11 Ekim’de Rus siber casus grubu Winter Vivren, RoundCube mesajlaşma hizmetindeki bir kusurdan yararlanarak seksenden fazla Avrupa ve Orta Asya kuruluşuna saldırdı. Amaç? Hükümet ve askeri verileri belirli bir yasaya göre toplayın. Insikt grubundan açıklama Recorded Future şirketinden. En çok etkilenen ülkeler Ukrayna, Gürcistan ve Polonya’dır.
Ukrayna’da savaşın başlamasından bu yana siber saldırıların sayısı giderek artıyor
Rus ve Belaruslu siber casus grubu Winter Vivern, Avrupa ve Orta Asya’da RoundCube e-posta sunucusunu kullanan seksenden fazla kuruluşa saldırdı. E-posta sistemindeki siteler arası komut dosyası oluşturma XSS güvenlik açıklarından yararlanarak, e-posta sunucularına yetkisiz erişim elde edebildiler ve güvenlik kontrollerinden kaçabildiler. Kimya ve biyolojide ulaşım, eğitim ve araştırma sektörlerindeki diğer ulusal altyapılar da söz konusudur.
Avrupa’da en çok etkilenenler Ukrayna (%31), Gürcistan (%14) ve Polonya (%12) oldu. Daha az ölçüde Fransa, Birleşik Krallık, Almanya ve Çek Cumhuriyeti de etkilendi. Ayrıca Moskova ve Hollanda’daki İran büyükelçilikleri ile İsveç’teki Gürcistan büyükelçiliği de mağdurlar arasında yer alıyor.
Bu sıfır gün saldırıları, söz konusu ülkelerin siyasi ve askeri faaliyetlerine ilişkin bilgileri listelemek ve sızdırmak için kötü amaçlı kod yerleştirmelerine olanak tanıdı. Siber güvenlik şirketi Recorded Future’a göre bu, Ukrayna’nın savaş çabaları, diplomatik ilişkileri ve koalisyon ortaklarıyla ilgili bilgilere erişmek içindi. Sonuçta amaç stratejik avantajlar yaratmak veya Avrupa ittifaklarını baltalamak olacaktır.
RoundCube, keşfinden beş gün sonra siber saldırıya karşı bir güvenlik güncellemesi geliştirdi.
Fransız devleti tarafından kendi yönetimleri için tavsiye edilen bu sistem, geçmişte de özellikle Rus grupları Blue Delta (APT28) ve Sandworm tarafından hedef alınmıştı.
En azından Aralık 2020’den bu yana aktif olan Winter Vivern, ilk girişimi değil ve aynı zamanda 2022’den beri Moldova ve Tunus merkezli yönetimlere sızmak amacıyla Zimbra e-posta sunucusuna saldırıyor.
Bu tehdit ve altında yatan sorunlarla karşı karşıya kalan uzmanlar, kullanıcıların kullandıkları mesajlaşma yazılımlarının güncel olmasını sağlamalarını ve bu çatışma zamanlarında siber güvenliklerini güçlendirmelerini öneriyor.
