Son sekiz ayda, en az beş Rus devlet destekli veya siber suçlu grubu, hizmetleri aksatmayı veya hassas bilgileri çalmayı amaçlayan düzinelerce operasyonda Ukrayna devlet kurumlarını ve özel şirketleri hedef aldı.
Trustwave araştırmacılarının yeni bir araştırma notunda, Şubat ayında Gamaredon, Sandworm ve Fancy Bear gibi devlet destekli grupların altyapıya zarar vermek ve bilgisayar sistemlerini sabote etmek amacıyla silecek programlarını kullandığını söyledi. Bu saldırılar, sistemlere erişmek için kimlik bilgileri hırsızları kullanılarak üç ay sürdü.
Araştırmacılar, Süslü Ayı ve Kum kurdunun Silahlı Kuvvetler Genelkurmay Başkanlığı (GRU) Genel Müdürlüğü’nün emri altında olduğunu ve Gamaredon’un Rusya Federal Güvenlik Servisi (FSB) tarafından yönetildiğini belirtti.
Trustwave’in raporuna göre, Rusya ile bağlantısı olan diğer siber suçlu grupları da bilgi çalmaya ve çeşitli sistemlerde daha sonra kullanmak üzere tutunma noktaları oluşturmaya çalışan düzenli siber casusluk operasyonlarıyla Ukrayna hedeflerine yönelik siber saldırılara katılıyor. Bu, özellikle Rus hükümetiyle işbirliği yapabilen siber suçlu grupları olarak bilinen Ember Bear (diğer adıyla UNC2589) ve Invisimole olarak bilinen iki grubu içerir. Trustwave’in raporuna göre.
Trustwave SpiderLabs güvenlik araştırma müdürü Karl Sigler, “Neyi bilmediğimizi bilmiyoruz” özdeyişine atıfta bulunurken, Rusya’nın saldırıları konusunda daha bariz olduğuna inanıyor.
“Konumlarını gizlemeye çalışmıyorlar” diyor. “İnsanların bu sıfatı bilmesini istiyorlar ve bu nedenle geçen yıl bu zamanlar kadar bir şey kaçırdığımızı düşünmüyorum. Gerçekten bariz bir hareketlilik görüyoruz.”
Siber güvenlik uzmanları, fiziksel işgali artırmak ve desteklemek için kullanılan siber saldırılar ve kötü amaçlı yazılımların oluşturduğu riski ölçmek için Ukrayna’yı işgali sırasında Rusya’nın siber stratejisini yakından analiz etti. Saldırılar, 24 Şubat’taki fiili işgalden önce gerçekleşti ve Rusya doğu Ukrayna ve Kırım yarımadasını kazdıkça devam etti.
Trustwave analizde, “Şüphesiz, sofistike siber silahlar modern bir ordunun cephaneliğinde kilit araçlardır” diyor. “Ukrayna çeşitli siber saldırılar tarafından hedef alındığında, hükümet varlıklarının, kritik altyapının, medyanın ve özel sektör kuruluşlarının saldırganlar için oldukça kazançlı hedefler olduğunu ve hatta meşru sızma araçlarının bile ele geçirilip silah olarak kullanılabileceğini açıkça görebiliyoruz.”
Silecekler ve Daha Fazlası: Saldırı Stratejilerini Değiştirme
Rusya’nın siber operasyon stratejisi, Ukrayna’yı işgalinin ilk altı ayında değişti.
Trustwave’den Sigler, yıkıcı saldırıların esas olarak savaşın ilk birkaç ayında gerçekleştiğini söylüyor. Hem Gamaredon hem de Sandworm, çeşitli silme programlarıyla Ukraynalı şirketleri ve devlet kurumlarını hedef aldı.
Gamaredon, yani Primitive Bear ve Armageddon, Şubat 2022’de, grubun bazı güvenlik önlemlerini atlamak ve yüksek profilli Ukraynalı kuruluşları hedef almak için Hermetica Digital’den çalınan bir dijital sertifika kullandığı HemeticWiper veri silme saldırısı da dahil olmak üzere üç saldırı gerçekleştirdi. Sandworm (aka Black Energy), CaddyWiper ve Industroyer2 gibi ek yıkıcı saldırılarla Ukraynalı grupları hedef aldı.
Bu yıkıcı saldırılar sadece birkaç ay sürmüş gibi görünüyor. Sigler, Rusya’nın savaşın çabucak kazanılacağını düşündüğünü ve bu nedenle operasyonları Ukrayna direnişini engellemek için kullandığını söylüyor.
“Pek çok şeyi çevrimdışına almaya odaklandılar, kesintinin teraziyi değiştirmeye ve gerçekten de çatışmaya hızlı bir son vermeye yeteceğini umdular” diyor. “Bu yüzden, çatışma aylar boyunca uzadıkça, sonraki adımları bildirmek için istihbarat toplamaya daha fazla odaklandıklarını düşünüyorum.”
Üç gelişmiş kalıcı tehdit (APT) – Gamaredon, Sandworm ve Fancy Bear – siber savaş saldırılarıyla bağlantılı olsa da, Trustwave’in raporu, diğer iki tehdidin de faaliyeti artırdığını belirtiyor. Cozy Bear, Rusya’nın Dış İstihbarat Servisi (SVR) için operasyonlar yürütürken DragonFly (aka Energetic Bear) FSB ile bağlantılı.
Rapora göre Rusya, siber suçlu gruplarını bilgi çalmaya ve sistemlere erişim sağlamaya odaklanan bir tür çevrimiçi milis olarak da kullandı. Invisimole ve Ember Bear, Ukrayna devlet kurumlarına yönelik LoadEdge saldırısı ve devlet kurumlarına sızan ve arka kapılar kuran GrimPlant adlı başka bir operasyon da dahil olmak üzere çeşitli hedeflere karşı siber casusluk operasyonları yürüterek Rus hükümetiyle işbirliği yaptı.
Trustwave raporunda, “Saldırılarda kullanılan kötü amaçlı yazılımlar genellikle web kamerası ve mikrofon yakalamaları, tuş günlüğü ve ek bileşenleri indirme ve yükleme olanağı ile arka kapı erişimi sağlar” diyor. “Sızdırılan veriler, işletim sistemi bilgilerini, belgeleri, resimleri ve web tarayıcılarından ve yazılımlardan saklanan şifreleri içerir.”
Rapora göre yıkıcı saldırılar durmuş gibi görünse de casusluk saldırıları devam ediyor.