Moskova'dan selamlar: “Cozy Bear”, “Midnight Blizzard”, “Nobelium” veya “The Dukes” olarak da bilinen Rusya merkezli tehdit grubu APT29'un, yeni kötü amaçlı yazılımlarla önemli Alman politikacılara ve partilere saldırdığı söyleniyor. Bu, 2022'den beri Google'ın bir parçası olan BT güvenlik şirketi Mandiant'ın yaptığı bir analizden ortaya çıkıyor. Siber saldırı, insanları 1 Mart'ta bir CDU yemeğine davet ettiği iddia edilen, Şubat ayının sonunda gönderilen kimlik avı e-postaları aracılığıyla gerçekleştirildi. Burada yer alan bağlantılar kurbanları güvenliği ihlal edilmiş bir web sitesine yönlendirdi. Rootsaw çalıştırılabilir programı başlangıçta orada gizlenmişti; bu program, sözde kötü amaçlı yazılım düşürücü görevi görüyor ve şarap yükleyici adı verilen bir arka kapı yüklemeye çalışıyordu.
Reklamcılık
Mandiant'ın soruşturmayla ilgili bir blog gönderisine eklediği ekran görüntüsüne göre, sahte e-posta Almanca olarak “Etkinliğe katılmak için lütfen bir anket doldurun ve önümüzdeki birkaç gün içinde e-posta yoluyla gönderin” dedi. Ancak daha dikkatli okursanız bazı tuhaf ifadelerle karşılaşabilirsiniz. Akşam yemeği, etkinlik günü “akşam 7'de yardım edecek” partinin “bölge temsilciliği” tarafından organize edilmelidir.
Öncelikle alıcılardan bir anket doldurmaları istendi. Davetiyelerin “uygun zamanda gönderilmesi” gerektiği belirtildi. İlk kez 2023 baharında kamuoyuna açıklanan Rootsaw indiricisi, ikinci bir mesajda aniden başlangıç saatini 18.30'a ayarladı ve “iş açısından akıllı” kıyafet kuralını belirtti. Konumla ilgili bilgiler “hala netleştiriliyor”.
CDU'nun akşam yemeği hayali
Tehlikeli bağlantılara kaç davetlinin tıkladığı bilinmiyor. CDU, Spiegel'e olayla ilgili bilgileri zaten aldıklarını doğruladı. E-postada bahsi geçen olay hayal ürünüdür: “1 Mart'ta resmi bir CDU yemeği yoktu.” Spiegel'e göre Anayasayı Koruma Dairesi ve BSI halihazırda dava üzerinde çalışıyor. Saldırıların amacı virüslü bilgisayarlardan veri çalmaktı.
Mandiant'a göre kötü amaçlı yazılım, bilinen APT29 kötü amaçlı yazılım ailelerinin özelliklerini taşıyor ve ortak bir geliştirici öneriyor. Batılı gözlemcilere göre grup, Rus dış gizli servisi SWR tarafından kontrol ediliyor. APT, diğerlerinin yanı sıra SolarWinds, HPE ve Microsoft'taki yıkıcı siber ihlallerle ilişkilendirildi. Ayrıca 2016 ABD seçimleri öncesinde Demokrat Parti sunucularına, Batılı bakanlıklar ve elçiliklere ve korona aşısı geliştirme laboratuvarlarına yapılan siber saldırılardan da sorumlu olduğu söyleniyor.
Kapsamlı Rus siber operasyonlarına karşı uyarı
Mandiant'a göre, Ocak ayından beri yalnızca Batılı uzmanların radarında olan Wineloader arka kapısı muhtemelen Burntbatter, Muskybeat ve Beatdrop kötü amaçlı yazılım ailelerinin bir çeşididir. Her ikisi de şu ana kadar sistemlere nasıl saldırdıkları ve analize karşı nasıl korundukları açısından yalnızca APT29'a atandı. Ancak Wineloader'ın kullanımı çok daha kolay olduğundan, ilgili kötü amaçlı yazılım işlemleri artık “son derece uyarlanabilir”.
Yeni kötü amaçlı yazılımın Ocak ayının sonunda Çek Cumhuriyeti, Hindistan, İtalya, Letonya ve Peru'daki diplomatik birimlere yönelik kampanyalarda da kullanıldığı söyleniyor. Hackernews tarafından belgelenen bir vakada, ziyaretçileri Wineloader içeren web sitelerine çekmek için PDF'lerdeki bağlantılar da kullanıldı. Mevcut durumda, bağlantılar doğrudan e-postalara dahil ediliyordu.
