Rus Savunma ve Havacılık Sektöründe Siber Casusluk Faaliyetleri
Son yıllarda, Rusya’nın savunma ve havacılık sanayileri, siber casusluk saldırılarının hedefi haline geldi. Bu kampanya, EAGLET adında bir arka kapı (backdoor) ile desteklenen bir veri sızdırma sistemi oluşturmayı amaçlayan Operation CargoTalon olarak adlandırılmaktadır. Bu siber tehdit, UNG0901 adı verilen bir tehdit grubu tarafından yürütülmektedir ve henüz tanınmayan bir grup olarak kaydedilmektedir.
Hedeflenen Kuruluşlar ve Yöntemler
Bu siber saldırının ana odağı, Rusya’daki önemli uçak üreticilerinden birisi olan Voronezh Aircraft Production Association (VASO)‘dur. Araştırmacılar, Seqrite Labs tarafından sağlanan bilgilere göre, saldırı genellikle spear-phishing e-postaları aracılığıyla başlar. Bu e-postalar, genellikle kargo teslimatına ilişkin belgeler içermekte ve bunlar içinde ZIP arşivleri bulunmaktadır. Bu ZIP arşivlerinde, Windows kısayol dosyası (LNK) yer almakta olup, PowerShell komutları kullanarak sahte bir Microsoft Excel belgesi görüntülemekle birlikte, aynı zamanda EAGLET DLL implantını hedef makineye yüklemektedir.
Decoy belge, Obltransterminal isimli, ABD Hazine Bakanlığı’nın Yabancı Varlıkların Kontrol Ofisi (OFAC) tarafından yaptırım uygulanan bir Rus demiryolu konteyner terminali operatörüne atıfta bulunmaktadır. EAGLET, sistem bilgilerini toplamak ve sabit kodlu bir uzak sunucuya bağlantı kurmak üzere tasarlanmıştır. Bu sunucu üzerinden alınan HTTP yanıtı, zarar görmüş Windows makinesinde yürütülecek komutları içermektedir.
EAGLET ve Benzer Tehditler
EAGLET, shell erişimi sağlama ve dosya yükleme/indirme yeteneklerine sahip olmasına rağmen, bu yöntemle dağıtılan sonraki aşama yüklerinin (payloads) tam niteliği mevcut değildir çünkü komut ve kontrol (C2) sunucusu şu an çevrimdışıdır. Seqrite ayrıca, Russian military sector’u hedef alan benzer kampanyalar da tespit etmiş ve bu kampanya içerisinde EAGLET ile bağlantılı kaynak kodları ve hedefleme örtüşmelerinin olduğunu bildirmiştir.
EAGLET ile bir diğer tehdit grubu Head Mare arasında, işlevsel paralellikler bulunmaktadır. Head Mare, yine Rus varlıklarını hedef alan bir grup olarak bilinir. EAGLET ile PhantomDL adlı Go tabanlı bir arka kapı arasında benzerlikler bulunmaktadır. Her iki araç da shell ve dosya yükleme/indirme özelliklerine sahip olup, sahte belgelerin isimlendirme şemalarında da benzerlikler gözlemlenmiştir.
Yeni Saldırılar ve Gelişmeler
Bu açıklamalara ek olarak, Rusya devlet destekli siber saldırı grubu olarak bilinen UAC-0184 (diğer adıyla Hive0156) son günlerde Ukrayna‘daki hedeflere yönelik yeni bir saldırı dalgasıyla ilişkilendirilmiştir. Remcos RAT adı verilen bir kötü amaçlı yazılımın kullanıldığı bu saldırılarda, öncelikle Microsoft LNK veya PowerShell dosyaları aracılığıyla sahte belgeler indirtilmekte ve ardından Hijack Loader (diğer adıyla IDAT Loader) yüklenmektedir. Bu yükleyici daha sonra Remcos RAT’i çalıştırmaktadır.
IBM X-Force, Hive0156’nın Microsoft LNK ve PowerShell dosyalarını kullanarak Remcos RAT’i dağıttığını belirtmiştir. Ayrıca, bu siber saldırıların belge temalarının Ukrayna askeri konularına yoğunlaştığını ve zamanla potansiyel olarak daha geniş bir kitleye hitap edecek şekilde evrildiğini vurgulamıştır.
Siber Güvenlik Stratejileri ve Önlemler
Rus savunma sanayisinin maruz kaldığı bu tür saldırılar, siber güvenlik önlemlerinin ne kadar kritik olduğunu gözler önüne sermektedir. Özellikle siber casusluk hayata geçirildiğinde, hedef alınan firma ve kuruluşların güvenlik altyapıları üzerinde ciddi tehditler doğmaktadır. Bu nedenle, hem devlet kurumları hem de özel sektördeki firmaların, siber güvenlik stratejilerini yeniden gözden geçirmesi ve gerekli önlemleri alması elzemdir.
Kuruluşlar, çalışanlarına düzenli olarak siber güvenlik eğitimleri vermeli, şüpheli e-postaları ve belgeleri tanımaya yönelik bilinçlendirme faaliyetleri yürütmelidir. Ayrıca, yazılım güncellemeleri ve güvenlik yamanmaları devamlı olarak uygulanmalı, güvenlik duvarları güçlendirilmelidir. Bu önlemler, siber saldırıları önlemeye ve olası veri sızıntılarını minimize etmeye yönelik hayati özellikler taşımaktadır.
Sonuç itibarıyla, siber casusluk faaliyetleri gün geçtikçe artan bir tehdit unsuru haline gelmektedir ve savunma sanayinin bu tehditlere karşı sürekli bir hazırlık içinde olması gerekmektedir. Bu bağlamda, kurumların siber güvenlik alanındaki yatırımlarını artırmaları ve bu konuda daha üst düzey önlemler almaları büyük önem taşımaktadır.
