Kasım 2024’ün ortasından bu yana, Rus siber casusluk grubu olarak bilinen Yıldız Kar Fırtınası ABD’deki bazı siyasi ve diplomatik şahsiyetlerin WhatsApp hesaplarını hedef alan yeni ve sofistike bir kimlik avı kampanyası başlattı. Microsoft Tehdit İstihbaratı kısa süre önce bu saldırıyı detaylandıran ve bu yeni taktiklerin oluşturduğu riskleri vurgulayan bir rapor yayınladı.
Reklamcılık
WhatsApp’tan yeni saldırı yöntemi
Yıldız Kar FırtınasıSEABORGIUM veya Gossamer Bear gibi diğer isimlerle de bilinen , en az 2012’den beri aktif olan bir Rus tehdit aktörüdür. Bu grup, çeşitli sivil toplum kuruluşlarına, gazetecilere, düşünce kuruluşlarına ve araştırmacılara yönelik hedef odaklı kimlik avı kampanyalarıyla tanınmaktadır. uluslararası ilişkiler, özellikle çalışmaları Rusya ve Ukrayna ile ilgili olanlar. Microsoft’a göre bu yeni siber saldırı dalgası ilk kez WhatsApp platformunu istismar ediyor.
Yaptığı gözlemler doğrultusunda Microsoft Tehdit İstihbaratıSaldırganlar, bir ABD hükümet yetkilisinden gelen postaymış gibi davranarak ilk e-postayı göndererek tanıdık bir modeli yeniden üretiyorlar. E-posta, alıcıları Ukrayna’yı destekleyen sivil toplum girişimlerine adanmış bir WhatsApp grubuna katılmaya davet ediyor. Zararsız bir alana yönlendiriyormuş gibi görünen bir QR kodu içeriyor ancak asıl amacı çok daha kötü.
Amaçları: hassas verileri çalmak
Bir hedef bu QR kodunu taradığında cihazını ve WhatsApp hesabını bilgisayar korsanları tarafından kontrol edilen bir web sürümüne bağlar. Bunlar daha sonra, güvenliği ihlal edilmiş WhatsApp hesaplarından mesajları ve diğer hassas verileri çıkarmak için özel tarayıcı uzantılarını kullanır. Bu, bilgisayar korsanlarının yalnızca kurbanların özel konuşmalarına erişmesine değil, aynı zamanda bu verileri potansiyel olarak diğer kötü amaçlı operasyonlarda kullanmak üzere sızdırmasına da olanak tanır.
Bu teknik, işletim yöntemlerinde (TTP’ler) önemli bir değişikliğe işaret etmektedir. Yıldız Kar Fırtınası ve aşağıdaki gibi kuruluşların gerçekleştirdiği eylemlere uyum sağlama yeteneklerini gösterir: Microsoft ve Amerika Birleşik Devletleri Adalet BakanlığıEkim 2024 itibarıyla 180’den fazla web sitesini kapattı. Bu grubun uyanıklığı ve dayanıklılığı, potansiyel hedeflerin uygulamaya koyduğu savunma önlemlerini atlatmak için stratejilerini muhtemelen uyarlamaya devam edeceğini gösteriyor.
Diplomasi ve savunmayla bağlantılı spesifik hedefler
Bu kimlik avı kampanyasının ana hedefleri arasında hükümet, diplomasi, savunma politikası araştırmaları veya uluslararası ilişkilerle, özellikle de Ukrayna’ya yardım kaynaklarıyla bağlantılı kişiler yer alıyor. Saldırganlar, tanınmış siyasi veya diplomatik figürlerin kimliğine bürünerek e-postalarının açılması ve kötü niyetli talimatların takip edilmesi olasılığını artırır.
Bu tür tavizlerin sonuçları ciddi olabilir. Gizli iletişimleri casuslara ifşa etmenin yanı sıra, ulusal ve uluslararası güvenliğe ilişkin hassas stratejik girişimleri de tehlikeye atabilirler. Başarılı saldırılar, artan jeopolitik gerilimler nedeniyle zaten zayıflamış olan bölgeleri daha da istikrarsızlaştırma potansiyeline sahiptir.
Tehdit Aktörlerinin Kalıcılığı ve Uyarlanabilirliği
Kasım 2024’ün sonu bu spesifik kampanyada bir yavaşlamaya işaret ediyor gibi görünüyor, ancak tehditlerin farklı bir biçimde devam etmeyeceğinin garantisi yok. Grupların TTP’lerinin sürekli evrimi Yıldız Kar Fırtınası Hedeflenen işletmelerin ve kuruluşların sürekli bilgi sahibi olmalarını ve savunmalarını buna göre ayarlamaya hazırlıklı olmalarını gerektirir. Dijital savaş, her yeni saldırının kendi payına düşen zorlukları beraberinde getirdiği, değişen bir ortamda oynanıyor.
Teknoloji şirketleri, hükümetler ve siber güvenlik kurumları arasındaki iş birliği, yeni tehditleri hızlı bir şekilde tespit etmek ve etkili bir şekilde yanıt vermek için gerekli bir yanıtı temsil ediyor. Yukarıda belirtilenler gibi ortak prosedürlerin tetiklenmesi Microsoft mücadelenin önceden kazanılmasından çok uzak olmasına rağmen, ortak çabaların bilgisayar korsanlarının faaliyetlerini yavaşlatabileceğini ortaya koyuyor.
