Rusya’nın Ukrayna’daki siber saldırılarının, bu hafta Ukrayna’yı işgal etmesi üzerine Rusya’ya ekonomik ve diğer yaptırımlar uygulayan ABD ve diğer ülkelerdeki kuruluşlara yayılma potansiyeli üzerinde gerilim artıyor.
Korkular, hem yakın tarihli emsaller hem de Rus hükümetiyle bağlantılı olduğuna inanılan siber tehdit aktörleri tarafından son birkaç hafta ve ay içinde Ukrayna’daki kuruluşlara yönelik kötü niyetli faaliyetlerin doğası gereği körükleniyor.
Avertium danışmanı Paul Caiazzo, “Batı dünyası, Rus siber misillemesi için kırmızı alarm durumunda olmalı” diyor. Rusya, önceki çatışmalarda hibrit bir savaş yaklaşımı – kinetik ve siber – kullanma eğilimi gösterdi ve şu anda oynamakta olan şeyin bu yaklaşımla uyumlu olduğunu söylüyor. Batılı ülkelerin yaptırım uygulamalarındaki birlik, Rusya’yı çok az seçenekle ve küresel finans sisteminden tamamen kopma riskiyle karşı karşıya bıraktığını söylüyor.
Caiazzo, “İnternet, Putin’e, Rusya’nın gündemine müdahale etmek isteyenlere korkunç sonuçları olan tehditlerini yerine getirmesi için hala her fırsatı sunacak” dedi.
Acil endişelerin çoğu, Rusya’nın yerel saatle 24 Şubat’taki askeri harekatından önce Ukraynalı kuruluşları hedef alan bir dizi kötü niyetli faaliyete odaklanıyor. Bu, tehlikeli bir yeni disk silme kötü amaçlı yazılım aracının konuşlandırılmasını, sakat bırakan DDoS saldırılarını ve Rus Genelkurmay Ana İstihbarat Müdürlüğü’ne (GRU) bağlı bir Rus tehdit aktöründen yeni bir kötü amaçlı yazılım çerçevesini içeriyor.
Acil Endişeler
23 Şubat akşamı, Rus birliklerinin Ukrayna’ya girmesinden sadece birkaç saat önce, güvenlik araştırmacıları çok sayıda Ukraynalı kuruluşun sofistike yeni bir disk silme kötü amaçlı yazılımına maruz kaldığını bildirdi. Tehdidi “HermeticWiper” olarak takip eden ESET, Ukrayna’daki yüzlerce sistemde kötü amaçlı yazılımın izlerini bulduğunu söyledi. Bir HermeticWiper örneğindeki derleme zaman damgası 28 Aralık 2021 idi ve bu da saldırının iki aya yakın bir süredir hazırlık modunda olduğunu gösteriyor. ESET tarif kötü amaçlı yazılım ikili dosyasının, Hermetica Digital Ltd.’ye verilen geçerli bir kod imzalama sertifikasıyla imzalanmış olması.
Symantec rapor edildi
Ukrayna’nın savunma, finans, havacılık ve BT hizmetleri sektörlerindeki kuruluşlara karşı kullanılan kötü amaçlı yazılım. Kötü amaçlı yazılım, yalnızca Windows sistemlerinde Ana Kitap Kaydı’na (MBR) zarar vermek için tasarlanmış gibi görünüyor ve bu da, güvenliği ihlal edildiğinde onları önyüklenemez hale getiriyor. Birkaç saldırıda, tehdit aktörleri, muhtemelen bir tuzak olarak, disk sileceği ile aynı anda fidye yazılımı dağıttı. Symantec, Litvanya’daki kuruluşlara ait sistemlerde de HermeticWiper – veya güvenlik sağlayıcısının izlediği adıyla Trojan.Killdisk – kanıt bulduğunu ve Ukrayna’daki siber saldırıların diğer ülkelere yayılmaya başladığını öne sürdü.
HermeticWiper, adı verilen başka bir disk silme kötü amaçlı yazılım aracına benzer. Fısıltı Kapısı
Microsoft’un ilk olarak Ocak ayında Ukraynalı kuruluşlara karşı kullanıldığını bildirdi. HermeticWiper’da olduğu gibi, bu silecek fidye yazılımı olarak gizlendi ancak MBR’nin üzerine yazmak ve yok etmek için tasarlandı. WhisperGate kurbanları şimdiye kadar Ukrayna hükümeti, BT sağlayıcıları ve kar amacı gütmeyen kuruluşları içeriyor.
Whispergate ve HermeticWiper, başlangıçta fidye yazılımı gibi görünen ancak aslında bir disk silecek olan 2017’nin NotPetya’sı ile karşılaştırmalar uyandırdı. Kötü amaçlı yazılım dünya çapında on binlerce sisteme bulaştı, ancak esas olarak Ukrayna sistemlerini hedef almaya başladı.
Caiazzo, “2017’de küresel bir etkiye sahip olan NotPetya gibi Rus siber saldırıları en çok Ukrayna’yı etkiledi, ancak çok uluslu dev şirketlere ve devlet kuruluşlarına milyarlarca dolara mal oldu” diyor. “Varlıklar siyasetten bağımsız olarak çapraz ateşte kaldı ve aynı şey tekrar olabilir.”
