Aşırı Saldırgan Siber Casusluk Faaliyetleri: APT28’in Ukrayna’ya Yönelik Etkileri
2022 yılı itibarıyla, Rusya destekli bir siber casusluk kampanyası olan APT28 (Fancy Bear/Forest Blizzard) grubu, uluslararası kuruluşları hedef alarak Ukrayna’ya yönelik yardımları bozmaya çalışmaktadır. Bu hacker grubu, defans, ulaşım, bilişim hizmetleri, hava trafiği ve denizcilik sektörlerindeki varlıkları 12 Avrupa ülkesi ile Amerika Birleşik Devletleri’nde saldırıya uğratmıştır. Hedefleri arasında, kritik malzemelerin Ukrayna’ya girişini izlemek amacıyla özel kameraların hacklenmesi yer alıyor.
Saldırı Taktikleri ve Yöntemleri
Siber güvenlik uzmanları tarafından yapılan ortak bir rapor, APT28’in kullandığı taktik, teknik ve prosedürleri ortaya koymaktadır. Bu gruptan gelen tehdit, özellikle 2022’den bu yana, şifre tahmin etme, spear-phishing ve Microsoft Exchange zafiyetlerini kullanarak saldırı düzenlemektedir. Ana hedefe ulaştıktan sonra, hackerlar, ilk mağdura bağlı olan diğer ulaşım sektöründeki kuruluşlara saldırarak güven ilişkilerini kullanmaya çalışmaktadır.
APT28, Ukrayna sınırındaki internet bağlantılı kameraları hackleyerek, yardım gönderimlerini izlemektedir. Saldırılan kuruluşlar Amerika Birleşik Devletleri, Bulgaristan, Çek Cumhuriyeti, Fransa, Almanya, Yunanistan, İtalya, Moldova, Hollanda, Polonya, Romanya, Slovakya ve Ukrayna’da bulunmaktadır.
Başlıca Erişim Yöntemleri
Rapor, hackerların ilk erişimi sağlamak için kullandığı bazı teknikleri listelemektedir. Bu teknikler arasında:
- Kullanıcı bilgilerinin tahmin edilmesi (brute force)
- Spear-phishing ile şifre ele geçirme
- Kötü amaçlı yazılım dağıtımı için spear-phishing
- Outlook NTLM zafiyeti (CVE-2023-23397)
- Roundcube açık kaynaklı webmail yazılımındaki zafiyetler (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- Ağ üzerinde internet bağlantılı altyapıyı istismar etme (SQL injection dahil)
- WinRAR zafiyeti (CVE-2023-38831)
Hackerlar, saldırının kaynağını gizlemek için, hedefe yakın konumda bulunan küçük ofis/ev ofisi cihazları üzerinden iletişim yönlendirmesi yapmışlardır. Hedef ağda bulunduğunda, iç iletişim ağını keşfederek ek hedefleri belirleme amacıyla çeşitli keşif faaliyetlerinde bulunmuşlardır.
Veri Çıkartma ve Yan Erişim Yöntemleri
APT28, lateral hareket ve veri çıkartma işlemleri için yerel komutlar ve açık kaynak araçlar kullanmaktadır. Bu araçlar arasında PsExec, Impacket, Remote Desktop Protocol, Certipy ve ADExplorer bulunmaktadır. Ayrıca, Office 365 kullanıcı listelerini bulup e-posta toplayarak, ele geçirilen hesaplarda çok faktörlü kimlik doğrulama (MFA) mekanizmalarını devreye sokarak sürdürülebilir erişim sağlamaktadırlar.
Elde edilen sağlık verileri arasında, Ukrayna’ya gönderilen yardım malzemeleriyle ilgili hassas bilgileri içeren hesaplara erişim sağlamak vardır. Bu veriler arasında göndericinin ve alıcının bilgileri, kargo içeriği, seyahat rotaları ve kayıt numaraları yer almaktadır.
Özel Kameraların Hedef Alınması
Casusluk kampanyasının bir unsuru, özel, trafik, askeri tesisler, demiryolu istasyonları ve sınır geçişlerine ait kamera görüntülerinin hacklenmesidir. Rapor, 10,000’den fazla kameranın hedef alındığını, bunların %80’inin Ukrayna’da, geriye kalanın ise Romanya’da bulunduğunu belirtmektedir.
John Hultquist, Google Tehdit İstihbarat Grubu baş analisti, savaş alanında destek sağlanmasını talep eden hacker topluluğunun amacının bu yardımı fiziksel veya siber yollarla kesmek olduğunu ifade etmektedir. "Bu olaylar, daha ciddi eylemlerin öncüsü olabilir", diyerek, Ukrayna’ya malzeme yardımı gönderme sürecinde olan herkesin, kendini hedef alması gerektiğini vurgulamaktadır.
Sonuç ve Güvenlik Önlemleri
Bu tür saldırılar, yalnızca bilgilerin güvenliğini tehdit etmekle kalmaz, aynı zamanda küresel güvenlik dinamiklerini de etkileyebilir. Siber güvenlik alanında, bu tür tehditlerle mücadele etmek için uluslararası iş birliği ve güvenlik önlemleri kritik öneme sahiptir. Ek olarak, güvenlik açıklarını tespit etmek ve düzeltmek amacıyla düzenli analizler yapmak, ileride yaşanabilecek saldırıların önüne geçebilir. Elde edilen veriler, siber saldırıların kapsamını anlamak için önemli bir temel oluşturmakta ve gelecekteki stratejilerin geliştirilmesine olanak tanımaktadır.
