Rusya bağlantılı en az altı farklı aktör, 23 Şubat – 8 Nisan tarihleri arasında Ukrayna’ya karşı, ülkedeki düzinelerce kuruluşta yüzlerce sistemdeki dosyaları geri dönülmez şekilde yok eden 38 ayrı yıkıcı saldırı da dahil olmak üzere 237’den fazla siber saldırı başlattı.
Şirketin Dijital Güvenlik Birimi (DSU) “Toplu olarak, siber ve kinetik eylemler Ukrayna hükümetini ve askeri işlevlerini bozmak veya bozmak ve halkın aynı kurumlara olan güvenini baltalamak için çalışıyor” dedi. dedim özel bir raporda.
Rusya’nın amansız dijital saldırılarının bir parçası olarak yıkıcı faaliyetler için kullanılan başlıca kötü amaçlı yazılım aileleri şunlardır: WhisperGate, HermeticWiper (FoxBlade, diğer adıyla KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, ÇölBıçağıDoubleZero (FiberLake) ve Industroyer2.
WhisperGate, HermeticWiper, IssacWiper ve CaddyWiper, verilerin üzerine yazmak ve makineleri başlatılamaz hale getirmek için tasarlanmış veri silecekleridir; DoubleZero ise veri silme yeteneğine sahip bir .NET kötü amaçlı yazılımdır. Aynı zamanda bir veri silici olan DesertBlade’in 1 Mart’ta Ukrayna’da ismi açıklanmayan bir yayın şirketine karşı başlatıldığı söyleniyor.
Öte yandan SonicVote, izinsiz girişleri fidye yazılımı saldırısı olarak gizlemek için HermeticWiper ile birlikte tespit edilen bir dosya şifreleyici iken Industroyer2, kritik endüstriyel üretim ve süreçleri sabote etmek için özellikle operasyonel teknolojiyi hedefler.
Microsoft, HermeticWiper, CaddyWiper ve Industroyer2’yi, Sandworm (aka Iridium) adlı Rus devlet destekli bir aktöre ılımlı bir güvenle atfetti. WhisperGate saldırıları, Rusya’nın GRU askeri istihbaratına bağlı olduğuna inanılan DEV-0586 adlı önceden bilinmeyen bir kümeye bağlandı.
Toplam 38 yıkıcı saldırının %32’sinin ulusal, bölgesel ve şehir düzeylerinde Ukrayna hükümet kuruluşlarını hedef aldığı ve saldırıların %40’ından fazlasının ülkelerdeki kritik altyapı sektörlerindeki kuruluşları hedef aldığı tahmin ediliyor.
Ayrıca Microsoft, 2020 SolarWinds tedarik zinciri saldırısından sorumlu tutulan tehdit aktörü Nobelium’u, Batılı dış politika kuruluşlarından gelen sifon verilerine erişimi kullanarak NATO üye ülkelerindeki hükümet müşterilerine hizmet veren BT şirketlerini ihlal etmeye teşebbüs ettiğini gözlemlediğini söyledi.
Diğer kötü niyetli saldırılar, askeri varlıkları (Fancy Bear aka Strontium) ve hükümet yetkililerini (Primitive Bear aka Actinium) ve ayrıca veri hırsızlığını (Energetic Bear aka Bromine) ve keşif (Venomous Bear aka Krypton) operasyonlarını hedef alan kimlik avı kampanyalarını içerir.
Müşteri güvenliği ve güveninden sorumlu kurumsal başkan yardımcısı Tom Burt, “Rusya’nın siber saldırı kullanımı, siviller için hayati önem taşıyan hizmetleri ve kurumları hedef alan kinetik askeri operasyonlarıyla güçlü bir şekilde ilişkili ve bazen doğrudan zamanlanmış gibi görünüyor” dedi. dedim.
“Rus tehdit aktörlerinin askeri eylemleri yansıttığı ve artırdığı göz önüne alındığında, çatışma şiddetlendikçe siber saldırıların artmaya devam edeceğine inanıyoruz. Gözlemlediğimiz saldırılar muhtemelen Ukrayna’yı hedef alan faaliyetlerin yalnızca bir kısmı.”