Microsoft’ın Uyarısı: Rusya ile Bağlantılı Siber Casusluk Tehdidi
Microsoft, Rusya’nın Federal Güvenlik Servisi (FSB) ile bağlantılı olan bir siber casusluk grubunun, Moskova’daki diplomatik misyonları hedef aldığını açıkladı. Bu grup, yerel internet servis sağlayıcıları (ISP) üzerinden diplomatların sistemlerine sızarak, onlara özel geliştirilmiş ApolloShadow zararlısı yayıyor.
Bu siber saldırı grubunun adı Secret Blizzard olarak bilinirken, aynı zamanda Turla, Waterbug ve Venomous Bear gibi isimlerle de anılıyor. Microsoft, bu grubun, ISP seviyesinde adversary-in-the-middle (AiTM) pozisyonunu kullanarak, diplomatların katılmış olduğu sistemleri hedef aldığını ve onları özel bir meşru Kaspersky antivirus programı olarak kamufle edilmiş zararlı yazılım ile enfekte ettiğini belirtti.
İnternet Servis Sağlayıcıları Üzerinden Saldırı
Secret Blizzard grubu, hedeflerini yakalama portallarına yönlendirmek suretiyle onları kandırarak, zararlı yazılım payload’unu indirtmekte. Zarar gördükten sonra, ApolloShadow, gerçek bir Kaspersky Anti-Virüs gibi gizlenmiş bir güvenilir kök sertifikası yükleyerek, tehlikeli web sitelerinin meşru olup olmadığını tartışmasız geçerli sayılmasını sağlıyor. Bu durum, saldırganların, diplomatik sistemlere sızdıktan sonra uzun vadeli zeka toplama için sürekli erişim sağlamasına olanak tanıyor.
Microsoft, Secret Blizzard’ın ISP seviyesinde casusluk yapabilme yeteneğini doğrulayan ilk kuruluş olarak, Moskova’daki yerel internet sağlayıcıları ve telekomünikasyon hizmetlerini kullanan diplomatik personelin ciddi tehditlere maruz kaldığını vurguladı. Bu kampanyaların, 2024 yılından bu yana yüksek risk taşıdığı belirtiliyor ve özellikle, yerel internet sağlayıcılarına bağımlı olan yabancı misyonlara yönelik tehditler barındırdığı ifade ediliyor.
Öncü Siber Casusluk Teknikleri
Secret Blizzard, Rusya’nın iç istihbarat sistemlerini kullanarak, geniş çaplı AiTM kampanyaları gerçekleştirmekte. Bu sistemler arasında, Operatif Gözaltı Etkinlikleri (SORM) yer almakta. Bu durum, grup için büyük bir avantaj sağlarken, geniş bir hedef kitlesine ulaşmalarında önemli bir rol oynamaktadır.
Turla’nın siber casusluk ve bilgi hırsızlığı kampanyaları, 1996 yılına kadar uzanmakta ve dünya genelinde 100’den fazla ülkedeki büyükelçilikler, hükümetler ve araştırma merkezlerini hedef almakta. İki yıl önce, CISA bu grubu, FSB’nin Center 16 birimi ile ilişkilendirdi ve daha önceki Snake siber kötü amaçlı yazılımına dayanan bir P2P bilgisayar ağına bağlantısını ortaya çıkardı. Bu tehdit grubu, devlet destekli siber saldırıların yanı sıra, bir dizi stratejik hedefe yönelik operasyonlar yürütmektedir.
Uluslararası Tehditler ve Hedefler
Secret Blizzard, Amerikan Merkezi Komutanlığı, NASA, Pentagon ve pek çok Doğu Avrupa Dışişleri Bakanlığı gibi stratejik hedeflere yönelik düzenlediği siber saldırılardan sorumlu tutulmakta. Rusya’nın devlet destekli hackerları arasında en önemli aktörlerden biri olan bu grup, sıradışı taktikleriyle dikkat çekmektedir. Örneğin, Britney Spears’ın Instagram fotoğrafları üzerindeki yorumlar aracılığıyla zararlı yazılımlarını kontrol etmesi oldukça ilginç.
Ayrıca Turla, İranlı APT OilRig grubunun ele geçirilmiş altyapı ve zararlı yazılımlarını kendi kampanyalarında kullanarak, savunucuları yanıltmayı başarmıştır. Bu yöntemler, saldırıların kaynağını yanlış yönlendirmekte kritik bir rol oynamaktadır.
Son olarak, Secret Blizzard grubu, Pakistani threat actor Storm-0156’nın altyapısını hedef alarak, Ukrayna askeri cihazlarını Starlink üzerinden tehdit etmeye devam etmektedir. Bu durum, grubun karmaşık ve sürekli evrilen yöntemlerini gösteriyor.
Sonuç Olarak
Özetle, Microsoft’ın raporları, Secret Blizzard grubunun özellikle diplomatik misyonlar ve hassas bilgiler üzerinde derin etkileri olabilecek öneme sahip bir tehdit oluşturduğunu açıkça ortaya koymaktadır. Diplomatik ve hükümet organları, bu tür siber saldırılara karşı daha dirençli olabilmek için güçlü siber güvenlik önlemleri almalı ve sürekli olarak bu tür tehditlere karşı bilgi sahibi olmalıdır.
