Ukrayna’daki çoğu siber saldırı planlı ve yüksek oranda hedefli olmaya devam ediyor, ancak bunun yakında değişebileceğine dair bazı işaretler var.
Bunun bir göstergesi, Microsoft araştırmacılarının yakın zamanda Ukrayna hükümet sistemlerinde keşfettiği FoxBlade adlı yeni bir Truva atıdır; saldırganların, dağıtılmış hizmet reddi (DDoS) saldırılarında virüslü bilgisayarları kullanmasına izin verir. Kötü amaçlı yazılımın operatörlerinin, DDoS saldırılarını daha güçlü hale getirmek için Ukrayna içinde ve dışında mümkün olduğunca çok sayıda sisteme bulaştırmaya çalışacağı konusunda bazı endişeler var.
Diğer bir gösterge de, son 24 saat içinde Rusya’dan yapılan ve ABD ve Avrupa’daki bazı kuruluşları etkilemiş olan kimlik avı saldırılarında keskin bir artış.
Microsoft başkanı ve başkan yardımcısı Brad Smith, daha geniş bir blog yazısında FoxBlade’den kısaca bahsetti. Ukrayna’da dijital teknolojinin kullanımı ve kötüye kullanılması Pazartesi gününde. Kötü amaçlı yazılımı, NotPetya saldırılarının Ukrayna’dan diğer ülkelere yayıldığı 2017’den farklı olarak, daha geniş bir “kesin hedefli” saldırı dizisinin parçası olarak kullanıldığını açıkladı. Smith, FoxBlade veya olası virüs bulaşma vektörleri hakkında herhangi bir açıklama yapmadı, ancak Microsoft’un üç saat içinde tehdit için bir imza geliştirdiğini ve bunu şirketin Defender kötü amaçlı yazılımdan koruma hizmetine eklediğini kaydetti.
A Microsoft tehdit istihbaratı açıklaması Ancak özette FoxBlade, sistem kullanıcısının bilgisi olmadan virüslü sistemlerin DDoS saldırılarına dahil edilmesine izin veren kötü amaçlı yazılım olarak tanımlandı.
Vectra’da güvenlik araştırması direktörü Nathan Einwechter, Ukrayna dışındaki sistemlerin FoxBlade enfeksiyonlarının baskın hedefleri olmasını beklediğini söyledi. “Ukrayna dışındaki birçok sisteme bulaşabilmek, saldırganların önemli hedefler üzerinde daha büyük bir etkiye sahip olmasını sağlıyor” diyor. “Ukrayna’daki virüslü sistemlerin, FoxBlade DDoS Truva Atı’nın aksine, enfeksiyonun ardından bir fidye yazılımı veya silecek saldırısının kurbanı olma olasılığı çok daha yüksek.”
Ayrıca, tehdit aktörünün DDoS yetenekleriyle tam olarak kimi hedefleyebileceğini de dikkate almak önemlidir. Bu kuruluşlar muhtemelen saldırganların aktif olarak bozmakla ilgilendikleri çok daha dikkatli seçilmiş varlıklar olacaktır. Potansiyel hedefler, Ukrayna’daki kuruluşların yanı sıra desteklerini Ukrayna’nın arkasına atan ülkelerdeki kuruluşları içerebilir.
Einwechter, “Bu hedef türlerinin her ikisi de, Ukrayna dışında bile, çatışmayı çeşitli şekillerde etkilemek için önemli fırsatları temsil ediyor.” FoxBlade, bir dropper ile birlikte bağımsızdır ve mevcut diğer bazı açıklardan yararlanıldıktan sonra sistemlere yüklenir, bu nedenle herhangi bir açıktan yararlanma veya güvenlik açığına özel olarak bağlı değildir, diye ekliyor.
Rusya Dışındaki E-posta Saldırılarında Büyük Artış
Bu arada Avanan, yalnızca son 24 saat içinde Rusya’dan e-posta kaynaklı saldırılarda sekiz kat artış gözlemlediğini ve bunların en azından bazılarının ABD ve Avrupa’daki imalat firmalarını ve uluslararası nakliye ve nakliye şirketlerini hedef aldığını bildirdi.
Saldırıların çoğu, alıcının e-posta hesaplarına erişim sağlamak ve onları hesap bilgilerini teslim etmeye teşvik etmek için tasarlanmış gibi görünüyor. dedi Avanan Salı.
Bir Check Point Güvenlik Şirketi olan Avanan’ın CEO’su Gil Friedrich, “Deniz taşımacılığı şirketleri ve otomobil üreticilerinin peşinden giden daha büyük bir saldırı hacmi var gibi görünüyor” diyor. “Bazılarının Ukrayna’da operasyonları var, bazılarının yok” diye ekliyor.
Bir örnek olarak, hedeflenen ve yöneticilerinin Ukrayna ile bağları olan uluslararası bir nakliye şirketine işaret ediyor. Friedrich’e göre, son saldırıların arkasındaki aktörler, fırsatçı saldırılar yapan ve belirli kurbanları hedef alan Rusya merkezli grupların bir kombinasyonu gibi görünüyor.
Bir başka gelişmede, Salı günü ESET, araştırmacılarının, bir Ukrayna hükümet kuruluşuna ait sistemlerde hedeflenen şekilde kullanılan ikinci bir yıkıcı disk silecek -buna IsaacWiper adı verildi- gözlemlediklerini söyledi. Geçen hafta güvenlik satıcısı, birkaç Ukraynalı kuruluşa ait sistemlerde HermeticWiper adlı başka bir disk silecek bulduğunu bildirmişti. Her iki kötü amaçlı yazılım aracı da Windows sistemlerinde Ana Önyükleme Kaydının (MBR) üzerine yazmak üzere tasarlanmıştır, bu da onları bulaşma ve tehlikeden sonra çalışmaz hale getirir.
Salı günü bir güncellemede, ESET, HermeticWiper’ı içeren saldırıları açıkladı 23 Şubat’tan itibaren, Rusya’nın Ukrayna’yı işgalinden kısa bir süre önce. ESET, HermeticWiper’ı Ukrayna’daki en az beş kuruluşa ait yüzlerce sistemde gözlemlediğini söyledi. ESET, saldırganların SMB paylaşımları ve Windows Yönetim Araçları (WMI) aracılığıyla diski silen kötü amaçlı yazılımı yerel ağlar arasında yaymak için HermeticWizard adlı bir kötü amaçlı yazılım aracı kullandığını söyledi. Şirket, araştırmacılarının kötü amaçlı yazılımı herhangi bir belirli aktöre veya ülkeye bağlayamadığını söyledi.
ESET tehdit araştırması başkanı Jean-Ian Boutin, “İki silecek, uygulamalarında biraz farklılık gösteriyor” diyor. “HermeticWiper, IsaacWiper’dan daha karmaşıktır, ancak her ikisinin de amacı aynıdır: Diskin içeriğini bozmaya ve sistemi çalışmaz hale getirmeye çalışırlar.”
Boutin, Smith’in şimdiye kadar hedef alınan Ukrayna’ya yönelik saldırıların değerlendirmesini paylaştı. “Bu [a] adil değerlendirme,” diyor Boutin. “Yetenek, görünüm ve hedef seçimine bağlı olarak, ESET Research tarafından bildirilen silme saldırıları çok hedef alındı.”