APT28 ve UKR-net Kullanıcılarına Yönelik Tehditler
Son dönemlerde dikkat çeken bir siber tehdit aktörü, Rusya destekli APT28 olarak bilinen grup. Bu grup, özellikle Ukrayna’nın popüler webmail ve haber servisi UKR[.]net kullanıcılarına yönelik uzun süreli bir kimlik avı kampanyası düzenlemektedir. Recorded Future’ın Insikt Grubu tarafından 2024 Haziran ile 2025 Nisan arasında izlenen bu faaliyet, daha önceki saldırıların üzerine inşa edilmiştir.
APT28’in Tanımı ve Tarihçe
APT28, aynı zamanda BlueDelta, Fancy Bear, ve Sofacy gibi farklı isimlerle de anılmaktadır. Rusya’nın Genelkurmay Başkanlığı’na (GRU) bağlı olduğu değerlendirilmektedir. Bu grup, devlet destekli bir aktör olarak bilinen siber casusluğun öncülerindendir ve tarihsel olarak kamu kurumları, savunma sanayi şirketleri ve stratejik düşünce kuruluşlarını hedef almıştır.
Kimlik Avı Kampanyasının Detayları
Yeni saldırılar, kullanıcıları sahte UKR[.]net giriş sayfalarına yönlendirmek için Mocky gibi meşru hizmetlerde oluşturulmuş sahte sayfaların kullanılmasıyla karakterize edilmektedir. Bu sahte sayfalara yönlendiren bağlantılar, phishing e-postaları aracılığıyla dağıtılan PDF belgelerine gömülüdür.
Kısaltılmış Bağlantılar ve İki Aşamalı Yönlendirme
Saldırganlar, bağlantıları tiny.cc ya da tinyurl.com gibi kısaltma servisleri kullanarak gizlemektedir. Bazı durumlarda ise, Blogger platformlarında (blogspot.com gibi) oluşturulan alt alan adlarıyla iki aşamalı bir yönlendirme zinciri kurulmakta ve sonrasında kimlik avı sayfasına ulaşılmaktadır.
Stratejik Amaçlar ve Hedef Seçimi
APT28’in bu kampanyası, Rusya’nın stratejik hedefleri doğrultusunda, Ukrayna’ya karşı yürüttüğü siber savaşın bir parçası olarak değerlendiriliyor. Daha önceki çalışmalarda belirtildiği gibi, grup, önemli bilgileri toplamak üzere hedef alır. Ancak bu kampanya spesifik hedefler ortaya koymamakla birlikte, Ukrayna kullanıcılarından hassas bilgilerin toplanması amacını taşımaktadır.
Değişen Yöntemler ve Altyapı Kullanımı
Saldırganlar, daha önce kullanılan ihlal edilmiş yönlendiricilerden, proxy tünelleme hizmetleri gibi yeni yöntemlere geçiş yapmıştır. Örneğin, ngrok ve Serveo gibi hizmetler, ele geçirilen kimlik bilgilerini ve iki faktörlü kimlik doğrulama kodlarını yakalamak ve iletmek için kullanılmaktadır.
Sonuç ve Siber Güvenlik Önlemleri
APT28’in UKR-net kullanıcılarına yönelik bu mevcut kampanyası, Rusya’nın siber saldırı kapasitesinin ve teknik gücünün bir göstergesidir. Batı odaklı altyapıların kaldırılması sonrası, saldırganların, anonim tünelleme yapılarına başvurması önemli bir adaptasyon gösterdiğini yansıtmaktadır.
Sonuç olarak, bireyler ve kuruluşlar, bu tür tehditlere karşı daha proaktif önlemler almalı ve siber güvenliklerini artırmalıdır. Kimlik avı e-postalarına karşı dikkatli olunması, şüpheli bağlantılara tıklanmaması ve güvenlik çözümlerinin aktif kullanılması bu süreçte kritik öneme sahiptir.
