Rusya’ya bağlı hackerlar NATO ülkelerinin yardım lojistik ağlarını hedef alıyor
Rus askeri istihbarat birimine bağlı APT28 adlı hacker grubu, Ukrayna’ya gönderilen yardımların koordinasyonu ve teslimatında görev alan Batılı lojistik ve teknoloji şirketlerine yönelik geniş çaplı bir siber casusluk kampanyası yürütüyor. Kampanya, çok sayıda ülkenin resmi kurumları tarafından ortak açıklamayla ifşa edildi.
Devlet destekli hacker grubu APT28 yeniden sahnede
Rusya Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü'ne (GRU) bağlı 26165 No’lu Askeri Birlik tarafından desteklendiği belirtilen APT28 (diğer adlarıyla BlueDelta, Fancy Bear, Forest Blizzard), Batılı devletlerin Ukrayna’ya sağladığı yardımların koordinasyonu, taşınması ve teslimatına dair bilgileri toplamak amacıyla kapsamlı bir siber casusluk kampanyası başlattı.
Hedefte NATO üyeleri ve lojistik zinciri var
Avustralya, Kanada, Çekya, Danimarka, Estonya, Fransa, Almanya, Hollanda, Polonya, Birleşik Krallık ve ABD gibi ülkelerin resmi kurumları tarafından yayımlanan ortak uyarıya göre, APT28 özellikle savunma, ulaştırma, denizcilik, hava trafiği yönetimi ve bilgi teknolojileri alanlarında faaliyet gösteren kuruluşları hedef aldı. Etkilenen ülkeler arasında Bulgaristan, Yunanistan, İtalya, Moldova, Romanya, Slovakya ve Ukrayna da bulunuyor.
Saldırı yöntemleri: E-posta açıklarından VPN zafiyetlerine kadar
Kampanyada kullanılan yöntemler arasında parola püskürtme, hedefli kimlik avı saldırıları, Microsoft Exchange sistemlerinde posta kutusu izinlerinin değiştirilmesi, Outlook ve Roundcube gibi e-posta servislerindeki güvenlik açıklarının istismarı öne çıkıyor. Ayrıca kurumsal VPN sistemlerine yönelik SQL enjeksiyonu saldırıları da dikkat çekiyor. Özellikle CVE-2023-23397 ve CVE-2023-38831 gibi kritik zafiyetler üzerinden erişim sağlanıyor.
Tehdit sonrası faaliyetler daha tehlikeli
Saldırganlar sisteme giriş yaptıktan sonra, ulaşım koordinasyonundan sorumlu personeli ve mağdur kuruluşlarla işbirliği yapan şirketleri belirlemeye yönelik keşif çalışmaları yapıyor. İç ağlarda yanal hareket sağlamak için Impacket, PsExec ve RDP gibi araçlar, Active Directory’den bilgi sızdırmak içinse Certipy ve ADExplorer.exe kullanılıyor. Ayrıca Office 365 kullanıcı listelerini çıkarmak ve sürekli e-posta takibi için posta kutusu izinleri manipüle ediliyor.
Fransa ve ESET’ten ayrı ayrı uyarılar geldi
Fransa Dışişleri Bakanlığı, APT28’i 2021’den bu yana ülkenin çeşitli kurumlarına yönelik istikrarsızlaştırıcı siber saldırılar düzenlemekle suçlamıştı. Öte yandan ESET tarafından geçtiğimiz hafta duyurulan Operation RoundPress kapsamında, grup Roundcube, Horde ve Zimbra gibi e-posta servislerini kullanarak Doğu Avrupa, Afrika ve Güney Amerika’daki hükümetleri hedef alıyor.
Gözler internet kameralarında
Ajanslara göre, Rus askeri istihbarat biriminin hedefleri yalnızca dijital sistemlerle sınırlı değil. Ukrayna sınır kapılarındaki internet bağlantılı kameralar da bu izleme faaliyetlerinin bir parçası olarak hedef alınıyor. HeadLace, MASEPIE, OCEANMAP ve STEELHOOK gibi kötü amaçlı yazılım aileleriyle veri sızdırma faaliyetlerinin sürdüğü, verilerin PowerShell komutları ve IMAP protokolü aracılığıyla aktarıldığı bildirildi.
Kaynak: CUMHA - CUMHUR HABER AJANSI
