ABD Adalet Bakanlığı, ilan edilen ücretler ABD nükleer santral operatörü ve Suudi petrokimya tesisi de dahil olmak üzere kritik altyapıyı hedef alan yıllarca süren bir hack kampanyası için dört Rus hükümet çalışanına karşı.
Haziran 2021’deki ilk iddianamede, Rusya Savunma Bakanlığı’nda bilgisayar programcısı olan 36 yaşındaki Evgeny Viktorovich Gladkikh ve iki işbirlikçi, endüstriyel kontrol sistemlerini (endüstriyel tesisleri çalışır durumda tutan kritik cihazları) küresel ölçekte hacklemeyi planlamakla suçlanıyor. enerji tesisleri. Gladkikh’in 2017’de Suudi Arabistan’daki bir petrokimya fabrikasını hedef almak için kullanılan kötü şöhretli Triton kötü amaçlı yazılımının arkasında olduğuna inanılıyor. Bilgisayar korsanları, sızıntılara veya sızıntılara yol açabilecek tehlikeli koşulları önlemek için tasarlanan tesisteki güvenlik sistemlerini devre dışı bırakmak amacıyla kötü amaçlı yazılımı kullandı. patlamalar Triton ilk olarak Rusya’ya bağlandı Ekim 2018’de.
DOJ’a göre, Suudi fabrikasını havaya uçurma planlarının ardından, bilgisayar korsanları ABD’deki benzer kritik altyapı varlıklarını yöneten bir şirketin bilgisayarlarını hacklemeye çalıştı.
Ağustos 2021’de sunulan ikinci iddianamede, tümü Rusya Federal Güvenlik Bürosu’nun (FSB) 71330 Askeri Birimi üyesi olduğu iddia edilen Pavel Aleksandrovich Akulov, Mihail Mihayloviç Gavrilov ve Marat Valeryevich Tyukov, 2012 ile 2012 yılları arasında enerji sektörünü hedef alan bir dizi saldırıyla suçlanıyor. 2017. Güvenlik araştırmacıları tarafından daha çok “DragonFly”, “Energetic Bear” ve “Crouching Yeti” olarak bilinen bilgisayar korsanları, petrol ve gaz firmaları, nükleer santraller ve uluslararası enerji sektöründeki şirketlerin bilgisayar ağlarına erişmeye çalıştı. DOJ, kamu hizmeti ve enerji iletim şirketleri dedi.
2012 ve 2014 yılları arasında gerçekleşen saldırılarının ilk aşamasında, tehdit aktörleri endüstriyel kontrol cihazı üreticilerinin ve yazılım sağlayıcılarının ağlarını tehlikeye attı, ardından Havex kötü amaçlı yazılımlarını yazılım güncellemelerinin içine sakladı. Bu, spearphishing ve watering hole saldırılarıyla birlikte – sık sık ziyaret ettikleri web sitelerine bulaşarak kullanıcıları hedefleyen bir saldırı biçimi – saldırganların Amerika Birleşik Devletleri ve yurtdışındaki 17.000’den fazla benzersiz cihaza kötü amaçlı yazılım yüklemesini sağladı.
İkinci aşama olan “DragonFly 2.0”, 2014’ten 2017’ye kadar sürdü ve ABD hükümetinin Nükleer Düzenleme Komisyonu ve Wolf Creek Nükleer İşletim Şirketi de dahil olmak üzere 500’den fazla ABD ve uluslararası kuruluşta 3.300’den fazla kullanıcıyı hedef aldı.
ABD Başsavcı Yardımcısı Lisa Monaco, “Rus devlet destekli bilgisayar korsanları, hem Amerika Birleşik Devletleri’nde hem de dünyanın dört bir yanındaki kritik altyapı için ciddi ve kalıcı bir tehdit oluşturuyor” dedi. Bir deyim. Bugün açıklanmayan suçlamalar geçmişteki faaliyetleri yansıtıyor olsa da, Amerikan şirketlerinin savunmalarını sertleştirmesi ve tetikte kalması için devam eden acil ihtiyacı net bir şekilde ortaya koyuyorlar” dedi.
Mandiant’ın istihbarat analizinden sorumlu başkan yardımcısı John Hultquist, iddianamelerin Rusya’nın devlet destekli bilgisayar korsanlığı girişimlerinde FSB’nin rolüne bir bakış sağladığını ve bu yıkıcı siber saldırıları gerçekleştiren Rus saldırı gruplarına bir “uyarı atışı” olarak geldiğini söyledi. “Bu eylemler kişiseldir ve bu programlar için çalışan herkese yakın zamanda Rusya’dan ayrılamayacaklarını gösterme amaçlıdır” dedi.
Ancak Hultquist, bilgisayar korsanlarının bu ağlara erişimi muhtemelen elinde tuttuğu konusunda uyardı. TechCrunch’a “Özellikle, bu aktörün gerçekten yıkıcı saldırılar gerçekleştirdiğini hiç görmedik, sadece gelecekteki bazı beklenmedik durumlar için hassas kritik altyapıya girin” dedi. “Son olaylarla ilgili endişemiz, bunun beklediğimiz beklenmedik durum olabileceğidir.”
Triton kötü amaçlı yazılımının arkasındaki grubu “Xenotime” olarak adlandıran Dragos’ta kıdemli bir rakip avcısı olan Casey Brooks, TechCrunch’a iddianamelerin bilgisayar korsanlarını caydırma olasılığının düşük olduğunu söyledi.
“Bu faaliyet grupları iyi kaynaklara sahiptir ve sürekli karmaşık operasyonlar yürütebilir. İddianameler bu grupların bazılarının izinsiz giriş faaliyetlerini detaylandırsa da, bunların kapsamı çok daha büyük” dedi. “Örneğin, Xenotime için bunun genel faaliyetlerinin yalnızca bir kısmı olduğunu biliyoruz. Bu grupların hala aktif olduğunu ve iddianamelerin muhtemelen bu düşman grupların gelecekteki operasyonlarını caydırmak için çok az şey yapacağını anlamak çok önemli.”
İddianamelerin açıklanması, Başkan Joe Biden’in Ukrayna’yı işgal etmesi nedeniyle Rusya’ya yönelik Batı yaptırımlarına yanıt olarak ABD şirketlerine yönelik artan bir Rus siber tehdidi konusunda uyarmasından üç gün sonra geldi. Ayrıca, Adalet Bakanlığı’nın Rusya’nın askeri istihbarat teşkilatı GRU’nun hizmetinde çalışan altı bilgisayar korsanını suçlamasından sadece birkaç gün sonra geldi. Sandworm olarak bilinen bilgisayar korsanları, 2017 yılında dünya çapında yüzlerce firma ve hastaneyi hedef alan yıkıcı NotPetya siber saldırısı ve Ukrayna elektrik şebekesini çökerten bir siber saldırı da dahil olmak üzere beş yıllık bir dizi saldırıyla suçlanıyor.