Rusya'nın askeri istihbarat birimi olarak bilinen Kum kurdu son on yılda Kremlin'in en agresif siber saldırı gücü olarak hizmet etti, Ukrayna'da elektrik kesintileri tetikleniyor ve serbest bırakmak kendi kendine yayılan, yıkıcı kod tarihteki en yıkıcı hack olaylarından biri olmaya devam eden olaylarda. Ancak son aylarda Sandworm'la bağlantısı olan bir grup bilgisayar korsanı, bazı açılardan selefinin bile ötesine geçen bir tür dijital kargaşa girişiminde bulundu: Fransa'daki bir hidroelektrik barajının dijital sistemlerini doğrudan hedef alma sorumluluğunu üstlendiler ve Amerika Birleşik Devletleri ve Polonya'daki su tesisleri, bu ülkelerin kritik altyapısını sabote etme çabasıyla anahtarları çeviriyor ve yazılım ayarlarını değiştiriyor.
Bu yılın başından bu yana, Rusya'nın Siber Ordusu veya bazen Yeniden Doğan Rusya'nın Siber Ordusu olarak bilinen hacktivist bir grup, ABD ve Avrupa'daki su ve hidroelektrik tesislerini hedef alan bilgisayar korsanlığı operasyonlarından en az üç kez pay aldı. Her durumda, bilgisayar korsanları sosyal medya platformuna videolar yayınladı Telgraf Söz konusu hedef ağların içindeki fiziksel ekipmanı kontrol eden yazılım olan insan-makine arayüzlerini kaotik şekilde manipüle etmelerinin ekran kayıtlarını gösteren. Bu hacklemenin görünen kurbanları arasında Teksas'taki çok sayıda ABD su tesisi, Polonya'daki bir atık su arıtma tesisi ve bir Fransız hidroelektrik tesisi yer alıyor; ancak bilgisayar korsanlarının bu tesislerden herhangi birine karşı ne kadar kesinti veya zarar vermiş olabileceği tam olarak belli değil.
A yeni rapor Siber güvenlik firması Mandiant tarafından bugün yayınlanan rapor, bu hacker grubu ile yıllardır Rusya'nın GRU askeri istihbarat teşkilatının 74455 Birimi olarak tanımlanan Sandworm arasında bir bağlantı kuruyor. Mandiant, Sandworm'un Rusya'nın Siber Ordusu Reborn'un kurulmasına yardımcı olduğuna dair kanıt buldu ve Sandworm'un saldırdığı ağlardan çalınan verilerin daha sonra Rusya Siber Ordusu Reborn grubu tarafından sızdırıldığı birçok örneği takip etti. Ancak Mandiant, Yeniden Doğan Rusya Siber Ordusu'nun, Sandworm'un son on yılda faaliyetlerini gizlemek için benimsediği birçok gizli karakterden yalnızca biri mi, yoksa bunun yerine Sandworm'un yaratılmasına yardım ettiği ve işbirliği yaptığı ancak artık bağımsız olarak faaliyet göstermektedir.
Her iki durumda da, Mandiant'ın tehdit istihbaratı çalışmalarına liderlik eden ve neredeyse on yıldır Sandworm'un hackerlarını takip eden John Hultquist, Rusya Siber Ordusu Reborn'un hacklenmesinin bazı açılardan Sandworm'un kendisinden bile daha küstahça hale geldiğini söylüyor. Sandworm'un yıkıcı bir siber saldırıyla hiçbir zaman doğrudan bir ABD ağını hedeflemediğini, yalnızca bir hazırlık amacıyla ABD ağlarına kötü amaçlı yazılım yerleştirdiğini veya 2017 NotPetya fidye yazılımı saldırısında ABD kurbanlarına kendi kendine yayılan kodla dolaylı olarak bulaştığını belirtiyor. Rusya'nın Yeniden Doğuş Siber Ordusu ise tam tersine bu çizgiyi geçmekte tereddüt etmedi.
Hultquist, “Bu grup, Sandworm'a bağlı bu şahsiyet altında faaliyet gösterse de, şimdiye kadar ABD'yi hedef aldığını gördüğümüz herhangi bir Rus operatörden daha umursamaz görünüyorlar” diyor. “Operasyonel teknoloji sistemlerini son derece agresif, muhtemelen yıkıcı ve tehlikeli bir şekilde aktif olarak manipüle ediyorlar.”
Taşmış Tank ve Fransız Horozu
Mandiant'ın hedeflenen su şebekesi ve hidroelektrik santral ağlarına erişimi yoktu, dolayısıyla Rus Yeniden Doğuş Siber Ordusu'nun bu ağlara nasıl eriştiğini belirleyemedi. Ancak grubun Ocak ortasında yayınlanan videolarından biri, bilgisayar korsanlarının Teksas'ın Abernathy ve Muleshoe kasabalarındaki su tesislerinin kontrol sistemleri için yazılım arayüzlerini manipüle etmesini yakalayan bir ekran kaydını gösteriyor gibi görünüyor. Telegram'da videoyu tanıtan bir mesajda “ABD genelinde bir sonraki baskınımıza başlıyoruz” yazıyor. “Bu videoda birkaç kritik altyapı nesnesi var, yani su temin sistemleri😋”
Bir ekran kaydı, Rusya'nın Yeniden Doğan Siber Ordusunun Teksas'taki bir su şebekesinin arayüzündeki düğmelere tıkladığını gösteriyor.
