Rusya’ya uyumlu tehdit grubu olarak bilinen Kış Vivern’ı Ekim ayında Avrupa’daki Roundcube web posta sunucularındaki siteler arası komut dosyası çalıştırma (XSS) güvenlik açıklarından yararlandığı keşfedildi ve şimdi kurbanları gün ışığına çıkıyor.
Recorded Future’ın Insikt Group’un bugün yayınlanan kampanyaya ilişkin raporuna göre grup esas olarak Gürcistan, Polonya ve Ukrayna’daki hükümet, askeri ve ulusal altyapıyı hedef aldı.
Raporda ayrıca İran’ın Moskova Büyükelçiliği, İran’ın Hollanda Büyükelçiliği ve Gürcistan’ın İsveç Büyükelçiliği gibi ek hedefler de vurgulandı.
Gelişmiş sosyal mühendislik tekniklerini kullanan APT (Insikt’in TAG-70 olarak adlandırdığı ve aynı zamanda TA473 ve UAC-0114 olarak da bilinir) bir Roundcube sıfır gün istismarı ulaşım ve eğitim sektörlerinden kimyasal ve biyolojik araştırma kuruluşlarına kadar en az 80 ayrı kuruluştaki hedeflenen posta sunucularına yetkisiz erişim elde etmek.
Insikt’e göre, kampanyanın Avrupa’nın siyasi ve askeri meseleleri hakkında istihbarat toplamak, potansiyel olarak stratejik avantajlar elde etmek veya Avrupa’nın güvenliğini ve ittifaklarını baltalamak için planlandığı düşünülüyor.
Grubun Belarus ve Rusya’nın çıkarlarına hizmet eden siber casusluk kampanyaları yürüttüğünden şüpheleniliyor ve en az Aralık 2020’den beri faaliyet gösteriyor.
Winter Vivern’in Siber Casusluğa Yönelik Jeopolitik Motivasyonları
Ekim kampanyası, Insikt Group tarafından Şubat 2023’te bildirilen TAG-70’in Özbekistan hükümeti posta sunucularına karşı önceki faaliyetleriyle bağlantılıydı.
Ukrayna’nın hedef alınmasının açık bir motivasyonu Rusya ile yaşanan çatışmadır.
“Ukrayna’da devam eden savaş bağlamında ele geçirilen e-posta sunucuları, ek askeri ve ekonomik yardım arayışında olan Ukrayna’nın savaş çabaları ve planlaması, ilişkileri ve ortak ülkelerle yaptığı görüşmelerle ilgili hassas bilgileri ifşa edebilir. [which] Insikt raporunda, “Ukrayna hükümetiyle özel olarak işbirliği yapan üçüncü şahısların ifşa edilmesi ve Ukrayna’yı destekleyen koalisyon içindeki çatlakların ortaya çıkarılması” ifadelerine yer verildi.
Bu arada, İran’ın Rusya ve Hollanda’daki büyükelçiliklerine odaklanılması, özellikle İran’ın Ukrayna’daki çatışmada Rusya’yı desteklemedeki rolü göz önüne alındığında, İran’ın devam eden diplomatik angajmanlarını ve dış politika pozisyonlarını değerlendirme güdüsüne bağlanabilir.
Benzer şekilde, İsveç’teki Gürcistan Büyükelçiliği ve Gürcistan Savunma Bakanlığı’nı hedef alan casusluk muhtemelen benzer dış politika güdümlü hedeflerden kaynaklanmaktadır; özellikle Gürcistan’ın, Rusya’nın Ukrayna’ya erken müdahalesinin ardından Avrupa Birliği üyeliği ve NATO üyeliği arayışını yeniden canlandırması nedeniyle. 2022.
Diğer dikkate değer hedefler arasında lojistik ve taşımacılık sektörlerinde yer alan kuruluşlar yer alıyordu; bu, Ukrayna’daki savaş bağlamına dayanarak şunu söylüyor; çünkü sağlam lojistik ağları, her iki taraf için de savaşma yeteneklerini sürdürmede hayati önem taşıyor.
Siber Casusluk Savunması Zordur
Siber casusluk kampanyaları artıyor: Bu ayın başlarında, gelişmiş bir Rus APT başlatıldı Ukrayna ordusuna yönelik bir PowerShell saldırı kampanyası yürütülürken, bir başka Rus APT olan Turla da Polonyalı STK’ları hedef aldı. yeni arka kapı kötü amaçlı yazılımı.
Ukrayna da var Rusya’ya karşı kendi siber saldırılarını başlattıKyivstar cep telefonu operatörünün Rusya destekli ihlaline misilleme olarak Ocak ayında Moskova İnternet servis sağlayıcısı M9 Telecom’un sunucularını hedef aldı.
Ancak Insikt Group raporu, bu tür saldırılara karşı savunmanın, özellikle de sıfırıncı gün güvenlik açığından yararlanılması durumunda zor olabileceğini belirtti.
Ancak kuruluşlar, e-postaları şifreleyerek ve özellikle hassas bilgilerin iletimi için alternatif güvenli iletişim biçimlerini değerlendirerek, risklerin etkilerini azaltabilirler.
Tüm sunucuların ve yazılımların yamalandığından ve güncel tutulduğundan emin olmak da çok önemlidir ve kullanıcılar yalnızca güvenilir kişilerden gelen e-postaları açmalıdır.
Kuruluşlar ayrıca, iyi hijyen uygulayarak ve veri saklamayı azaltarak ve mümkün olduğunda hassas bilgi ve konuşmaları daha güvenli üst düzey sistemlerle sınırlandırarak posta sunucularında depolanan hassas bilgi miktarını da sınırlamalıdır.
Raporda ayrıca, özellikle TAG-70 gibi APT aktörleri tarafından istismar edilen güvenlik açıklarının sorumlu bir şekilde açıklanmasının çeşitli nedenlerden dolayı hayati önem taşıdığı belirtildi.
Recorded Future’s Insikt Group’tan bir tehdit istihbaratı analisti, e-posta yoluyla bu yaklaşımın, güvenlik açıklarının başkaları tarafından keşfedilip kötüye kullanılmadan önce hızlı bir şekilde yamalanmasını ve düzeltilmesini sağladığını ve gelişmiş saldırganların açıklarını kontrol altına alarak daha geniş ve daha hızlı zararları önlediğini açıkladı.
Analist, “Sonuçta bu yaklaşım, acil riskleri ele alıyor ve küresel siber güvenlik uygulamalarında uzun vadeli iyileştirmeleri teşvik ediyor” dedi.
