Ukrayna’daki Kritik Altyapıya Yönelik Yeni Tehditler
Son günlerde, Ukrayna‘daki kritik altyapı hedeflerine yönelik siber saldırılar büyük endişelere yol açtı. Cisco Talos tarafından yapılan araştırmalara göre, daha önce görülmemiş bir veri silici zararlısı olan PathWiper, Ukrayna’daki kritik bir altyapı kuruluşunu hedef aldı. Bu saldırı, saldırganların muhtemelen yönetim konsoluna erişimi olduğunu gösteriyor. Araştırmacılar, saldırının ardından zararlı komutların verildiğini ve PathWiper’ın bağlı uç noktalara dağıtıldığını belirtti.
Saldırının, Rusya ile bağlantılı gelişmiş sürekli tehdit (APT) aktörleri tarafından gerçekleştirildiği değerlendiriliyor. Araştırmalara göre, saldırganlar adli araçların konsolu kullanarak zararlı komutlar gönderdi ve bu, kurban uç noktalarındaki istemciler tarafından alındı. Bunun sonucunda, bir BAT dosyası olarak çalıştırılabilecek komutlar yüklendi.
PathWiper, bağlanan depolama birimlerinin listesini oluşturarak başlar ve her bir yol için bir iş parçacığı oluşturur. Bu işlem sonucunda, içerik rastgele oluşturulan baytlarla üzerine yazılır. Özellikle, Master Boot Record (MBR) ve NTFS tabanlı dosya sistemine ilişkin maddeleri hedef alıyor. PathWiper, dosyaları kalıcı olarak yok ederken, disklere karmaşık bir zarar verme mekanizması uygular.
Talos’un belirtilerine göre, PathWiper ve HermeticWiper arasında bazı benzerlikler bulunmaktadır. HermeticWiper, Rusya’nın Ukrayna’ya karşı tam ölçekli askeri müdahalesi sırasında tespit edilmişti. Her iki zararlının da veri bozulma mekanizmaları benzerlik gösterse de, PathWiper’ın hedef aldığı sürücü ve birimlere uygulanan zarar verme yöntemleri farklılık göstermektedir. Bu durum, siber tehditlerin ne denli sürekli bir evrim geçirdiğini gösteriyor.
Sessiz Kurt Adam: Rusya ve Moldova’yı Amaç Alıyor
Yeni bir wiper zararlısının ortaya çıkması, Silent Werewolf isimli siber casusluk grubunun iki yeni kampanyasıyla aynı zamana denk geliyor. BI.ZONE tarafından tespit edilen bu kampanyalar, Moldova ve Rusya’daki şirketlerin hedef alınmasını içeriyor. Saldırılar, farklı yükleme araçları kullanarak zararlı yazılımı indirmektedir.
Hedef alınan sektörler arasında nükleer, uçak, ölçüm ve mekanik mühendislik bulunuyor. Saldırılar, virüslü bir ZIP dosyasının e-posta yoluyla gönderilmesiyle başlıyor; bu ZIP dosyası, zararlı bir DLL ve yanıltıcı bir PDF içermektedir. DLL dosyası, bir sonraki aşama yüklemesini uzaktan alacak şekilde tasarlanmıştır.
BI.ZONE’un raporuna göre, saldırganlar hedef sistemlerde kontrol sağlamaktadır. Hedef sistem uygun kriterleri karşılamadığında, zararlı yazılımın bir yüksek dil modeli (LLM) indirilmesi sağlanmaktadır. Bu durum, siber güvenlik analizi sürecini zorlaştırmakta ve kaynakların korunmasına yönelik savunmaları aşabilmektedir.
Pro-Ukrayna Hacktivist Grubu BO Team’in Saldırıları
Son dönemde, Rusya‘daki devletine ait şirketler de pro-Ukrayna hacktivist grubu BO Team‘in saldırılarına maruz kalıyor. Kaspersky araştırmacıları, bu grubun yüksek düzeyde bir tehdit oluşturduğunu ve hedeflerine zarar vermek amacıyla çeşitli yöntemler kullandığını belirtiyor.
BO Team, şartları sağlamak için siber saldırıların başında, booby-trapped ekler kullanarak hedef ağlara erişim sağlıyor. Bu süreçte, bilinen zararlı yazılım aileleri gibi DarkGate, BrockenDoor ve Remcos RAT kullanılmaktadır. Ayrıca hedef sistemlere uzaktan erişim sağlarken, dosya yedeklerini yok etmekte ve ransom yazılımları kullanarak fidye talebinde bulunmaktadır.
Saldırganlar, aynı zamanda şu aktiviteleri gerçekleştiriyor:
- Görev zamanlamaları kullanarak kalıcılık sağlamak
- Malicious bileşen isimlerini, sistem dosyalarına benzeyecek şekilde atamak
- Aktif dizin veritabanlarını çıkarmak
- Telegram ile ilgili bilgiler toplamak
Kaspersky, bu grubun davranışlarını inceledikten sonra, BO Team’in diğer pro-Ukrayna gruplarından bağımsız ve yüksek düzeyde otonom bir yapıya sahip olduğunu vurgulamaktadır. Grubun faaliyetleri, mevcut hacktivist manzarasında benzersiz bir profil sergilediğini göstermektedir.
Bu gelişmeler, hem siber güvenlik alanında hem de uluslararası ilişkilerde dikkatle takip edilmesi gereken bir durum olup, gelecekteki tehditler konusunda önemli uyarılar içermektedir.
