ColdRiver Saldırıları Nedir?
LostKeys zararlısı nasıl çalışıyor?
ColdRiver grubu kimdir?
Bu tehditler kimleri hedef alıyor?
Daha önceki benzer saldırılar nelerdi?
ColdRiver’ın yöntemleri nelerdir?
Devlet destekli hacker grupları arasındaki farklar nelerdir?
ColdRiver Saldırıları Nedir?
ColdRiver, Rusya devlet destekli bir hacker grubudur. Son zamanlarda, özellikle Batılı hükümetleri, gazetecileri, düşünce kuruluşlarını ve sivil toplum kuruluşlarını hedef alan yönelik LostKeys isimli yeni bir zararlı yazılım kullanıyor. Bu yazılım, siber casusluk amaçları doğrultusunda tasarlanmış ve kullanıldığı hedeflerle ilgili bilgileri çalmak üzere geliştirilmiştir.
LostKeys zararlısı nasıl çalışıyor?
LostKeys, etkilediği cihazlarda başta belirli uzantılar ve dizinler olmak üzere dosya çalma yeteneğine sahiptir. Bu zararlı yazılım, PowerShell betikleri kullanarak çalışır ve kurbanların cihazlarında ek zararlı yazılımlar indirir ve çalıştırır. Google Threat Intelligence Group (GTIG), bu tür saldırıların genellikle ClickFix adı verilen bir sosyal mühendislik tekniği kullanılarak gerçekleştirildiğini belirtmiştir.
ColdRiver grubu kimdir?
ColdRiver, en az 2017 yılından beri faaliyet gösteren bir siber tehdit grubudur. Star Blizzard, Callisto Group ve Seaborgium gibi farklı isimlerle de anılmaktadır. Grubun, hedefleri araştırmak ve onları kandırmak için sosyal mühendislik ve açık kaynak istihbarat (OSINT) becerilerini kullandıkları bilinmektedir. Ayrıca, Rusya Federal Güvenlik Servisi (FSB) ile bağlantılı olduğu kanıtlanmıştır.
Bu tehditler kimleri hedef alıyor?
ColdRiver, özellikle savunma sanayi, hükümet kuruluşları, sivil toplum örgütleri ve siyasi figürler gibi kritik hedefleri seçmektedir. Aralık 2023’te, Five Eyes adlı istihbarat ortakları, grubun bu hedeflere yönelik yapılan fişleme saldırıları hakkında uyarıda bulunmuştur. Ayrıca, bu saldırıların U.S. Department of Energy gibi önemli tesislere de yöneldiği rapor edilmiştir.
Daha önceki benzer saldırılar nelerdi?
Grup, daha önce Microsoft hesapları kullanarak e-postaları toplamak ve NATO üyesi ülkelerdeki kuruluşların ve yüksek profilli bireylerin etkinliklerini izlemek üzere sosyal mühendislik teknikleri kullanmıştır. Bununla birlikte, 2022’de, Microsoft Threat Intelligence Center (MSTIC) tarafından engellenen bir başka ColdRiver sosyal mühendislik operasyonu da dikkat çekmiştir.
ColdRiver’ın yöntemleri nelerdir?
ColdRiver, genellikle kimlik bilgilerini çaldıktan sonra e-posta ve kontakları hedeflerinden stealing için kullanıyor. Ayrıca, hedef sistemdeki belgelere erişmek için SPICA isimli bir zararlı yazılımı devreye sokabilir. LostKeys, benzer bir amaçla tasarlanmış olup, yalnızca seçici durumlarda kullanılmaktadır.
Devlet destekli hacker grupları arasındaki farklar nelerdir?
ColdRiver, yalnızca Rusya’nın değil, aynı zamanda diğer devlet destekli hacker gruplarının da arasında yer almaktadır. Bunlar arasında Kimsuky (Kuzey Kore), MuddyWater (İran) ve APT28 gibi gruplar bulunmaktadır. Her grup, kendine özgü stratejiler ve hedeflerle çalışırken, yöntemleri ve tehdit profilleri açısından farklılık göstermektedir.
Bu makalede ele alınan konular, siber güvenliğin ne kadar önemli olduğunu ve devlet destekli tehditlerin sürekli bir endişe kaynağı olduğunu göstermektedir. Özellikle sosyal mühendislik teknikleri kullanılarak gerçekleştirilen saldırılar, kullanıcıların ve kuruluşların bu tür tehditlere karşı hazırlıklı olmalarının ne kadar önemli olduğunu vurgulamaktadır.