Rus tehdit aktörü Sandworm, namı diğer Voodoo Bear’ın ağ cihazlarını hedeflemek için kullandığı Cyclops Blink adlı yeni bir kötü amaçlı yazılım çerçevesi konusunda da endişeler yüksek. Sandworm, NotPeyta salgınının, Ukrayna’nın elektrik şebekesini geçici olarak felç eden 2015 BlackEnergy saldırısının ve özellikle büyük ölçekte elektrik sistemlerini hedeflemek için geliştirilen ilk siber silah olan Industroyer’ın arkasındaki tehdit aktörüdür.
A ortak danışma ABD Siber Güvenlik ve Altyapı Ajansı’ndan bu hafta, İngiltere Ulusal Siber Güvenlik Merkezi, NSA ve FBI, Cyclops Blink’i Sandworm’un ağ cihazlarını hedeflemek için önceki VPNFilter’ın yerine kullandığı kötü amaçlı yazılım olarak tanımladı. VPNFilter, 2018’de kapatılmadan önce dünya çapında yaklaşık 500.000 yönlendiriciye bulaştı. Cyclops Blink, 2019’dan kısa bir süre sonra geliştirildi. Şu anda, kötü amaçlı yazılım yalnızca WatchGuard cihazlarını etkiliyor, ancak muhtemelen diğer satıcıların, CISA ve diğerlerinin ağ teknolojilerini etkileyecek şekilde değiştirilebilir. dedim.
Önceki modellere uygun olarak, Rusya’nın bu hafta Ukrayna’daki askeri harekatı öncesinde çok sayıda saldırı gerçekleşti. DDoS saldırıları Ukrayna parlamentosu, Bakanlar Kurulu, Dışişleri Bakanlığı ve Ukrayna Güvenlik Servisi de dahil olmak üzere önemli hükümet web sitelerini hedef alıyor. Saldırılar için komuta ve kontrol merkezi olarak hizmet veren Rusya bağlantılı bir web sitesinde de, Başkan ve Adalet Bakanlığı da dahil olmak üzere Ukrayna hükümetinin önemli web sitelerinin klonlarına ev sahipliği yaptığı tespit edildi.
Dalgalanan Siber Etkiler
Sotero’nun CEO’su ve kurucu ortağı Purandar Das, görünüşte Ukrayna’daki siber saldırılarda önceki benzer çatışma dönemlerine kıyasla gerçekten farklı bir şey olmadığını söylüyor. “Ancak, şu anda net olmayan şey, bunların saptırma olup olmadığı” diyor.
Altyapıya yönelik daha stratejik saldırılar gerçekleşebilir veya zaten gerçekleşmiş olabilirken, saldırıların sorun olarak algılanan şeylere dikkat çekmek için bir taktik olması muhtemeldir, diyor. “Düşman olarak algılanan diğer ulusların halihazırda saldırı altında olmadığına inanmak çok kolay olurdu. Bu devletlere karşı işbirliğini engellemek veya iletişimi bozmak için kesinlikle bir tırmanış olabilir.”
Son günlerde CISA aslında “yabancı aktörlerin” yanlış bilgileri, yanlış bilgileri ve gerçek olaylarla ilgili yanıltıcı bilgileri ABD’nin kritik altyapısını hedef almak için kullanma potansiyeli konusunda uyardı. Uyarıda, Rusya-Ukrayna çatışmasının, ABD makamlarını ve çıkarlarını baltalamak ve ABD’nin kritik altyapısını bozmak amacıyla ABD izleyicilerini hedef alan yabancı nüfuz operasyonlarının riskini artırdığı belirtildi.
Bu noktada tüm kurum, kuruluş ve küçük işletmeler gereken özeni göstermeli ve siber ortamlarını korumalıdır. Avertium Çözüm Pazarlama Direktörü Lee Legnon, Ukrayna ve Rusya arasındaki mevcut durumun sadece Ukrayna’da iş yapanları değil tüm kuruluşları etkilediğini söylüyor. Özellikle risk altındaki kuruluşlar, kritik altyapı sektörlerinde ve yüksek değerli tedarik zinciri satıcılarında bulunan kuruluşlardır. “Rusya daha önce aksama ve hasara yol açma yeteneğini ve istekliliğini gösterdi ve bunu hem kamu hem de özel sektörde değişen seviyelerde kitlesel kafa karışıklığı yaratmak için tekrar yapabilir” diyor.
Bu ayın başlarında CISA, ABD kuruluşlarını kendi deyimiyle “Kalkanlar YukarıRusya destekli tehdit aktörlerinin siber saldırılara hazırlık duruşu.
Morrison & Foerster’ın küresel risk ve kriz eş başkanı Alex Iftimie, durum tespitinin bir parçası olarak kuruluşların Rusya’ya yönelik mevcut yaptırımların bir saldırı durumunda fidye ödeme yeteneklerini nasıl etkileyebileceğini anladıklarından emin olmaları gerektiğini söylüyor. yönetim grubu. Iftimie, “Yeni Rus yaptırımları, fidye yazılımı gruplarına veya diğer siber aktörlere veya kullandıkları kripto para birimi altyapısına yönelik yaptırımları içermiyor gibi görünüyor” diyor.
Ancak, Rusya’nın Ukrayna’yı işgaliyle bağlantılı koordineli fidye yazılımı saldırıları gerçekleşmeye başlarsa, bu durum hızla değişebilir, diyor. FBI, işletmeleri, eyalet ve yerel yetkilileri bu tür saldırıların potansiyeli konusunda uyardı.
Iftimie, “Kapsamlı yeni yaptırımlar ışığında, fidye yazılımı ve diğer gasp saldırılarının kurbanlarının fidye ödemesi yapmadan önce durum tespiti yapmaları kesinlikle kritik önem taşıyor” diyor.
