Neredeyse on yıldır aktif olan Rusya merkezli gelişmiş kalıcı bir tehdit grubu, son zamanlarda Ukrayna’da kötü niyetli siber saldırı faaliyetlerini hızlandırdı ve bu günlerde jeopolitik gerilimlerin rutin olarak siber alana nasıl yayıldığının bir başka örneği.
Örgütler için saldırılar, bölgede bulunan sistemlere neden çok dikkat etmeleri ve hedef alınırlarsa hasarı kontrol altına almak için önlemler almaları gerektiğinin bir hatırlatıcısıdır.
Microsoft, Symantec ve Palo Alto Networks’ün 42. Birim grubundan araştırmacılar, geçen hafta, Rusya Federal Güvenlik Servisi (FSB) ile bağlantılı olduğuna inanılan bir tehdit aktörü olan Actinium’a (aka Gameredon ve Shuckworm) bağlı olarak gözlemledikleri son siber casusluk faaliyetleri hakkında ayrı raporlar yayınladılar. .
Saldırılar, birkaç güvenlik araştırmacısının son aylarda Rusya ve Ukrayna arasındaki artan gerilimler arasında gözlemlediği, Ukraynalı varlıkları hedef alan daha geniş bir kötü amaçlı siber faaliyet grubunun parçası. Birçoğunun Rus ajanlar tarafından yürütüldüğüne inandığı faaliyet, Ukrayna’daki çok çeşitli hükümet ve özel kuruluşları etkiledi. Fidye yazılımları ve diğer yıkıcı saldırı biçimlerini, siber destekli casusluk faaliyetlerini, dezenformasyon kampanyalarını ve sahte bayrak operasyonlarını içeriyordu.
Cisco Talos’un sosyal yardım başkanı Nick Biasini, Ukrayna’daki mevcut kötü niyetli siber faaliyetin bölgede daha önce gözlemlediğinden çok farklı olmadığını söylüyor. Ancak Rusya ile Ukrayna arasındaki mevcut artan gerilim göz önüne alındığında bu önemli.
Biasini, “NotPetya 2017’de gerçekleştiğinden beri, Ukrayna’da ikamet eden veya Ukrayna’da ikamet eden kuruluşlarla bağlantılı sistemler için ek incelemeler öneriyoruz” diyor. “Bu, onları ağ mimarisi aracılığıyla izole etmeyi ve gelişmiş aktörler tarafından hedef alındıkları gösterildiğinden bu sistemleri çevreleyen artan izleme/avlanma faaliyetlerine sahip olmayı içerebilir.”
Microsoft’un Analizi
Microsoft, Actinium’u gözlemlediğini söyledi Ukrayna’nın acil müdahale yetenekleri ve ulusal güvenliği için kritik öneme sahip kuruluşları hedef alıyor ve tehlikeye atıyor. Actinium’un saldırıları Ekim 2021’de başladı ve Ukrayna’da insani yardım faaliyetlerinde bulunan kuruluşları da etkiledi. Microsoft’un Actinium’un en son kampanyasına ilişkin analizi, tehdit aktörünün ağırlıklı olarak, güvenliği ihlal edilmiş sistemlere kötü amaçlı yazılım yüklemek için uzaktan şablon yerleştirme olarak bilinen bir yöntem kullanan kötü niyetli ekleri olan hedef odaklı kimlik avı e-postaları kullandığını gösteriyor. Yöntem, kötü amaçlı kod içeren ve statik kötü amaçlı yazılım algılama araçlarından kaçınmak için tasarlanmış başka bir uzak belgeyi yüklemek için bir belgeyi kullanmayı içerir. Microsoft, Actinium’un kullandığı kimlik avı cazibelerinin, Dünya Sağlık Örgütü gibi meşru kuruluşları taklit edenleri içerdiğini söyledi.
Tehdit aktörü bir ağa eriştiğinde, görevini yerine getirmek için çeşitli diğer gelişmiş kötü amaçlı yazılım araçlarını devreye sokar. Bunlardan biri, Actinium üyelerinin klavyeden uygulamalı saldırılar gerçekleştirebilmeleri için bir ağa etkileşimli erişim elde etmelerini sağlayan Pterodo adlı bir araçtır. Microsoft’un Actinium’u en son saldırılarında kullandığını gözlemlediği diğer araçlar arasında, verileri sızdırmak için kötü amaçlı bir ikili dosya olan QuietSieve ve PowerShell’den tek satırlık bir komut olarak yürütülen bir kötü amaçlı yazılım düşürücü olan PowerPunch yer alıyor.
Bu arada, göre Palo Alto Network’ün Birimi 42 grubu, Actinium’un son hedeflerinden en az biri, Ukrayna merkezli bir Batı hükümet kuruluşuydu. 19 Ocak 2022’deki bu saldırıda, tehdit aktörü, Ukrayna’daki bir iş arama sitesinde aktif bir iş ilanına yanıt olarak kötü amaçlı yazılımlarını bir özgeçmiş olarak yükledi. Palo Alto, silah haline getirilmiş özgeçmişin daha sonra iş arama platformu aracılığıyla hedeflenen Batı hükümet kuruluşuna sunulduğunu söyledi. Actinium’u Gamaredon olarak izleyen güvenlik sağlayıcısı, tehdit aktörünün Ukrayna’daki kuruluşlara yönelik saldırılarında son iki ayda kullandığı 136 alan tanımladığını söyledi; Bunlardan 131’inin Rusya’da barındırılan IP adresleri var.
Palo Alto Networks, Actinium/Gamaredon’un son üç ayda Ukrayna kampanyasında kullandığı ilk 17 kötü amaçlı yazılım indiricisini keşfetti. Microsoft gibi, Palo Alto da indiricileri, kötü niyetli kodun iyi huylu bir belge kullanılarak uzak bir konumdan aşağı çekilmesine izin vermek için tasarlanmış bir uzak şablon yerleştirme teknolojisi kullanıyor olarak tanımladı.
SymantecGeçen hafta Actinium etkinliğini tespit etmek için uzlaşma göstergeleri ve TTP’ler de yayınlayan , tehdit aktörünün komuta ve kontrol altyapısının büyük ölçüde Rusya’da barındırıldığını açıkladı.
Yüksek Risk
Biasini, “Bu bölgede sistemlere sahip olmak, ileri düzey aktörlerin ilgisini artırabilir” diyor. “Bu bilgi ile işletmeler kendilerini buna göre korumalıdır.”
Actinium gibi grupların saldırı ve kampanyalarının yanı sıra, bazı grupların ilişkilendirme çabalarını karmaşıklaştırma girişimleri de oldu. Cisco Talos’u Ukrayna’daki saldırılar ve bunların arkasında kimlerin olabileceği hakkında çok sayıda yanlış anlatı oluşturmak için tasarlanmış gibi görünen Ukrayna’daki son saldırılarla ilgili yeni bilgileri yakın zamanda analiz ettiğini söyledi.
Şirketin araştırdığı bir kampanyada, tehdit aktörü, Ukrayna’daki son siber saldırılardan Polonya ve Ukrayna’daki aktörler sorumluymuş gibi görünmeye çalıştı. Cisco Talos’a göre, bu çabaların temel amacı, saldırıların gerçek kaynakları hakkında şüphe uyandırmak gibi görünüyordu.