Son birkaç ayda dağıtılmış hizmet reddi (DDoS) saldırılarıyla Avrupa’da çok sayıda hedefi vuran görünüşte İslam yanlısı bir grup, aslında Killnet olarak bilinen Rus bilgisayar korsanlığı kolektifinin bir alt grubu olabilir.
Kendisine “Anonim Sudan” adını veren grup, Fransa, Almanya, Hollanda ve İsveç’teki hedeflere yönelik son DDoS saldırılarının sorumluluğunu üstlendi. Görünüşe göre tüm saldırılar, bu ülkelerin her birinde algılanan İslam karşıtı faaliyetlere misilleme olarak yapıldı. Örneğin, İsveç hükümetine ve ticari kuruluşlara yönelik saldırılar, Stockholm’de Kuran-ı Kerim yakma olayını takip etti. Aynı veya benzer sebep, Hollanda devlet kurumlarına yönelik DDoS saldırılarının tetikleyicisi ve Air France’a yapılan bir saldırıydı.
Anonim Sudan’ın Killnet Bağlantıları
Son birkaç aydır Anonymous Sudan’ı takip eden Trustwave’den araştırmacılar, bu hafta grubun Killnet için bir paravan olduğunu gösteren bazı kanıtlar olduğunu söyledi. bir raporda, Trustwave, araştırmacılarının Anonymous Sudan’ın aslında Sudan merkezli olup olmadığını veya üyelerinden herhangi birinin o ülkeden olup olmadığını doğrulayamadığını söyledi. Grubun Telegram gönderileri Rusça ve İngilizce ve bunun yerine diğer telemetri, üyelerinin en azından bir kısmının Doğu Avrupalı olduğunu gösteriyor.
Tıpkı Killnet’te olduğu gibi, Anonymous Sudan’ın tüm hedefleri, Rusya’nın Ukrayna’yı işgaline karşı çıkan ve/veya bir şekilde ikincisine yardım eden ülkelerde olmuştur. En son 24 Mart’ta Avustralya’daki hedeflere saldırma tehdidi, İsrail siber güvenlik sağlayıcısı Radware’e yönelik bir DDoS saldırısında olduğu gibi aynı kalıplara uyuyor.
Ayrıca tıpkı Killnet gibi, Anonymous Sudan da mesajını hedeflenen hedeflere göndermek için çoğunlukla DDoS saldırılarını kullandı. Hem Killnet hem de Anonymous Sudan, resmi olarak birbirine bağlanan ilgili Telegram kanallarında hak iddia etti. Trustwave, örneğin Ocak ayında Anonymous Sudan’ın Killnet’e Almanya’nın Federal İstihbarat Servisi’ne karşı bir DDoS saldırısında yardım ettiğini iddia etti.
Trustwave araştırmacılarına göre, Anonymous Sudan’ın kendisini neden Killnet ile ittifak halindeki Rusya yanlısı bir grup yerine İslam yanlısı bir grup olarak ya da muhtemelen bir parçası olarak damgalayacağı belirsizliğini koruyor. “Anonim Sudan, Telegram kanalı aracılığıyla saldırıların sorumluluğunu üstlenmek için son derece aktif, ancak çabalarının arkasındaki gerçek gerekçeye ilişkin ayrıntılar belirsizliğini koruyor.”
Gürültülü Bir Hacktivist Topluluğu
Killnet’in kendisi, Rusya’nın Ukrayna’yı işgalinden sonraki aylarda DDoS saldırılarında dünya çapında çok sayıda kuruluşu vuran veya vurduğunu iddia eden gürültülü bir bilgisayar korsanlığı grubudur. Grup saldırıları, savaşta Ukrayna’ya verilen ABD öncülüğündeki desteğe misilleme olarak nitelendirdi ve gerçekten de tüm kurbanları Ukrayna’nın arkasında toplanan ülkelerde oldu. Şimdiye kadarki saldırılarının çoğu Avrupa’daki kuruluşlara yönelikti. Ancak Şubat ayında Killnet, aralarında Stanford Health, Michigan Medicine, Duke Health ve Cedar-Sinai’nin de bulunduğu bir düzineden fazla büyük ABD hastanesine karşı DDoS saldırıları başlattı. Geçen Ekim ayında grup, Los Angeles Uluslararası Havaalanı (LAX), Chicago O’Hare ve Hartsfield-Jackson Atlanta Uluslararası Havaalanı dahil olmak üzere çok sayıda ABD havaalanına karşı DDoS saldırıları başlattı.
Killnet, bu saldırıları büyük olaylar olarak lanse etti. Ancak güvenlik uzmanları ve mağdur örgütlerin kendileri, grubu en kötü ihtimalle orta şiddette, ancak göz ardı edilemeyecek bir tehdit olarak nitelendirdiler. Örneğin, Killnet’in ABD hastanelerine yönelik saldırılarının ardından, Amerikan Sağlık Derneği (AHA), Killnet’in saldırılarının tipik olarak çok fazla hasara yol açmadığını, ancak bazen hizmetleri birkaç gün kesintiye uğratma potansiyeline sahip olduğunu açıkladı.
Trustwave SpiderLabs güvenlik araştırmacısı Jeannette Dickens-Hale, Anonymous Sudan’ın sunduğu tehdidi aynı şekilde karakterize ediyor.
“Anonim Sudan’ın son DDoS saldırılarına, Killnet ile olan bağlantılarına ve taktik tekniklerindeki (TTP’ler) benzerliğine ve Killnet’e göre, grubun düşük ila orta karmaşıklık düzeyine sahip olduğu görülüyor” diyor. “Killnet, tıpkı Anonymous Sudan gibi, çoğunlukla DDoS saldırıları başlatır ve sahip oldukları veya olmayabilecekleri verilerle şantaj tehdidinde bulunur.”
Trustwave SpiderLabs, Killnet’in aynı tehdit düzeyine sahip olduğunu değerlendirir. Dickens-Hale, Anonymous Sudan’ın Air France’a yönelik son saldırısı ve verilerini satma tehdidinin – ki aslında sahip olabilir ya da olmayabilir – motivasyon ve saldırı türünde bir yükselişe işaret edebileceğini söylüyor.
Killnet’in “Kara Becerileri” Lansmanı
Killnet’in çabaları için sürekli olarak destek toplama girişimleri – çoğunlukla başarılarının abartılı iddiaları yoluyla – araştırmacıların göz kulak olduğu başka bir şey. Örneğin bu hafta Flashpoint, Killnet’in lideri “Killmilk”in özel bir askeri bilgisayar korsanlığı ekibinin oluşturulması “Siyah Beceriler” olarak adlandırılır.
Güvenlik satıcısı, Killmilk’in Black Skills tanımının, Killnet’i Rus paralı asker operasyonu Wagner Group’un siber eşdeğeri olarak konumlandırma girişimi olduğunu değerlendirdi. Mart ayının başlarında Killnet, Flashpoint’in kolektif tarafından kendisi için daha resmi bir kimlik oluşturmaya yönelik başka bir girişimi olarak algıladığı “Kara Listeleme” adlı bir hizmet olarak DDoS teklifini de duyurdu.
Flashpoint araştırmacıları, “Kara Beceriler/Kara Listeleme, Killnet’in kendisini kurumsal bir kimlik olarak kabul ettirme girişimi gibi görünüyor.” “İstihbaratımıza göre yeni grup, maaş bordrosu, halkla ilişkiler ve teknik destek, kalem testi, veri toplama, analiz, bilgi operasyonları ve öncelikli hedeflere yönelik isabetlerle ilgilenen alt gruplarla organize edilecek ve yapılandırılacak.”