Rus Hackerlar ve Sosyal Mühendislik Saldırıları
Son dönemlerde, Rus hackerlar tarafından gerçekleştirilen siber saldırılar, özellikle devlet kurumlarına yönelik sosyal mühendislik teknikleri kullanarak dikkat çekmektedir. Bu saldırılar, multi-factor authentication (çok faktörlü kimlik doğrulama) sistemlerini aşarak, kurbanların Gmail hesaplarına erişim sağlamak için kullanılmaktadır. Bu tür saldırılar, özellikle Amerika Birleşik Devletleri Dışişleri Bakanlığı yetkililerini taklit eden özellikleri ile dikkat çekiyor.
Saldırının Hedef Kitlesi
Saldırganlar, Covid-19 dönemi sonrası Rusya’ya eleştiriler getirerek tanınan akademisyenleri ve aktivistleri hedef almıştır. Sophisticated (sofistike) bir saldırı olarak nitelendirilen bu siber saldırılar, kurbanları acele ettirmeden, yavaş bir şekilde yürütülmektedir. April ile June arasında gerçekleştirilen bu saldırılarda, hackerlar dikkatlice hazırlanmış phishing mesajları ile hedeflerini kandırmayı başarmıştır.
App-Spesifik Şifreler ve Tehdit Analizi
Phishing mesajları, kurbanlardan app-specific passwords (uygulama özel şifreler) oluşturmasını istemektedir. Bu tür şifreler, daha az güvenli veya eski uygulamaların, kullanıcıların Google hesaplarına erişmesine izin vermektedir. Google Threat Intelligence Group (GTIG), bu saldırıyı UNC6293 kodu ile takip etmektedir. Bu grup, devlet destekli siber saldırılar gerçekleştirdiği düşünülen APT29 ile bağlantılı olduğu değerlendirilmektedir.
Sosyal Mühendisliğin İncelikleri
Kanada merkezli Citizen Lab, bu siber saldırıların incelenmesi üzerine bir rapor hazırlamıştır. Rapor, Rusya’da bilgi operasyonları uzmanı Keir Giles‘ın hedef alındığı bir olayı detaylandırmaktadır. Saldırı, Dışişleri Bakanlığı’na ait olduğu iddia edilen bir e-posta ile başlar. Bu e-postada, Claudie S. Weber imzası ile Giles’a "özel bir çevrimiçi görüşme" teklifi yapılmaktadır.
E-posta, Gmail üzerinden gönderilmiştir; ancak birden fazla @state.gov adresi karbon kopyada yer almakta ve bu durum mesajın resmi görünümünü güçlendirmektedir. Ancak araştırmalar sonucunda Claudie S. Weber ismini taşıyan biri ile Dışişleri Bakanlığı’nda çalıştığına dair bir kanıt bulunamamıştır.
Triklerin Uygulanması
Giles, e-postaya yanıt vermiş ve belirttiği gün mevcut olmayabileceğini belirtmiştir. Hedefin ilgi göstermesi ile saldırgan, onu Dışişleri Bakanlığı’nın "MS DoS Guest Tenant" platformuna katılmaya davet etmiştir. Bu, gelecekteki toplantılara katılma kolaylığı sağlamaktadır. Burada dikkat çekici olan, Giles’a app-specific password oluşturma talimatının yer aldığı bir PDF dosyasının gönderilmesidir. Bu adım, saldırının daha etkili şekilde gerçekleştirildiğini göstermektedir.
Giles, bu talimatlara göre app-specific password oluşturduğunda, aslında kendi Google hesabına tamamen erişim izni vermektedir. Citizen Lab araştırmacıları, bu tür tekniklerin oldukça karmaşık ve sinsi olduğuna vurgu yapmaktadır.
Hackerların Altyapısı
GTIG, bu kampanyaların Nisan ayından itibaren en az iki farklı türde geliştiğini belirlemiştir. Birincisi, Dışişleri Bakanlığı ile ilgili temalar, diğeri ise Ukrayna ve Microsoft ile ilişkili cazibeler içermektedir. Her iki kampanyada da kullanılan altyapı, kullanıcıların gizliliği korumak adına residential proxies ve virtual private servers (VPS) içeriyor.
Sonuç ve Önlemler
Böylesine karmaşık ve hedefe yönelik saldırılara karşı Google, kullanıcıların Advanced Protection Program (Gelişmiş Koruma Programı) içerisine katılmasını önermektedir. Bu program, hesap güvenliğini artırmakta ve kullanıcıların app-specific passwords oluşturmalarına izin vermemektedir. Bu tür güvenlik önlemleri, yüksek profilli konularda yer alan bireyler için hayati önem taşımaktadır.
Sonuç olarak, Rus hackerlar tarafından gerçekleştirilen bu siber saldırılar, sadece teknik yetenekleriyle değil, sosyal mühendislik alanındaki derin bilgileri ile de dikkat çekmektedir. Kullanıcıların bu tür tehditlere karşı bilinçli olması ve gerekli önlemleri alması, dijital dünyada güvenliklerinin korunması adına büyük önem taşımaktadır.
