Mandiant’a göre, Rus çıkarlarını desteklemek için çalışan en az üç sözde hacktivist grup, bunu muhtemelen devlet destekli siber tehdit aktörleriyle işbirliği içinde yapıyor.
Google’ın sahip olduğu tehdit istihbaratı ve olay müdahale firması söz konusu ‘XakNet Team’, ‘Infoccentr’ ve ‘CyberArmyof Russia_Reborn’ sözde hacktivist Telegram kanallarının moderatörlerinin, operasyonlarını Rusya Ana İstihbarat Müdürlüğü (GRU) destekli siber tehdit aktörleriyle koordine ettiğine dair ılımlı bir güvenle.
Mandiant’ın değerlendirmesi, Ukraynalı kuruluşlardan çalınan verilerin sızmasının, Rus ulus devlet grubu tarafından APT28 (diğer adıyla Fancy Bear, Sofacy veya Strontium) olarak izlenen kötü niyetli silme olaylarından sonraki 24 saat içinde gerçekleştiğine dair kanıtlara dayanıyor.
Bu amaçla, bu gruplardan 16 veri sızıntısından dördü disk silme kötü amaçlı yazılım saldırıları APT28 tarafından CaddyWiper olarak adlandırılan bir türün kullanımını içeren.
En az 2009’dan beri aktif olan APT28, birleşmiş Rus askeri istihbarat teşkilatı Genelkurmay Ana İstihbarat Müdürlüğü (GRU) ile işbirliği yaptı ve 2016’da ABD başkanlık seçimleri öncesinde Demokratik Ulusal Komite’nin (DNC) ihlalleri nedeniyle kamuoyunun dikkatini çekti.
Sözde hacktivist gruplar, Ukrayna’yı hedef almak için dağıtılmış hizmet reddi (DDoS) saldırıları ve web sitesi tahrifleri gerçekleştirirken, göstergeler bu sahte kişilerin bilgi operasyonları ve yıkıcı siber faaliyetler için bir cephe olduğu yönünde.
Bununla birlikte, GRU memurlarının doğrudan katılımını veya Telegram kanallarını yöneten moderatörlerin katılımını önerse de, ilişkinin kesin doğası ve Rus devleti ile olan bağlantı derecesi bilinmemektedir.
Bu akıl yürütme çizgisi, XakNet’in APT28’in bir Ukrayna ağını tehlikeye atarken kullandığı “benzersiz” bir teknik yapıyı sızdırması ve CyberArmyof Russia_Reborn’un veri yayınlarının öncesinde APT28 saldırı operasyonları olması gerçeğiyle doğrulanmaktadır.
Siber güvenlik şirketi, XakNet Ekibi ve Infoccentr ile Rusya yanlısı KillNet grubu arasında bir düzeyde koordinasyon ortaya çıkardığını da kaydetti.
Mandiant, “Ukrayna’daki savaş, tehdit aktörleri tarafından sosyal medya platformlarının kullanımı da dahil olmak üzere Rusya siber programlarının bütünlüğünü, koordinasyonunu ve etkinliğini anlamak için yeni fırsatlar sundu.” Dedi.