Google, kötü üne sahip Conti fidye yazılımı çetesinin eski üyelerini içeren bir siber suçlu grubunun Ukrayna hükümetini ve bölgedeki Avrupa STK’larını hedef aldığını söylüyor.
Ayrıntılar bir yerden geliyor yeni blog yazısı Google’da devlet destekli siber faaliyetleri izlemeye adanmış bir ekip olan Tehdit Analizi Grubu’ndan (TAG).
Ukrayna’da yarım yıldan fazla süren savaşla birlikte, hacktivizm ve elektronik savaş dahil olmak üzere siber faaliyetler arka planda sürekli bir varlık haline geldi. Şimdi TAG, kâr amacı güden siber suçluların bölgede daha fazla sayıda aktif hale geldiğini söylüyor.
TAG’nin Pierre-Marc Bürosu, TAG’nin Nisan-Ağustos 2022 arasında “Ukrayna’yı hedef alan ve faaliyetleri Rus hükümeti destekli saldırganlarla yakından ilişkili görünen, finansal olarak motive olmuş giderek artan sayıda tehdit aktörünü” takip ettiğini yazıyor. Devlet destekli bu aktörlerden biri, Ukrayna’nın ulusal Bilgisayar Acil Müdahale Ekibi olan CERT tarafından UAC-0098 olarak zaten belirlendi. Ancak TAG’ın yeni analizi onu Conti ile ilişkilendiriyor: Mayıs ayında bir siber saldırı ile Kosta Rika hükümetini kapatan üretken bir küresel fidye yazılımı çetesi.
Bureau, “Birden fazla göstergeye dayanarak, TAG, UAC-0098’in bazı üyelerinin Conti siber suç grubunun eski üyeleri olduğunu ve tekniklerini Ukrayna’yı hedef alacak şekilde yeniden tasarladığını değerlendiriyor” diye yazıyor.
UAC-0098 olarak bilinen grup, daha önce fidye yazılımı saldırıları gerçekleştirmek için IcedID olarak bilinen bir bankacılık Truva atı kullanmıştı, ancak Google’ın güvenlik araştırmacıları artık bunun “hem politik hem de finansal olarak motive edilmiş” kampanyalara geçtiğini söylüyor. TAG’ın analizine göre, bu grubun üyeleri, ilk erişim aracıları olarak hareket etmek için uzmanlıklarını kullanıyorlar – önce bir bilgisayar sistemini tehlikeye atan ve ardından hedefi istismar etmekle ilgilenen diğer aktörlere erişimi satan bilgisayar korsanları.
Son kampanyalar, grubun Ukrayna konaklama endüstrisindeki bir dizi kuruluşa, Ukrayna Siber Polisi gibi görünen veya başka bir durumda, Hindistan’daki bir otelin saldırıya uğramış e-posta hesabından gönderilen kimlik avı e-postalarıyla İtalya’daki insani yardım STK’larını hedef alan kimlik avı e-postaları gönderdiğini gördü. Zincir.
Diğer kimlik avı kampanyaları, Elon Musk’ın SpaceX’i tarafından işletilen uydu internet sistemi Starlink’in temsilcilerini taklit etti. Bu e-postalar, Starlink’in sistemleri aracılığıyla internete bağlanmak için gerekli yazılım kılığında kötü amaçlı yazılım yükleyicilerine bağlantılar sağladı.
Conti bağlantılı grup, bu yılın Mayıs ayı sonlarında ilk kez duyurulmasından kısa bir süre sonra Windows sistemlerindeki Follina güvenlik açığından da yararlandı. TAG, bu ve diğer saldırılarda, UAC-0098’in sistemlerin güvenliği ihlal edildikten sonra ne gibi önlemler aldığının tam olarak bilinmediğini söylüyor.
Genel olarak, Google araştırmacıları, siber tehdit aktörlerinin faaliyetlerini genellikle belirli bir bölgedeki jeopolitik çıkarlarla uyumlu hale getirmek için nasıl uyarladığının bir göstergesi olan “Doğu Avrupa’daki finansal olarak motive olmuş ve hükümet destekli gruplar arasındaki bulanık çizgilere” işaret ediyor.
Ancak her zaman kazanmayı garanti eden bir strateji değildir. Ukrayna işgalinin başlangıcında, Conti, kimliği belirsiz bir kişi, grubun bir yıllık dahili sohbet günlüklerine erişimi sızdırdığında, Rusya’ya desteğini açıkça beyan etmenin bedelini ödedi.