusluk yeteneklerini kıymetli ölçüde geliştirdi. PowerShell'de e-posta istemcilerinden, Signal ve Telegram üzere anlık iletileşme uygulamalarından ve internet tarayıcılarında çalışan web uygulamalarından kıymetli dataları çalmaya odaklanan birkaç yeni araç geliştirdi. Bununla birlikte, ESET'in Ağustos 2023'te keşfettiği bir bilgi hırsızı olan PteroBleed de bir Ukrayna askeri sistemiyle ilgili dataları ve bir Ukrayna devlet kurumu tarafından kullanılan web posta hizmetinden data çalmaya odaklanıyor.
Gamaredon'u araştıran ESET araştırmacısı Zoltán Rusnák yaptığı açıklamada "Gamaredon, birden fazla APT kümesinin bilakis, siber casusluk operasyonlarını yürütürken yeni teknikler kullanarak saklı olmaya ve mümkün olduğunca uzun müddet zımnî kalmaya çalışmıyor. Bilakis operatörler pervasız ve faaliyetleri sırasında savunmacılar tarafından keşfedilmeyi umursamıyorlar. Gürültülü olmayı çok fazla önemsemeseler de güvenlik eserleri tarafından engellenmemek için çok efor harcıyorlar ve ele geçirilmiş sistemlere erişimi sürdürmek için çok uğraşıyorlar. Tipik olarak Gamaredon tıpkı anda birden fazla kolay indirici ya da art kapı kullanarak erişimini muhafazaya çalışır. Gamaredon araçlarının karmaşıklık eksikliği, sık güncellemeler ve tertipli olarak değişen şaşırtmaca kullanımı ile telafi ediliyor. Araçlarının görece kolaylığına karşın Gamaredon'un agresif yaklaşımı ve ısrarcılığı onu kıymetli bir tehdit haline getiriyor. Bölgede devam eden savaş göz önüne alındığında Gamaredon'un Ukrayna'ya odaklanmaya devam etmesini bekliyoruz" dedi.
Kaynak: (BYZHA) Beyaz Haber Ajansı