Daha önce Rus gelişmiş kalıcı tehdidi (APT) Turla ile bağlantılı bazı kampanyalar, aslında araştırmacıların “Tomiris” adını verdiği tamamen ayrı bir grup gibi görünen bir grup tarafından yürütülüyordu.
Turla (diğer adıyla Yılan, Zehirli Ayı veya Ourobouros), Rus hükümetiyle bağları olan kötü şöhretli bir tehdit aktörüdür. Yıllar boyunca ordulara ve hükümetlere, diplomatik kuruluşlara ve teknoloji ve araştırma kuruluşlarına ait sistemlere arka kapılar yerleştirmek için sıfır gün, meşru yazılım ve diğer araçları kullandı. Hatta bir vakada, Kazuar arka kapısı aracılığıyla SolarWinds ihlaliyle bağlantılıydı.
Yine de her şey Turla değil. Yeni bir blog gönderisinde Kaspersky araştırmacıları, belirli daha önce Turla ile ilişkilendirilen saldırılar Tomiris tarafından gerçekleştirilmişti.farklı taktiklere, tekniklere ve prosedürlere (TTP’ler) ve bağlantılara sahip tamamen farklı bir grup.
Kaspersky GReAT kıdemli güvenlik araştırmacısı Pierre Delcher, “Tomiris’in ayrı olduğuna kesinlikle inanıyoruz” diyor. “Turla ile aynı hedefleme, aynı araçlar, aynı karmaşıklık değil.”
Turla ve Tomiris’i ayırmak
Siber uzayda ilişkilendirme zordur. Ulusal Güvenlik Teşkilatı’nın eski operasyonlar müdürü ve Başkan Yardımcısı Adam Flatley, “Yüksek beceriye sahip aktörler, araştırmacıları yoldan çıkarmak için kökenlerini gizleyen, kendilerini anonim hale getiren ve hatta kendilerini diğer tehdit gruplarına yanlış işaretlerle yanlış tanımlayan teknikler kullanıyor” diye açıklıyor. zeka [Redacted]. “Genellikle, bir tehdit aktörünün gerçek kimliklerine ilişkin ipucu bulmak için yalnızca operasyonel güvenlik hatalarına güvenebiliriz.”
Tomiris buna bir örnektir. Kaspersky, şu anda Tomiri’nin üç yıl önce yaptığı bir DNS ele geçirme kampanyasında, Tomiri’nin etkinliği gibi görünen şeyi izlemeye başladı. Bağımsız Devletler Topluluğu (BDT) devlet. Suçluların ayırt edici özellikleri, Rus APT çorbasının bir karışımı gibi görünüyordu. Tomiris arka kapısı, SolarWinds’in ihlalinde kullanılan Sunburst kötü amaçlı yazılımıyla paralellik gösteren Turla’nın Kazuar arka kapısının yanındaki ağlarda keşfedildi.
Yine de Tomiris ve Turla’yı birbirine bağlayan ayrıntılar hiçbir zaman tam olarak örtüşmedi. Delcher, “Yerleştirdikleri implantlar… şey, Turla hakkında bildiklerimizle karşılaştırıldığında kulağa hoş geliyordu,” diyor. “Yani gerçekten, temelde hiçbir ortak nokta yoktu ve hedefler bile aslında Turla’nın geçmişteki çıkarları hakkında bildiklerimize uymuyordu.”
Hedefleme önemli bir ipucudur. Delcher, “Tomiris, Rusya Federasyonu da dahil olmak üzere BDT’deki devlet kuruluşlarına çok odaklanmış durumdayken, siber güvenlik sahnesinde bazı satıcılar Turla’yı Rusya destekli bir aktör olarak görüyor. Rusya destekli bir aktör, Rusya Federasyonu’nu hedef aldı.”
Daha bu yıl Mandiant yayınladı bir Turla kampanyası hakkında araştırma bir noktada, “bu kampanyanın tarihsel Turla operasyonlarından sapmış gibi görünen bazı unsurları” olduğunu kabul etti. Kaspersky araştırmacıları, “orta düzeyde bir güvenle” bu bulguları Tomiri’nin operasyonlarına atadı.
Turla ve Tomiris’i Birleştirmek
Bütün bunlar, Tomiris ve Turla arasında hiçbir bağlantı olmadığı anlamına gelmez.
2021 ile 2023 arasındaki saldırılarda Tomiris, Turla’nın iki kötü amaçlı aracı olan KopiLuwak ve TunnusSched’i kullandı. Delcher, Turla’nın mallarına sahip oldukları için, “bir noktada işbirliği yapmış olabileceklerine veya şu anda hala işbirliği yapıyor olabileceklerine kesinlikle inanıyoruz” diyor.
Grupların tam olarak nasıl bağlanacağı kapmak için hazır. “Birlikte bir operasyon yürütüyor olabilirler,” diye tahminde bulunuyor Delcher, “veya benzer bir tedarik zincirine güvenebilirler. Örneğin, bağımsız bir geliştiriciden bir arka kapı geliştirmesini isteyebilirler ve bağımsız geliştirici bunu hem Turla’ya hem de Tomris.”
Daha kesin bir cevap bulmak zor olacak. “Güvenilir ve tutarlı bir şekilde doğru atıf elde etmenin tek yolu,” diye yakınıyor Flatley, “yalnızca devlet kurumlarının kullanmasına yasal olarak izin verilen bilgisayar ağı istismar tekniklerini kullanmaktır.”
Bu Neden İşletmeler İçin Önemlidir?
Delcher, tehdit aktörlerini ayırt etmenin sadece bir eğitim alıştırması olmadığını söylüyor. Kuruluşların kendilerini daha iyi savunmasına yardımcı olabilir.
Örneğin, Turla’dan etkilenen veya Turla hakkında başka bir şekilde endişelenen bir kuruluş, Kazuar kötü amaçlı yazılımını görebilir ve bunun o grubun işi olduğunu varsayabilir.
Delcher, “Yani, tüm Turla IoC’lerini, teknik zekayı alırsınız ve bu varsayımla ele alırsınız,” diyor. “Tabii ki bu yanlış çünkü aynı oyuncular değillerse tam olarak aynı teknikleri veya aynı implantları kullanmayacaklar. Savunmacının bakış açısından, kafanızın karışmasını istemezsiniz.”
Çalışkan savunucular, gruplar arasındaki ince farklara dikkat etse iyi olur, ancak APT’lerde belirli ilkeler geçerlidir.
Flatley, “Elit tehdit aktörleri, eğer varsa, yine de kolay yolu seçecektir, bu nedenle agresif yama yönetimi gibi şeylerle saldırı yüzeyini azaltmak ve mümkün olan her hesapta MFA’yı uygulamak hala uzun bir yol kat ediyor” diyor. Bununla birlikte, bu tür gruplara karşı önleme yeterli değildir, bu nedenle gelişmiş tespit yetenekleri ve en kötü durum senaryosu için bir plan da gereklidir. “İyi yapılandırılmış ve düzenli olarak uygulanan bir olay müdahale planıyla birleşen görünürlük, her düzeydeki tehdit aktörleriyle ilişkili riski büyük ölçüde azaltabilir.”