Mart ayında, Federal Soruşturma Bürosu (FBI), Sandworm olarak bilinen Rus devlet destekli bir tehdit aktörüne ait büyük ölçekli bir botnet’i indirdi.
göre TechCrunch Raporda, Sandworm binlerce uç noktaya Cyclops Blink kötü amaçlı yazılımı bulaştırdı (yeni sekmede açılır), artık geçersiz VPNFilter’ın halefi. Cyclops Blink, Sandworm’un siber casusluk yapmasına, dağıtılmış hizmet reddi (DDoS) başlatmasına izin verir. (yeni sekmede açılır)) saldırılar, güvenliği ihlal edilmiş cihazları engelleme ve ağları bozma.
Kaliforniya ve Pennsylvania’daki mahkemelerden yeşil ışık aldıktan sonra FBI, Cyclops Blink’i C2 sunucularından kaldırdı ve güvenliği ihlal edilmiş binlerce uç noktanın bağlantısını kesti. Adalet Bakanlığı baskının başarılı olduğunu söyledi, ancak yine de cihaz sahiplerine ilk tavsiyeyi gözden geçirmelerini ve cihazlarını daha da güvenli hale getirmelerini tavsiye etti.
Rus tehdit aktörleri
Adalet Bakanlığı (DoJ), Cyclops Blink’in Şubat ayından bu yana aktif olduğunu ve kolluk kuvvetlerinin güvenliği ihlal edilen bazı cihazların güvenliğini sağlamayı başardığını, ancak çoğunluğun hala virüslü ve tehdit aktörleri tarafından kullanıldığını söyledi.
DoJ, “Operasyon, bot cihazlarıyla herhangi bir FBI iletişimini içermiyordu” diye ekledi.
Kum kurdu, Rusya’nın askeri istihbarat birimi GRU için çalışan bilinen bir tehdit aktörüdür. Voodoo Bear ve Electrum olarak da bilinir ve 2008’de Gürcistan’daki DDoS saldırılarından ve 2015’te Ukrayna’daki elektrik kesintisinden sorumluydu.
Tarafsız üyelik kuruluşu Dış İlişkiler Konseyi’ne göre, Sandworm, Black Energy olarak bilinen bir araç kullanarak çoğunlukla endüstriyel kontrol sistemlerini hedefliyor. Siber casusluğun yanı sıra, grup genellikle DoS saldırılarına karışıyor ve iddiaya göre 2017 NotPetya kampanyasının arkasında.
Aynı yıl, cumhurbaşkanıyla ilgili olanlar da dahil olmak üzere Fransa’daki siyasi partileri ve yerel hükümet kurumlarını hedef aldı. Ve 2020’de ABD Ulusal Güvenlik Ajansı (NSA), grubu dünya çapında e-posta hizmetlerini hedeflemekle suçladı.
NSA, “Aktörler, halka açık MTA’larında Exim yazılımını kullanarak bir SMTP (basit posta aktarım protokolü) mesajının “MAIL FROM” alanına bir komut göndererek kurbanları istismar ettiler” dedi.
Üzerinden TechCrunch (yeni sekmede açılır)