Hindistan bağlantılı bir ulus-devlet siber casusluk grubu, hedef alanını Pakistan, Afganistan, Çin ve Nepal’deki bölgesel rakiplerinin ötesine genişletti ve Akdeniz gibi uzak ülkelerdeki deniz tesislerindeki bilgisayar ve ağları tehlikeye atmaya odaklandı.
Grup —SideWinder, Razor Tiger ve Rattlesnake olarak da bilinir— genellikle resmi görünümlü belgelerin görüntülerini kullanarak mızraklı kimlik avı saldırıları düzenler. SideWinder, son kampanyalarında, Mısır’daki İskenderiye Limanı da dahil olmak üzere belirli limanlardan, işten çıkarma ve maaş kesintileri gibi ilgi çekici konular içeren belgeleri tahrif etti. BlackBerry araştırmacıları yeni yayınlanan bir duyuruda şöyle diyor.
BlackBerry’de tehdit araştırmaları ve istihbaratı başkan yardımcısı Ismael Valenzuela, grubun genellikle daha yakın rakiplere odaklandığını ve diğer siber casuslardan daha az etkili olduğunu, ancak mevcut kampanyanın hedef kitleyi genişlettiğini gösterdiğini söyledi.
“SideWinder’ın EMEA’daki limanları ve deniz tesislerini hedef aldığını ilk kez görüyoruz,” diyor. “Çok fazla jeopolitik türbülans görüyoruz ve [changing] dünya çapındaki ortamlarda çeşitli konularda. Bu durum genellikle tehdit gruplarını ve devlet sponsorlarını, denizcilik sektöründekiler gibi kritik varlıkları özellikle vurmaya teşvik eder.”
Denizcilik sektörü giderek daha fazla siber saldırı hedefi haline geliyor ve gemiler ve limanlar için ciddi tehlike oluşturuyor. 2019’da ABD Sahil Güvenliği, nakliye şirketlerini şu konuda uyardı: sistemlerine yönelik saldırılar kazalara ve felaketlere yol açabilir. Geçtiğimiz yıl, artan Çin siber operasyonları Güney Çin Denizi ve çevresindeki deniz sistemleri de dahil olmak üzere kritik altyapıya karşı, Asya-Pasifik bölgesindeki çeşitli ülkeler bir araya gelmiş ağlarını ve sistemlerini korumak için.
Siber uyarılar, nakliyeye yönelik fiziksel tehditlerin de artmasıyla birlikte geliyor. Afrika’nın Atlantik kıyısı ve Arap Denizi açıklarında ve Asya-Pasifik’teki ada ülkeleri arasında korsanlık, tırmandıgemi arızaları — örneğin bir geminin Baltimore köprüsüyle çarpışmasına neden olan — daha sık hale geldi.
Yeni Kimlik Avı Tuzakları, Eski Saldırılar
SideWinder en az 2012’den beri saldırılar düzenliyor. Grup nispeten karmaşıktır, genellikle şifrelenmiş kötü amaçlı yazılım örnekleri, çeşitli karartma teknikleri kullanır ve dosya tarayıcılarından kaçınmak için bellekte kod çalıştırır. bir sunuma göre Kaspersky’nin kıdemli güvenlik araştırmacısı Noushin Shabab, grubun 2020-2022 yılları arasında 1.000’den fazla saldırı gerçekleştirdiğini o sunumda söyledi.
“Bence onları diğer APT’lerden ayıran şey, [advanced persistent threat] Shabab, “Aktörler, birçok farklı kötü amaçlı yazılım ailesi, çok sayıda yeni spear-phishing belgesi ve çok büyük bir altyapıya sahip oldukları geniş araç setleridir” dedi. “Şu ana kadar başka bir gruptan tek bir APT’den 1.000 saldırı görmedim.”
Ancak, mevcut siber saldırılar çoğu durumda, 2017’den kalma Microsoft Office’teki bir kusur gibi daha eski güvenlik açıklarını kullanıyor. Güvenlik açığı (CVE-2017-0199), Microsoft Office ve Windows’un eski sürümlerine karşı uzaktan kod yürütülmesine izin veriyor ve BlackBerry’ye göre bu yıl 5.600’den fazla kötü amaçlı yazılım örneğinin bu sorunu istismar etmesiyle çok popüler bir saldırı vektörü oldu; bunların arasında Mısır’dan bildirilen 15 kötü amaçlı örnek de var.
Valenzuela, çoğu grup gibi SideWinder’ın da yedi yıllık bile olsa iyi bir başarıyı boşa harcamaktan hoşlanmadığını söylüyor.
“Bu tür eski CVE’lerin vahşi doğada istismar edildiğini neden hâlâ görüyoruz? Saldırganlar birçok kuruluşun Office yazılımlarına uzun yıllar boyunca yama yapmadığını biliyor,” diyor. “Bu özellikle eski sistemlere sahip kuruluşlarda yaygındır, bunlar genellikle limanlarda ve deniz tesislerinde ve diğer kritik altyapılarda kullanılır.”
BlackBerry, Microsoft Office Denklem Düzenleyicisi’nde (CVE-2017-11882) çok popüler ve yedi yıllık başka bir güvenlik açığının kullanımını belgeledi ve 2024’ün başından bu yana 9.500’den fazla Office belgesi örneği bu sorunu istismar etti. Bu güvenlik açıklarının her ikisi de Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından tutulan Bilinen İstismar Edilen Güvenlik Açıkları listesine girdi.
Denizcilik Saldırı Altında
BlackBerry’nin tehdit araştırmacıları, saldırının ilk ve ikinci aşamalarında, Pakistan, Sri Lanka, Bangladeş, Myanmar, Nepal ve Maldivler’i içeren Güney Asya’daki uzun bir liste de dahil olmak üzere hedeflerine dair olası kanıt olan çeşitli etki alanları keşfetti. Mısır limanları, Hindistan’ın geniş çevresinin dışındaki tek hedef gibi görünüyor.
Valenzuela, ülkenin etki alanını dünyanın diğer bölgelerine doğru genişletiyor gibi görünse de siber operasyonların küresel ölçekte limanları hedef almadığını söylüyor.
“Kesinlikle bu tehdit aktörünün jeopolitik çıkarlarının bulunduğu kilit ülkelerdeki limanları hedef alıyorlar ve buna Hint Okyanusu ve Akdeniz de dahil. [such as] “Mısır” diyor. “Şu anda Akdeniz’deki diğer hedefler hakkında bilgimiz yok.”
Şirket, saldırılarda son veriyi henüz ele geçirmediklerini ancak grubun daha önceki eylemlerine dayanarak amacın istihbarat toplama ve siber casusluk olduğunu düşünüyor.
