Rusya ile bağlantısı olan tehdit aktörleri, Orta Asya, Doğu Asya ve Avrupa’daki kuruluşları hedef alan bir siber casusluk kampanyasıyla ilişkilendirildi.
Faaliyet kümesine TAG-110 adını veren Recorded Future’ın Insikt Grubu, bunun Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından UAC-0063 olarak takip edilen bir tehdit grubuyla örtüştüğünü ve bunun da UAC-0063 ile örtüştüğünü söyledi. APT28. Bilgisayar korsanlığı ekibi en az 2021’den beri aktif.
Siber güvenlik şirketi, “TAG-110, özel kötü amaçlı yazılım araçları HATVIBE ve CHERRYSPY’yi kullanarak öncelikle devlet kurumlarına, insan hakları gruplarına ve eğitim kurumlarına saldırıyor” dedi. söz konusu Perşembe günü yayınlanan bir raporda. “HATVIBE, veri sızdırma ve casusluk için kullanılan bir Python arka kapısı olan CHERRYSPY’yi dağıtmak için bir yükleyici işlevi görüyor.”
TAG-110’un HATVIBE ve CHERRYSPY kullanımı ilk olarak CERT-UA tarafından Mayıs 2023’ün sonlarında Ukrayna’daki devlet kurumlarını hedef alan bir siber saldırıyla bağlantılı olarak belgelendi. Her iki kötü amaçlı yazılım ailesi de bir yıl sonra, isimsiz bir bilimsel araştırma kurumunun ülkedeki izinsiz girişinde yeniden tespit edildi.
O tarihten bu yana on bir ülkede 62 kadar benzersiz kurban tespit edildi; Tacikistan, Kırgızistan, Kazakistan, Türkmenistan ve Özbekistan’da yaşanan kayda değer olaylar, tehdit aktörünün olası bir toplama girişiminde Orta Asya’nın birincil odak noktası olduğunu gösteriyor. Rusya’nın bölgedeki jeopolitik hedeflerini bildiren istihbarat.
Ermenistan, Çin, Macaristan, Hindistan, Yunanistan ve Ukrayna’da da daha az sayıda kurban tespit edildi.
Saldırı zincirleri, halka açık web uygulamalarındaki (örneğin, Rejetto HTTP Dosya Sunucusu) güvenlik kusurlarından ve CHERRYSPY arka kapısını dağıtmak için bir kanal görevi gören özel bir HTML uygulama yükleyicisi olan HATVIBE’yi bırakmak için ilk erişim vektörü olarak kimlik avı e-postalarından yararlanmayı içerir. veri toplama ve sızma.
Recorded Future, “TAG-110’un çabaları muhtemelen Rusya’nın jeopolitik gelişmeler hakkında istihbarat toplama ve Sovyet sonrası devletlerde nüfuzu sürdürme yönündeki daha geniş stratejisinin bir parçası.” dedi. “Bu bölgeler, Rusya’nın Ukrayna’yı işgalinin ardından gerginleşen ilişkiler nedeniyle Moskova için önemli.”
Rusya’nın da önlemlerini artırdığı düşünülüyor. sabotaj operasyonları Şubat 2022’de Ukrayna’nın tam kapsamlı işgalinin ardından Avrupa’daki kritik altyapı genelinde, NATO müttefiklerini istikrarsızlaştırmak ve Ukrayna’ya verdikleri desteği bozmak amacıyla Estonya, Finlandiya, Letonya, Litvanya, Norveç ve Polonya’yı hedef aldı.
Recorded Future, “Bu gizli faaliyetler, Rusya’nın NATO ülkelerini istikrarsızlaştırmayı, askeri yeteneklerini zayıflatmayı ve siyasi ittifakları zorlamayı amaçlayan daha geniş hibrit savaş stratejisiyle uyumlu.” söz konusuçabaları “hesaplanmış ve ısrarcı” olarak nitelendirdi.
“Rusya ile Batı arasındaki ilişkiler neredeyse kesin olarak endişe verici olmaya devam edeceğinden, Rusya’nın, NATO ile savaş eşiğini geçmeden, daha önce tartışıldığı gibi, sabotaj operasyonlarının yıkıcılığını ve ölümcüllüğünü artırması çok muhtemel. Gerasimov doktrini. Bu fiziksel saldırılar muhtemelen Rusya’nın siber çabalarını tamamlayacak ve Rusya’nın hibrit savaş doktrini doğrultusunda operasyon alanını etkileyecektir.”