Rusya’nın Siber Tehditleri ve Küresel Etkisi
Son yıllarda, Rusya’nın devlete dayalı siber tehdit aktörlerinin, Batılı lojistik kuruluşlarını ve teknoloji şirketlerini hedef alan kampanyalarını artırdığı gündeme gelmiştir. Bu faaliyetlerin, 2022’den itibaren APT28 (diğer adıyla BlueDelta, Fancy Bear veya Forest Blizzard) tarafından organize edildiği değerlendirilmiştir. APT28’in, Rus Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü’ne (GRU) bağlı olduğu bilinmektedir ve özellikle Ukrayna‘ya yapılan yurt dışı yardımını koordine eden şirketleri hedef aldıkları bildirilmiştir.
Hedefleri ve Etkileri
Birçok ülkenin istihbarat kurumundan oluşan bir komite, bu kampanyanın hedefleri arasında yer alan kuruluşların, savunma, ulaşım, ve lojistik gibi kilit sektörlerde yer aldığını belirtmiştir. Bu bağlamda, Fransa’nın Dışişleri Bakanlığı, APT28’in 2021’den bu yana siber saldırılar gerçekleştirdiğini ve bu saldırıların hedefleri arasında savunma şirketleri, araştırma kuruluşları ve düşünce kuruluşlarının bulunduğunu iddia etmiştir. Özellikle, bu saldırıların bir amacı da Fransa‘nın istikrarını bozmak olarak öne çıkmaktadır.
Siber Saldırı Yöntemleri
En son bilgilere göre, APT28 tarafından gerçekleştirilen siber saldırılar, birçok farklı metod kullanarak gerçekleştirilmiştir. Bu metodlar arasında şifre tahmini, spear-phishing ve Microsoft Exchange posta kutası izinlerinin değiştirilmesi gibi yöntemler bulunmaktadır. Hedef alınan ülkelerde birçok kuruluşun, özellikle NATO üyesi devletlerin, savunma ve bilgi teknolojileri sektörlerinde olduğu kaydedilmiştir.
Saldırıların başlangıç aşamalarında, aşağıdaki yedi farklı yöntemle ağlara sızma sağlanmıştır:
- Şifreleri tahmin etmek için brute-force saldırıları
- Sahte giriş sayfaları kullanarak kimlik bilgilerini toplamak için spear-phishing saldırıları
- Zararlı yazılım dağıtımı için spear-phishing saldırıları
- Outlook NTLM açığını istismar etme (CVE-2023-23397)
- Roundcube açığını kullanma (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- İnternete açık altyapıyı (örneğin kurumsal VPN’ler) istismar etme
- WinRAR açığını kullanma (CVE-2023-38831)
Kampanyanın Gelişimi ve Saldırı Aşamaları
APT28, yukarıda belirtilen yöntemleri kullanarak bir kez ağlara sızdıklarında, bu aşama sonrası etkilenen ağlarda keşif gerçekleştirmekte ve ek hedefleri belirlemektedir. Saldırganların hareket etmek ve bilgi çalmak için kullandığı araçlar arasında Impacket, PsExec ve Uzak Masaüstü Protokolü (RDP) bulunmaktadır. Ayrıca, Active Directory‘den bilgi aktarımı için Certipy ve ADExplorer.exe gibi araçlar da kullanılmıştır.
Saldırganların, Office 365 kullanıcılarının listelerini tespit edip çalmak için de adımlar attığı gözlemlenmiştir. Bu süreçte, mağdur kuruluşların e-postalarını sürekli tahsil etmek için posta kutusu izinlerini manipüle ettikleri anlaşılmaktadır. Kullanılan zararlı yazılımlar arasında ise HeadLace ve MASEPIE gibi aileler, ele geçirilmiş cihazlarda kalıcılık sağlamak ve hassas bilgiler toplamak amacıyla kullanılmaktadır.
Veri Çalma Yöntemleri
Veri çalma esnasında, tehdit aktörleri, çoğu kez PowerShell komutları kullanarak ZIP arşivleri oluşturarak toplanan verileri kendi altyapılarına yüklemekte, ayrıca Exchange Web Services (EWS) ve IMAP protokollerini kullanarak e-posta sunucularından veri aktarımı sağlamaktadır.
Küresel bazda yaşanan bu tehditler, Rusya’nın askeri hedeflerini gerçekleştirememesi ve Batılı ülkelerin Ukrayna’ya destek verme azmiyle daha da arttığı görülmektedir. APT28’in, Ukrayna üzerindeki sınır geçişlerindeki internet bağlantılı kameraları hedef alarak yardım gönderimlerini izleme çabaları, siber savaşın boyutunu gözler önüne sermektedir.
Modern Siber Tehditler ve Önlemler
Rusya’nın siber tehditlerini sürdüren aktörlerin kullandığı yeni yöntemler arasında, Tigris Object Storage, Oracle Cloud Infrastructure (OCI) ve Scaleway Object Storage gibi platformların kullanımı da dikkat çekmektedir. Bu platformlar, kullanıcılardan bilgi çalmak amacıyla sahte reCAPTCHA sayfalarını barındırmakta ve teknik bilgiye sahip kullanıcıları hedef almanın yollarını geliştirmektedir.
Sonuç olarak, Rusya’nın siber tehditleri, hem ulusal güvenlik hem de küresel düzen açısından ciddi bir tehdit oluşturmaktadır. Önümüzdeki dönemde, bu tür siber tehditlere karşı alınacak önlemler ve etkili yanıt stratejileri hayati önem taşıyacaktır.
