Cumartesi günü Microsoft’tan siber güvenlik ekipleri, ülke ve Rusya arasındaki jeopolitik gerilimlerin ortasında Ukrayna’daki hükümet, kar amacı gütmeyen kuruluşlar ve bilgi teknolojisi varlıklarını hedef alan yeni bir yıkıcı kötü amaçlı yazılım operasyonunun kanıtlarını belirlediklerini açıkladılar.
Microsoft’ta müşteri güvenliği ve güveninden sorumlu kurumsal başkan yardımcısı Tom Burt, “Kötü amaçlı yazılım fidye yazılımı olarak gizleniyor, ancak saldırgan tarafından etkinleştirilirse, virüslü bilgisayar sistemini çalışamaz hale getirecek” dedi. söz konusu, izinsiz girişlerin eklenmesi, kritik yürütme organı veya acil müdahale işlevleri sağlayan devlet kurumlarına yönelikti.
Burt, “web sitelerine yakın zamanda tahrif edilen devlet kurumları da dahil olmak üzere, kamu ve özel sektör müşterileri için web sitelerini yöneten” bir BT firmasının da hedeflendiğini kaydetti.
Kötü amaçlı yazılımı ilk olarak 13 Ocak’ta tespit eden bilgi işlem devi, saldırıları ” kod adlı yeni ortaya çıkan bir tehdit kümesine bağladı.DEV-0586,” önceden belgelenmiş diğer gruplarla taktik ve prosedürlerde herhangi bir çakışma gözlemlenmedi. Ayrıca, kötü amaçlı yazılımın etkilenen düzinelerce sistemde bulunduğunu ve bu sayının soruşturma devam ettikçe artmasını beklediğini söyledi.
Microsoft Tehdit İstihbarat Merkezi (MSTIC) ve Microsoft Dijital Güvenlik Birimi’ne (DSU) göre, saldırı zinciri içeren iki aşamalı bir süreçtir –
- Ana Önyükleme Kaydının Üzerine Yazma (MBR), herhangi bir sabit diskin, bir bilgisayarın RAM’ine yüklenebilmesi için işletim sisteminin diskte nerede bulunduğunu tanımlayan ilk sektörü, kurbanın sisteminde, hedefi 10.000 ABD Doları tutarında bir miktar ödemeye teşvik eden sahte bir fidye notu görüntülemek için bir bitcoin cüzdanına
- 189 farklı uzantıya sahip dosyaları aramak için tasarlanmış bir Discord kanalında barındırılan bir dosyayı bozan kötü amaçlı yazılımı alan, ardından sabit sayıda 0xCC bayt ile içeriklerinin üzerine geri dönülmez bir şekilde yazan ve her dosyayı görünüşte rastgele dört bayt ile yeniden adlandıran ikinci aşamalı bir yürütülebilir dosya uzantı.
Microsoft, “açık ödeme tutarlarının ve kripto para cüzdan adreslerinin modern ceza fidye notlarında nadiren belirtilmesi” ve “bu durumda fidye notunun özel bir kimlik içermemesi” nedeniyle siber suçlu fidye yazılımı etkinliğiyle “tutarsız” olduğunu söyledi.
Gelişme, Doğu Avrupa ülkesindeki çok sayıda hükümet web sitesinin Cuma günü Ukraynalıları kişisel verilerinin internete yüklendiği konusunda uyaran bir mesajla tahrif edilmesiyle geldi. Ukrayna Güvenlik Servisi (SSU), Rus istihbarat servisleriyle bağlantılı bilgisayar korsanlığı gruplarının dahil olduğuna dair “işaretler” bulduğunu söyledi.
Araştırmacılar, “Gözlemlenen izinsiz girişlerin ölçeği göz önüne alındığında, MSTIC, tanımlanan yıkıcı eylemlerin amacını değerlendiremiyor, ancak bu eylemlerin, Ukrayna’da yerleşik veya sistemlere sahip herhangi bir devlet kurumu, kar amacı gütmeyen kuruluş veya kuruluş için yüksek bir risk oluşturduğuna inanıyor.” uyardı.
Ancak, Reuters bugün erken saatlerde olasılığı yükseltti saldırıların, UNC1151 ve Ghostwriter olarak izlenen Belarus istihbaratıyla bağlantılı bir casusluk grubunun işi olabileceği. Siber güvenlik firması Mandiant, “Ukrayna devlet kurumlarına birden fazla önemli izinsiz giriş UNC1151 tarafından gerçekleştirildi” ifşa Kasım 2021’deki bir raporda, grubun operasyonlarının Belarus hükümetinin çıkarlarıyla uyumlu olduğuna dikkat çekildi.
.
siber-2