Gamaredon kimdir? Gamaredon’un amacı nedir? Bu grup hangi tür siber saldırılar gerçekleştiriyor? GammaSteel nedir ve nasıl çalışır?
Gamaredon kimdir?
Gamaredon, aynı zamanda Shuckworm olarak da bilinen, Rusya’ya bağlı bir tehdit aktörüdür. Bu grup, siber casusluk faaliyetleriyle tanınmaktadır ve özellikle Ukrayna gibi hassas noktalarda faaliyet göstermektedir. Gamaredon, genel olarak askeri ve devlet hedeflerine odaklanarak çeşitli siber saldırılar gerçekleştirmektedir. Grubun geçmişi, öncelikle etkili donanım ve yazılım saldırılarıyla doludur ve son dönemdeki saldırılarında daha da karmaşık hale gelmiştir.
Gamaredon’un amacı nedir?
Gamaredon’un amacı, hedef ülkelerin askeri ve siyasi bilgilerini ele geçirmektir. Grubun gerçekleştirdiği saldırılar, genellikle bilgi çalma ve siber casusluk faaliyetleri üzerine yoğunlaşmaktadır. Özellikle Ukrayna, Grubun yüksek öncelik taşıdığı bir alan olarak öne çıkmaktadır. Gamaredon, üzerindeki örtülü bağımlılıklara rağmen, hedeflerini etkili bir şekilde izlemekte ve bilgi toplamaktadır.
Bu grup hangi tür siber saldırılar gerçekleştiriyor?
Gamaredon’un gerçekleştirdiği siber saldırılar, genellikle sosyal mühendislik, kötü amaçlı yazılım dağıtımı ve sistem açıklarından yararlanma gibi yöntemleri içermektedir. Aktörler, hedeflenen askeri misyonlara sızmak amacıyla çeşitli yollarla kötü amaçlı yazılımları yaymaktadır. Bu bağlamda, en son gerçekleştirilen saldırıda, bir askeri misyonun bilgisayarına GammaSteel adlı güncellenmiş bir kötü amaçlı yazılım yüklenmiştir.
GammaSteel nedir ve nasıl çalışır?
GammaSteel, Gamaredon’un kullandığı bilinen bir kötü amaçlı yazılımdır. Bu yazılım, bilgileri toplayarak sızdırmak amacıyla tasarlanmıştır. GammaSteel, sistemlerdeki belirli dosyalara erişim sağlamakta ve bu dosyaları çalarak kötü niyetli aktörlere ulaştırmaktadır. Yazılım, kullanıcının belgeleri ve masaüstü dosyaları gibi kritik bilgilere odaklanmaktadır. Bu sayede Gamaredon, hedef aldığı şahısların ve kurumların hassas bilgilerini ele geçirme şansı elde etmektedir.
Saldırılar genellikle USB sürücüler gibi taşınabilir cihazlar kullanılarak başlatılmaktadır. Örneğin, Gamaredon’un son saldırısında, ilk enfeksiyon vektörünün enfekte bir çıkarılabilir sürücü kullanarak gerçekleştirildiği tespit edilmiştir. Bu şekilde, siber saldırganlar, hedef sistemlere erişim sağlamakta ve ardında iz bırakmadan bilgileri çalmaktadırlar.
Gamaredon’un saldırı yöntemleri, çok aşamalı bir enfeksiyon zinciri oluşturmak üzerine kuruludur. İlk olarak, Windows Kayıt Defteri’nde bir değer oluşturularak saldırı başlatılır. Ardından, kötü amaçlı yazılım, mshta.exe gibi zararlı dosyaları başlatmak için çeşitli dosyaları kullanarak çoğalmaktadır. Bu tür bir süreç, sistemlere daha fazla kötü amaçlı yazılım yükleme şansı sağlamaktadır.
Gamaredon, saldırılarında başarılı olmak için sürekli olarak kodlarını güncellemektedir. Bu, grubun tespit edilme riskini azaltmasına olanak tanır ve ayrıca hedefledikleri insanlara daha fazla zarar verme şansı sağlar. Gamaredon’un kullandığı bu yaklaşımlar, onun siber dünyadaki tehlikesini artırmakta ve düşmanlarına karşı daha keskin bir avantaj sağlamaktadır.
Gamaredon’un hedef aldığı ülkenin askeri misyonlarına yönelik yalnızca bu tür siber saldırılar değil, aynı zamanda çeşitli bilgi toplama ve istihbarat amaçlı saldırılar da bulunmaktadır. Gamaredon, bu tür faaliyetleri sürdürerek, siber casusluk alanında etkinliğini artırmakta ve askeri hedeflerine karşı sürekli bir tehdit oluşturmaktadır.
Gamaredon, diğer Rus siber gruplarına kıyasla daha düşük beceri seviyesine sahip olmakla birlikte, bu açığını sürekli olarak kod güncellemeleri yaparak ve meşru web hizmetlerini kullanarak kapatmaya çalışmaktadır. Bu durum, grubun hedeflerine ulaşma konusundaki kararlılığını göstermektedir.
