Rusya’dan devlet destekli tehdit aktörleri, en az Ocak 2020’ye kadar uzanan daha geniş ve devam eden bir siber casusluk kampanyasının bir parçası olarak ABD ordusu ve hükümeti tarafından kullanılan ABD silahlarının geliştirilmesi ve belirli teknolojiler hakkında sınıflandırılmamış ancak hassas verileri çaldı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Çarşamba günü yaptığı açıklamada, kampanyanın kurbanları arasında ABD Savunma Bakanlığı ve istihbarat topluluğu için çalışmak üzere güvenlik izni almış büyük ve küçük özel şirketleri ve yüklenicileri içerdiğini söyledi. Bu temizlenmiş savunma müteahhitleri (CDC’ler), ABD hükümeti için silah ve füze geliştirme, istihbarat ve gözetleme, savaş sistemleri ve araç ve uçak tasarımı dahil olmak üzere birçok alanda sözleşmeleri destekliyor.
bu CISA uyarısı herhangi bir Rus devlet aktörünü ismiyle tanımlamadı. Ancak kampanyada kullanılan birkaç taktik, teknik ve prosedürün (TTP’ler) açıklanmasında rapor, MITRE grup açıklamasına dikkat çekti. APT28Fancy Bear, ABD hükümetinin Rusya’nın ana istihbarat direktörü GRU ile ilişkilendirdiği bir tehdit grubu. Tehdit aktörü, 2016 başkanlık seçimleri sırasında Demokratik Ulusal Komite’deki ihlal ve 2014 ile 2018 yılları arasında Dünya Dopingle Mücadele Ajansı’na karşı sürdürülen bir kampanya da dahil olmak üzere çok sayıda yüksek profilli siber olayla ilişkilendirildi. 2018’de ABD, yedi Rus istihbarat görevlisini kampanyadaki rolleri nedeniyle suçladı.
CISA’nın bildiriminin, iki ülke arasındaki Ukrayna nedeniyle kötüleşen ilişkilerde ABD kuruluşlarına yönelik daha fazla Rus siber saldırısıyla ilgili endişeleri artıracağı kesin. Aslında bu hafta Başkan Biden, Rusya’yı ABD kuruluşlarına ve kritik altyapıya “yıkıcı siber saldırılar gibi asimetrik yollarla” saldırmaması konusunda özellikle uyardı. ABD bu tür saldırılara yanıt vermeye hazır, Biden uyardı.
CISA’nın Çarşamba uyarısının kendisi daha erken bir “Kalkanlar YukarıABD kuruluşlarını Rus tehdit aktörlerinin potansiyel olarak zarar verici siber saldırılarını hızlı bir şekilde tespit etmelerine ve bunlara yanıt vermelerine yardımcı olacak önlemler almaya çağıran teşkilattan bir not. Ukrayna ile olan ihtilafları da dahil olmak üzere.
Açık ve Mevcut Tehlike
VMWare siber güvenlik stratejisi başkanı Tom Kellermann, “Bu uyarı, Rusya merkezli siber milislerin oluşturduğu açık ve mevcut tehlikenin altını çiziyor” diyor. “Bu tavsiyenin gizliliğinin kaldırılması, savunma sanayi üssü aracılığıyla devlet kurumlarına karşı devam eden yaygın ada atlama kampanyasını vurgulamaktadır.”
CISA’ya göre, ABD’den onay almış savunma müteahhitlerini hedef alan kampanyanın arkasındaki Rus aktörler, hedef ağlara girmek ve bu ağlarda ısrarcı olmak için etkili ancak ortak taktikler kullanıyorlar. Bu taktikler, hedefli kimlik avı, kaba kuvvetle parola tahmin etme, parola püskürtme, kimlik bilgilerini toplama ve bilinen güvenlik açıklarına karşı açıklardan yararlanmayı içerir.
