Ulus devlet destekli bilgisayar korsanlığı gruplarıyla ilişkili tehdit, son zamanlarda iyi araştırılmış ve kayıt altına alınmıştır, ancak yıllarca gölgede çalışan, eşit derecede tehlikeli başka bir düşman grubu daha var.
Bunlar, sistemlere sızma ve hizmet olarak e-posta ve diğer verileri çalma konusunda uzmanlaşmış, kiralık hack gruplarıdır. Müvekkilleri, özel dedektifler, hukuk firmaları, ticari rakipler ve bu saldırıları kendi başlarına gerçekleştirme becerisine sahip olmayan diğerleri olabilir. Bu tür siber paralı askerler, genellikle gizli olma ve belirli misyonları ve sıkı bir hedef odağı olan devlet destekli gelişmiş kalıcı tehdit (APT) aktörlerinin aksine, hizmetlerinin reklamını yapar ve müşterilerinin ilgisini çeken herhangi bir varlığı hedefler.
Google’ın Tehdit Analizi Grubu’ndan (TAG) araştırmacılar bu hafta tehdit hakkında bir rapor yayınladılar. kiralık hack ekosistemleri Hindistan, Rusya ve Birleşik Arap Emirlikleri’nde suç faaliyetinin üretken doğasının örnekleri olarak. TAG araştırmacıları, siber paralı askerler tarafından sunulan hizmetlerin, istihbarat teşkilatları ve kolluk kuvvetleri gibi diğerlerinin kullanması için araçlar ve yetenekler satan gözetim satıcıları tarafından sunulanlardan farklı olduğunu belirledi.
Geniş Hedefler
Google TAG direktörü Shane Huntley Perşembe günkü bir blogda, “Kiralık hack kampanyalarındaki hedeflerin genişliği, genellikle daha net bir misyon ve hedefler tasviri olan birçok hükümet destekli operasyonun aksine” dedi.
Örnek olarak, Google’ın, bir Hintli kiralık korsan takımının Kıbrıs’ta bir bilişim şirketini, İsrail’de bir alışveriş şirketini, Balkanlar’da bir finansal teknoloji şirketini ve Nijerya’da bir akademik kuruluşu hedef aldığı yakın zamanda gözlemlediği bir operasyona işaret etti. Google, diğer kampanyalarında bu grupların insan hakları savunucularını, gazetecileri ve siyasi aktivistleri hedef aldığını gözlemledi.
Huntley, “Ayrıca, müşterilerinin rolünü kolayca gizleyerek kurumsal casusluk da yürütüyorlar” diye yazdı.
Google’ın hack-for-kie etkinliğine ilişkin raporu, Reuters’in mahkeme salonundaki davalara dahil olan tarafların son yıllardaki durumlarına ilişkin uzun bir araştırma raporuyla aynı zamana denk geldi. işe alınan Hintli siber paralı askerler diğer taraftan onlara savaşta avantaj sağlayacak bilgileri çalmak.
Reuters, bir davaya karışan birinin Hintli bilgisayar korsanlarını dava ettikleri kurumdan bilgi almak için tuttuğu 2013 yılına kadar en az 35 vaka tespit edebildiğini söyledi. Bunlardan biri, Nijerya hükümeti ile bir İtalyan işadamının varisleri arasında bir petrol şirketinin kontrolü konusunda 1,5 milyar dolarlık bir yasal savaştı.
Bu örneklerin her birinde, bilgisayar korsanları, e-posta hesaplarının kimlik bilgilerini ve diğer verileri çalmak için kötü amaçlı yazılım içeren hedeflenen kurbanlara kimlik avı e-postaları gönderdi.
Çok Sayıda Kiralık Hacking Kurbanı
Reuters, bu saldırıların hedefi olan yaklaşık 75 ABD ve Avrupa şirketi, üç düzine savunma grubu ve batılı ülkelerdeki çok sayıda şirket yöneticisini belirlediğini söyledi. Toplamda, soruşturmanın odak noktası olan yedi yıllık süre boyunca Hintli bilgisayar korsanları, birden fazla ülkedeki 13.000 hedefe 80.000 kimlik avı e-postası gönderdi.
Saldırganların e-posta gelen kutularına erişmeye çalıştıkları kişiler arasında ABD’de Baker McKenzie ve Cooley ve Cleary Gottlieb ve Avrupa’da Clyde & Co. ve LALIVE gibi 108 hukuk firmasından en az 1000 avukat vardı.
Reuters raporun mağdurlarla yapılan görüşmelerden, ABD hükümet yetkililerinden, avukatlardan ve yedi ülkeden mahkeme belgelerinden elde edilen bilgilere dayandığını belirtti. Ayrıca, Reuters’in iki e-posta sağlayıcısından aldığını söylediği Hintli bilgisayar korsanları tarafından gönderilen on binlerce e-postanın bir veritabanı da soruşturmaya yardımcı oldu.
Reuters haberinde, “Veritabanı, bilgisayar korsanlarının isabet listesidir ve siber paralı askerlerin 2013 ile 2020 yılları arasında kimlere kimlik avı e-postaları gönderdiğine ikinci bir bakış açısı sunar” dedi.
Reuters’in raporunda belirttiği Hintli kuruluşlar arasında Appin, BellTroX ve Cyberoot vardı ve bunların tümü bir noktada altyapı ve personeli paylaştı.
Siber Kampanyaları İzleme
Google, 2012’den beri birçoğu Appin ve BellTroX ile bağlantılı olan Hintli kiralık hack operatörlerini de takip ettiğini söyledi. Faaliyetlerin çoğu, BAE’deki hükümet, telekom ve sağlık sektörlerindeki kuruluşlara odaklandı. TAG’a göre Suudi Arabistan ve Bahreyn.
Google’ın raporunda ayrıca, TAG araştırmacılarının Rusya ve BAE’de takip ettiği kiralık hack operatörleri de açıklandı. Bunlardan biri, diğerlerinin Void Balaur olarak adlandırdığı, binlerce kişiyi gözetleyen ve çeşitli müşterilere satmak üzere onlar hakkındaki özel bilgileri çalan önceden bilinen bir Rus aktör.
Bu, güvenlik araştırmacılarının kiralık bilgisayar korsanları hakkında ilk kez uyarıda bulunmaları değil. Trend Micro, örneğin, Void Balaur tehdidi Kasım 2021’de. Bir yıl önce, BlackBerry güvenlik araştırmacıları, çoğu Güney Asya’da olmak üzere birden fazla ülkedeki kurbanları hedef alan CostaRicto adlı gözlemledikleri kiralık bir korsan grubu hakkında rapor verdi.
TAG’den Huntley, “Kiralık hack ortamı, hem saldırganların kendilerini nasıl organize ettikleri hem de farklı müşterilerin emriyle tek bir kampanyada izledikleri çok çeşitli hedefler açısından akışkandır” dedi.