Gelişen Siber Tehditler: Void Blizzard ve Microsoft’un Uyardığı Tehdit Aktiviteleri
Son yıllarda siber güvenlik alanında meydana gelen tehditler, özellikle devlet destekli grupların faaliyetleriyle daha da karmaşık hale geldi. Son olarak, Microsoft, Rusya ile bağlantılı bir grup olan Void Blizzard (diğer adıyla Laundry Bear) tarafından gerçekleştirilen ve daha önce belgelenmemiş bir tehdit aktivitesi kümesine dikkat çekti. Bu durumun, dünya genelinde bulut kullanımının kötüye kullanılmasıyla doğrudan bağlantılı olduğu belirtiliyor.
Void Blizzard, Nisan 2024‘ten beri aktif olup, Rus hükümeti için önemli olan çeşitli alanları hedef alıyor. Bu alanlar arasında hükümet, savunma, ulaşım, medya, sivil toplum kuruluşları (NGO’lar) ve sağlık sektörleri yer alıyor. Microsoft’un siber tehdit istihbarat ekibi, bu grubu, özellikle NATO üyesi devletler ve Ukrayna‘yı hedef alması nedeniyle, Rusya’nın stratejik hedeflerini güçlendirmek amacıyla istihbarat toplamakla suçluyor.
Hedef Alınan Sektörler ve Stratejiler
Void Blizzard’ın saldırıları, genellikle hükümet ve hukuk müfettişliği gibi alanları hedef almakta. Özellikle, Ukrayna‘ya askeri ya da insani yardım sağlayan ülkelerdeki hedefler belirgin bir şekilde öne çıkıyor. Microsoft’a göre, 2024’ün Ekim ayında Ukrayna merkezli bir hava taşımacılık kuruluşuna yönelik birkaç kullanıcı hesabı ele geçirildi. Bu kuruluş daha önce, Rusya’nın Genelkurmay Başkanlığı‘na bağlı bir başka tehdit aktörü olan Seashell Blizzard tarafından hedef alınmıştı.
Saldırılar, genellikle fırsatçı bir yaklaşım sergileyerek, Rus hükümeti için değer taşıyan hedeflere yönelik yüksek hacimli çabalar olarak tanımlanıyor. İlk erişim yöntemleri ise genellikle şifre taraması ve çalıntı kimlik bilgileri gibi basit teknikleri içeriyor.
Kimlik Bilgilerinin Çalınması ve Zararlı Eylemler
Void Blizzard, bazı kampanyalarında, siber suç yeraltı dünyasında bulunan bilgi çalığıcı kayıtlarından temin ettiği kimlik bilgilerini kullanarak Exchange ve SharePoint Online hesaplarına erişim sağladı. Microsoft, bu durumla ilgili olarak, tehdit aktörünün bazı durumlarda, ele geçirilen kuruluşun Microsoft Entra ID yapılandırmasını AzureHound aracını kullanarak inceleyerek kullanıcılar, roller ve cihazlar hakkında bilgi topladığını belirtiyor.
Son bir ay içerisinde, Microsoft, tehdidin grubu arasında şifre çalma için daha doğrudan yöntemlere geçiş yaptığını gözlemledi. Özellikle, hedef kullanıcıların kimlik bilgilerini elde etmek amacıyla sürekleyici e-posta gönderimleri yaparak, sahte bir Microsoft Entra kimlik doğrulama portalı ile tuzak kurduğu bildirildi. Sahte e-postalar, Avrupa Savunma ve Güvenlik Zirvesi‘nden gelen bir organizatör tarafından gönderildiği iddiasıyla tasarlanmış ve PDF dosyalarında sahte davetiyeler barındırıyordu.
PDF dökümanının içinde yer alan zararlı QR kodu, saldırganın kontrolündeki bir etki alanına yönlendirmekte ve bu alan "micsrosoftonline[.]com" olarak bilinen çalıntı kimlik bilgilerini mağduriyet yoluyla elde etmeyi amaçlayan bir kimlik avı sayfasını barındırmakta. Bu kimlik avı sayfasının, açık kaynaklı Evilginx kimlik avı kiti temelinde hazırlandığı düşünülüyor.
Sonrası ve Gelecek Tehditler
Başlangıç erişiminden sonraki işlemler, Exchange Online ve Microsoft Graph‘in kötüye kullanılmasıyla kullanıcıların e-posta kutularını ve bulut tabanlı dosyalarını taramak üzerine odaklanıyor. Bazı durumlarda, saldırganlar Microsoft Teams konuşmalarına ve mesajlarına erişim sağlamakta. Microsoft’un raporuna göre, ele geçirilen kuruluşlar, geçmişte ve bazı durumlarda eş zamanlı olarak diğer tanınmış Rus devlet aktörleri tarafından hedef alınmış.
Bu durum, bu tehdit gruplarının ana kuruluşlarına atfedilen ortak istihbarat ve ya bilgi toplama girişimlerinin bir sonucu olabileceğini göstermektedir. Siber tehditlerin entegre bir yaklaşım ile yönetilmesi, uluslararası güvenlik açısından büyük önem taşımakta ve siber güvenlik alanında daha fazla kaynağın ve stratejinin geliştirilmesini gerektirmektedir.
Tüm bu bilgiler göz önüne alındığında, kuruluşların bu tür tehditlere karşı ne denli savunmasız olabileceği aşikardır ve proaktif önlemler alması kaçınılmazdır. Bulut sistemlerinin güçlü savunma mekanizmaları ile koruması, gelecekte oluşabilecek daha büyük güvenlik sorunlarının önlenmesinde kritik bir rol oynamaktadır.