Rusya'nın jeopolitik çıkarları göz önüne alındığında araştırmacılar, Avrupalı ve Batılı siyasi partilere, sivil toplum örgütlerine ve şirketlere yönelik kapsamlı bir tehdit olduğunu varsayıyorlar. Saldırganlar kimlik avının yanı sıra bulut tabanlı kimlik doğrulama mekanizmalarını da atlatmaya çalışabilir. Mandiant analisti Dan Black, ortaya çıkarılan saldırının “Rusya'nın Avrupa'nın Ukrayna'ya verdiği desteği baltalamaya yönelik daha geniş çabalarının bir parçası” olduğunu söylüyor. Meslektaşı John Hultquist “bu faaliyetlerin belirli bir parti veya ülkeyle sınırlı olduğuna inanmak için hiçbir neden yok” diyor. SWR her zaman Kremlin'in Batı siyasetini anlamasına ve tahmin etmesine yardımcı olma görevine sahip oldu.
(Asla)
Haberin Sonu
Reklamcılık
Mandiant'ın soruşturmayla ilgili bir blog gönderisine eklediği ekran görüntüsüne göre, sahte e-posta Almanca olarak “Etkinliğe katılmak için lütfen bir anket doldurun ve önümüzdeki birkaç gün içinde e-posta yoluyla gönderin” dedi. Ancak daha dikkatli okursanız bazı tuhaf ifadelerle karşılaşabilirsiniz. Akşam yemeği, etkinlik günü “akşam 7'de yardım edecek” partinin “bölge temsilciliği” tarafından organize edilmelidir.
Öncelikle alıcılardan bir anket doldurmaları istendi. Davetiyelerin “uygun zamanda gönderilmesi” gerektiği belirtildi. İlk kez 2023 baharında kamuoyuna açıklanan Rootsaw indiricisi, ikinci bir mesajda aniden başlangıç saatini 18.30'a ayarladı ve “iş açısından akıllı” kıyafet kuralını belirtti. Konumla ilgili bilgiler “hala netleştiriliyor”.
CDU'nun akşam yemeği hayali
Tehlikeli bağlantılara kaç davetlinin tıkladığı bilinmiyor. CDU, Spiegel'e olayla ilgili bilgileri zaten aldıklarını doğruladı. E-postada bahsi geçen olay hayal ürünüdür: “1 Mart'ta resmi bir CDU yemeği yoktu.” Spiegel'e göre Anayasayı Koruma Dairesi ve BSI halihazırda dava üzerinde çalışıyor. Saldırıların amacı virüslü bilgisayarlardan veri çalmaktı.
Mandiant'a göre kötü amaçlı yazılım, bilinen APT29 kötü amaçlı yazılım ailelerinin özelliklerini taşıyor ve ortak bir geliştirici öneriyor. Batılı gözlemcilere göre grup, Rus dış gizli servisi SWR tarafından kontrol ediliyor. APT, diğerlerinin yanı sıra SolarWinds, HPE ve Microsoft'taki yıkıcı siber ihlallerle ilişkilendirildi. Ayrıca 2016 ABD seçimleri öncesinde Demokrat Parti sunucularına, Batılı bakanlıklar ve elçiliklere ve korona aşısı geliştirme laboratuvarlarına yapılan siber saldırılardan da sorumlu olduğu söyleniyor.
Kapsamlı Rus siber operasyonlarına karşı uyarı
Mandiant'a göre, Ocak ayından beri yalnızca Batılı uzmanların radarında olan Wineloader arka kapısı muhtemelen Burntbatter, Muskybeat ve Beatdrop kötü amaçlı yazılım ailelerinin bir çeşididir. Her ikisi de şu ana kadar sistemlere nasıl saldırdıkları ve analize karşı nasıl korundukları açısından yalnızca APT29'a atandı. Ancak Wineloader'ın kullanımı çok daha kolay olduğundan, ilgili kötü amaçlı yazılım işlemleri artık “son derece uyarlanabilir”.
Yeni kötü amaçlı yazılımın Ocak ayının sonunda Çek Cumhuriyeti, Hindistan, İtalya, Letonya ve Peru'daki diplomatik birimlere yönelik kampanyalarda da kullanıldığı söyleniyor. Hackernews tarafından belgelenen bir vakada, ziyaretçileri Wineloader içeren web sitelerine çekmek için PDF'lerdeki bağlantılar da kullanıldı. Mevcut durumda, bağlantılar doğrudan e-postalara dahil ediliyordu.
Rusya'nın jeopolitik çıkarları göz önüne alındığında araştırmacılar, Avrupalı ve Batılı siyasi partilere, sivil toplum örgütlerine ve şirketlere yönelik kapsamlı bir tehdit olduğunu varsayıyorlar. Saldırganlar kimlik avının yanı sıra bulut tabanlı kimlik doğrulama mekanizmalarını da atlatmaya çalışabilir. Mandiant analisti Dan Black, ortaya çıkarılan saldırının “Rusya'nın Avrupa'nın Ukrayna'ya verdiği desteği baltalamaya yönelik daha geniş çabalarının bir parçası” olduğunu söylüyor. Meslektaşı John Hultquist “bu faaliyetlerin belirli bir parti veya ülkeyle sınırlı olduğuna inanmak için hiçbir neden yok” diyor. SWR her zaman Kremlin'in Batı siyasetini anlamasına ve tahmin etmesine yardımcı olma görevine sahip oldu.
(Asla)
Haberin Sonu