APT29: Rusya Bağlantılı Hedefli Saldırılar
Günümüzde siber güvenlik alanında yaşanan tehditler, uluslararası düzeyde büyük bir endişe kaynağı haline gelmiştir. Özellikle, APT29 adlı Rusya bağlantılı bir siber grup, istihbarat toplama faaliyetlerinin yanı sıra, dünya üzerinde birçok kurum ve bireye yönelik saldırılar düzenlemektedir. Amazon’un son raporuna göre, bu grup, “opportunistic watering hole campaign” olarak tanımlanan bir saldırı kampanyası düzenlemiştir.
Saldırı Kampanyasının Detayları
Amazon’un Baş Güvenlik Sorumlusu CJ Moses, bu kampanyanın, saldırganların kontrolündeki cihazların yetkilendirilmesi için kullanıcıları kandırmak amacıyla tasarlanmış kötü niyetli altyapılara yönlendiren kompromize olmuş web siteleri aracılığıyla yürütüldüğünü belirtmiştir. Bu yöntemle, APT29 kullanıcıların Microsoft cihaz kodu kimlik doğrulama akışını kullanarak saldırganların kontrolündeki cihazlara erişim sağlamaya çalışmaktadır.
APT29 ayrıca, aynı zamanda diğer isimlerle de anılmaktadır; BlueBravo, Cozy Bear, Cloaked Ursa ve daha fazlası. Bu grup, Rusya’nın Dış İstihbarat Servisi ile bağlantılı olarak, devlet destekli bir siber saldırı grubu olarak tanımlanmaktadır.
Son Dönemdeki Faaliyetler
Son birkaç ayda, APT29’un, Uzaktan Masaüstü Protokolü (RDP) yapılandırma dosyalarını kullanarak özellikle Ukrayna‘daki kurumlara saldırılar düzenlediği ve hassas verileri sızdırma faaliyetlerini yürüttüğü gözlemlenmiştir. Yılın başından bu yana, bu tehdit grubu, Microsoft 365 hesaplarına yetkisiz erişim sağlamak için çeşitli phishing yöntemleri benimsemiştir.
Cihaz kodu phishing ve cihaz katılım phishing tekniklerini kullanan APT29, hedeflerine ulaşmak için bu yöntemleri dağıtımını hızlandırmıştır. Haziran 2025 itibarıyla, Google, APT29’a ait bir tehdit kümesinin, kurbanların e-postalarına erişim sağlamak amacıyla özel uygulama şifrelerini silahlandırdığını bildirmiştir. Bu yüksek hedefli kampanya, UNC6293 olarak adlandırılmıştır.
Saldırının Yöntemleri ve Teknikleri
Amazon’un tehdit istihbarat ekibi, APT29’un kimlik bilgilerini toplamaktaki sürekli çabalarına dikkat çekmiştir. Saldırının amacı, kurbanları ikna ederek hedeflerinin Microsoft hesaplarına erişim sağlamaktı. Kampanya, JavaScript enjeksiyonu kullanarak çeşitli meşru web sitelerini ele geçirdi ve yaklaşık %10 ziyaretçiyi, Cloudflare doğrulama sayfalarını taklit eden saldırgan kontrolündeki alanlara yönlendirdi.
Bu süreçte saldırganlar, kurbanların Microsoft hesaplarına girmesi için oluşturulmuş meşru cihaz kodları girmeye teşvik edilmiştir. Microsoft ve Volexity, bu yöntemi Şubat 2025‘te detaylı bir şekilde açıklamıştır.
APT29’un saldırının etkili olması için birçok kaçınma tekniği kullandığı da dikkat çekicidir. Örneğin, kötü niyetli kodunu gizlemek için Base64 kodlama kullanmakta, aynı ziyaretçinin tekrar yönlendirilmesini engellemek için çerezler ayarlamakta ve engellenme durumunda yeni altyapıya geçebilmektedir.
Amazondan Gelen Yanıtlar
Amazon, bu tehdit grubunun yeni altyapıya geçme çabalarına rağmen, APT29’un faaliyetlerini izlemeye ve engellemeye devam ettiklerini bildirmiştir. CJ Moses, “Saldırganın, AWS’den başka bir bulut sağlayıcısına geçtiğini gözlemledik. Ancak, bizim müdahalemiz sonrası, saldırganın yeni alanlar kaydederek yine Microsoft cihaz kodu kimlik doğrulama akışlarına kurban luresi yapmaya devam ettiğini gördük,” dedi.
Bu durum, APT29’un saldırı tekniklerini sürekli olarak güncelleyerek işlerini genişletme konusundaki kararlılığını göstermektedir. Söz konusu tehdit grubu, aldıkları yenilikçi önlemlerle, siber alanı daha etkili bir şekilde istismar etmeye devam etmektedir.
Gelecek İçin Öneriler
Bu tür saldırılara karşı alınabilecek önlemler arasında, kurumların ve bireylerin, siber güvenlik eğitimi almaları, güçlü şifre kullanmaları ve tanımadıkları bağlantılara tıklamamaları önerilmektedir. Ayrıca, kullanılan yazılımların düzenli olarak güncellenmesi, özellikle de güvenlik açıklarını kapatmaya yönelik olarak, hayati önem taşımaktadır.
Siber güvenlik tehditleri, sadece belirli gruplara değil, aynı zamanda tüm internet kullanıcılarına yönelik bir risk oluşturmaktadır. Bu nedenle, hem bireysel hem de kurumsal düzeyde farkındalığın artırılması ve sürekli bir savunma mekanizması oluşturulması büyük önem taşımaktadır.