CISA, birçok saldırıda tehdit aktörlerinin çabalarını Microsoft 365 ortamlarına girmeye odakladığını söyledi. Bir ağa bağlandıktan sonra, tehdit aktörleri kurban organizasyonun Active Directory’sini eşler ve daha sonra kalıcılığı korumak için kullanılan kimlik bilgilerini çaldıkları alan denetleyicilerine bağlanır. En az bir durumda, aktörler altı ay boyunca bir kurban ağında ısrarcı olmayı başardılar.
CISA, siber saldırganlar arasında yaygın olarak kullanılan, taviz sonrası parola boşaltma aracına atıfta bulunarak, “Birden çok durumda, tehdit aktörleri, etki alanı denetleyicilerinden yönetici kimlik bilgilerini boşaltmak için Mimikatz’ı kullandı.” Dedi.
FBI ve NSA’nın yardımıyla geliştirilen CISA tavsiyesi, kuruluşların Rusya’ya bağlı tehdit aktörleri tarafından artan saldırılar olasılığına hazırlanmak için ne yapmaları gerektiği konusunda rehberlik ediyor. İpuçları arasında, kuruluşların mevcut tehdit etkinliğiyle tutarlı davranışları araştırıp tespit edebilmeleri için güçlü günlük toplama ve saklama önlemleri alma ihtiyacının yanı sıra anormal davranış arama ve güvenlik ihlali kanıtı tespit edilirse tam bir kimlik sıfırlaması gerçekleştirme ihtiyacı yer alır. .
Uyarı ayrıca, kimlik bilgileri hırsızlığına maruz kalmayı ve hesap kilitleme ve zamana dayalı erişim kısıtlamaları gibi özelliklerin kullanımını azaltmak için güçlü parolaların ve güçlü kimlik doğrulama önlemlerinin kullanılmasını da savundu.
Remediant CEO’su Tim Keeler, “Bugünkü CISA uyarısı, Rusya’nın ABD, Ukrayna ve diğer ulus varlıkları hedef alan tehdit faaliyetlerinde çarpıcı bir artış beklememiz gerektiğinin açık bir göstergesidir” dedi.
Rusya’nın Kırım’ı ilhakı sırasında siber saldırıların sadece bölgede değil, başka yerlerde de nasıl kilit bir rol oynadığına işaret ediyor. “2014 yılının Mart ayında, dünya genelinde Rus botnet etkinliğinde %40’lık bir artış oldu” diyor.
Benzer şekilde, Kırım istilası sırasında Aralık 2015’te Ukrayna, elektrik şebekelerine karşı son derece koordineli bir siber saldırıyla karşı karşıya kaldı ve bu da 230.000’den fazla kişinin elektrik kaybına neden oldu. Siber saldırılar, bu askeri operasyonlar sırasında önemli bir stratejik keşif ve bozulma aracıydı. Aynı şey bugün Ukrayna’da oluyor, diyor.
Keller, “CISA uyarısı, yalnızca devlet kurumlarının hedef alındığını değil, aynı zamanda bankalara ve teknoloji şirketlerine yönelik genel siber saldırılarda bir artış görmemiz gerektiğini de belirtiyor” diyor.
10 Milyon Dolarlık Ödül
Bu arada, CISA, ABD’nin kritik altyapısını hedef alan devlet destekli Rus siber aktörlerinin kimliğine veya konumuna yol açan bilgilere sahip olan kuruluşların 10 milyon dolara kadar ödül almaya hak kazanabileceğini söylüyor.
Kellermann, “Siber saldırıların hacmi önümüzdeki günlerde muhtemelen artacak ve yıkıcı hale gelecek” diyor.
ABD kuruluşları, kritik altyapılara karşı NotPetya tarzı konuşlandırılan veri bütünlüğü ve fidye yazılımlarına hazırlıklı olmalıdır. Kellermann, “Kuruluşlar, daha yüksek bir güvenlik duruşu benimsemek ve dayanıklılığı en üst düzeye çıkarmak için CISA’nın Shields Up kılavuzuna başvurmalıdır,” diye ekliyor.