Rusya'nın Siber Ordusu Telegram ile Yeniden DoğduVideo daha sonra bilgisayar korsanlarının hedef arayüzde çılgınca tıkladıklarını, her iki yardımcı programın kontrol sistemleri için değerleri ve ayarları değiştirdiklerini gösteriyor. Texas gazetesi, bu manipülasyonun ne gibi etkileri olabileceği açık olmasa da Plainview Herald Şubat ayı başında bildirildi yerel yetkililerin siber saldırıları kabul ettiğini ve bir miktar kesintiyi doğruladığını söyledi. Muleshoe şehir müdürü Ramon Sanchez'in halka açık bir toplantıda kasabanın kamu hizmetine yapılan saldırının bir su deposunun taşmasıyla sonuçlandığını söylediği bildirildi. Bilgisayar korsanlarının videosunda bahsedilmeyen bir hedef olan yakındaki Abernathy ve Hale Center kasabalarının yetkilileri de vurulduklarını söyledi. Her üç kasabanın ve Lockney'deki başka bir kamu hizmeti kuruluşunun, istismarı önlemek için yazılımlarını devre dışı bıraktığı bildirildi, ancak yetkililer, su kuruluşlarının müşterilerine verilen hizmetin hiçbir zaman kesintiye uğramadığını söyledi. (WIRED, Muleshoe ve Abernathy'den yetkililere ulaştı ancak hemen yanıt alamadı.)
Başka bir ekran kaydı, Rusya'nın Yeniden Doğan Siber Ordusunun Polonya'daki bir atık su arıtma tesisinin kontrol sistemlerine müdahale ettiğini ve görünüşe göre ayarları rastgele değiştirdiğini gösteriyor.
Rusya'nın Siber Ordusu Telegram ile Yeniden DoğduRusya Siber Ordusu Yeniden Doğmuş hackerların Ocak ayında yayınladığı bir başka video, hükümeti Ukrayna'nın sadık bir destekçisi olan Polonya'nın bir köyü olan Wydminy'de bir atık su tesisine yönelik benzer bir sabotaj girişiminin ekran kaydını gösteriyor. Rusya'nın işgalinin ortasında. “Herkese merhaba, bugün Polonya'nın atık su arıtma tesisleriyle oynayacağız. İzlemenin tadını çıkarın! diyor videonun başında otomatik bir Rusça ses. Video daha sonra bilgisayar korsanlarının Super Mario Bros. film müziği eşliğinde yazılımdaki anahtarları çevirdiğini ve yazılımdaki değerleri değiştirdiğini gösteriyor.
Üçüncü ekran kaydı, Cyber Army of Russia Reborn'un bir Fransız su kuruluşuna erişimini gösteriyor.
Rusya'nın Siber Ordusu Telegram ile Yeniden DoğduMart ayında yayınlanan üçüncü bir videoda, bilgisayar korsanları benzer şekilde kendilerini Fransa'daki Courlon Sur Yonne hidroelektrik barajı olarak tanımladıkları şeyin kontrol sistemine müdahale ederken kaydediyorlar. Bu video, Fransa Cumhurbaşkanı Emmanuel Macron'un, Rusya'ya karşı savaşına yardım etmek üzere Fransız askeri personelini Ukrayna'ya göndereceğini öne süren kamuya açık açıklamalarda bulunmasından hemen sonra yayınlandı. Video, Macron'un elinde Fransız bayrağı taşıyan bir horoz şeklinde gösterilmesiyle başlıyor. Videoda “Geçenlerde bir Fransız horozunun ötüşünü duyduk” diyor. “Bugün Courlon barajına bir göz atacağız ve biraz eğleneceğiz. Keyifli seyirler arkadaşlar. Rusya'ya şeref!”
Telegram gönderilerinde bilgisayar korsanları, Fransız barajının su seviyesini düşürdüğünü ve ürettiği elektrik akışını durdurduğunu iddia ediyor, ancak WIRED bu iddiaları doğrulayamadı. Ne Wydminy tesisi ne de Courlon barajının sahibi Energies France, WIRED'in yorum talebine yanıt verdi.
Siber güvenlik firması I&C Secure'un kurucusu ve bir su idaresinde ve şirketinde eski bir çalışan olan Gus Serino, videolarda bilgisayar korsanlarının bir su şebekesinin nasıl çalıştığına dair bazı bilgilerinin yanı sıra bir miktar cehalet ve rastgele anahtar çevirme sergilediklerini söylüyor. altyapı siber güvenlik firması Dragos. Serino, bilgisayar korsanlarının örneğin Teksas kamu hizmetlerindeki su depolarının “durma seviyesini” değiştirdiğini ve bunun da yetkililerin bahsettiği taşmayı tetikleyebileceğini belirtiyor. Ancak, özellikle Wydminy atık su tesisi için hiçbir etkisi olmayacak görünüşte keyfi değişiklikler de yaptıklarını belirtiyor.
Kaynak bağlantısı