Gizli Siber Tehdit: Secret Blizzard ve ApolloShadow Malware’i
Dünya genelinde siber güvenlik endişeleri gittikçe artarken, Rusya merkezli bir siber aktör olan Secret Blizzard dikkatleri üzerine çekiyor. Bu grup, özellikle Moskova’daki yabancı elçiliklere yönelik yeni bir siber casusluk kampanyası yürütüyor. Bu saldırıların merkezinde yer alan, “ApolloShadow” adını taşıyan özel bir zararlı yazılım bulunuyor.
Secret Blizzard ve Faaliyetleri
Secret Blizzard, Rusya Federal Güvenlik Servisi ile bağlantılı olan bir aktör olarak biliniyor. Adı, siber güvenlik topluluğu tarafından çok sayıda farklı takma isimle de anılıyor. İsimleri arasında Blue Python, Venomous Bear ve Turla gibi isimler bulunuyor. Bu aktör, Adversary-in-the-Middle (AitM) türündeki saldırılarla, özellikle de yerel internet servis sağlayıcıları üzerinden, diplomatlara yönelik casusluk yapma hedefindedir.
ApolloShadow: Yeni Tehdit
Microsoft’un Tehdit İstihbaratı ekibinin raporuna göre, ApolloShadow zararlısı, cihazları güvenilir kök sertifikaları yükleyerek kötü niyetli sitelere güven duyulmasını sağlıyor. Bu durum, diplomatik cihazlar üzerinde kalıcı erişim sağlamak amacıyla yapılıyor. ApolloShadow’un, 2024 yılından beri aktif olarak kullanıldığı düşünülüyor.
Saldırı Yöntemleri ve Süreç
Secret Blizzard, hedef cihazlara ilk erişimi sağlamak için onları kapsayıcı bir portal arkasına gizliyor. Bu noktada, cihazların, tehdit aktörlerinin denetimindeki altyapıya yönlendirildiği bir süreç başlıyor. Microsoft’un belirttiğine göre, hedef cihazlar internet erişimlerini kontrol etmek için meşru bir HTTP GET isteği gönderiyor ve bu sırada zararlı yazılım otomatik olarak indiriliyor ve çalıştırılıyor.
Kapsayıcı portaldan geçildikten sonra, ApolloShadow zararlısı, C2 (komut ve kontrol) sunucusuna ev sahibi bilgilerini bildirerek çalışmaya başlıyor. Bunun yanı sıra, yaratılan bir dosya olan CertificateDB.exe, cihazın varsayılan yönetim ayarlarında çalışmadığı takdirde devreye giriyor.
Saldırının Sonuçları
ApolloShadow zararlısının gerçekleştirdiği işlemler, cihazın ayarlarını değiştirerek, ağların özel hale gelmesini ve dosya paylaşım kurallarının gevşetilmesini sağlıyor. Bu süreç, siber casusluk amacıyla dikey hareket etmeyi kolaylaştırıyor. Zararlı yazılım, istenmeyen yük değişikliklerinin ardından, kullanıcıdan en yüksek erişim ayrıcalıklarını talep eden bir pop-up penceresi açıyor.
Korunma Yöntemleri
Diplomatik varlıkların, Moskova’daki Secret Blizzard faaliyetlerine karşı korunmaları adına alabilecekleri önlemler arasında, en az ayrıcalık ilkesinin (PoLP) benimsenmesi yer alıyor. Kullanıcıların, yönetici gruplarını periyodik olarak gözden geçirmeleri ve tüm trafiği şifreli bir tünel üzerinden bir güvenilir ağa yönlendirmeleri büyük önem taşıyor. Ayrıca, bir VPN hizmeti sağlayıcısı kullanılması da önerilmektedir.
Sonuç
Secret Blizzard ve ApolloShadow gibi siber tehditler, günümüzde diplomatların ve organizasyonların siber güvenliğini etkileyen önemli sorunlar arasında yer alıyor. Bu tür tehditlere karşı alınacak proaktif önlemler, hem bilgi güvenliği hem de uluslararası ilişkiler için büyük önem taşıyor. Diplomatik kuruluşların ve diğer ilgili yapıların, bu tür siber saldırılara karşı hazırlıklı olması şarttır.
