Devlet dayanaklı siber ataklar sürat kesmiyor

ESET Research, Eylül-Aralık 2022 periyoduna ilişkin APT(gelişmiş kalıcı tehdit) Aktiflik Raporu’nu yayınladı.

ESET araştırmacıları tarafından  hazırlanan rapora nazaran bu periyotta Rusya ile ilişkili APT kümeleri, yıkıcı data silici ve fidye yazılımlar kullanarak bilhassa Ukrayna’yı amaç alan operasyonlarda yer almaya devam etti. Çin irtibatlı bir küme olan Goblin Panda, Mustang Panda’nın Avrupa ülkelerine olan ilgisini kopyalamaya başladı. İran kontaklı kümeler da yüksek seviyede faaliyet gösteriyorlar. Sandworm ile birlikte, Callisto, Gamaredon üzere başka Rus APT kümeleri, Doğu Avrupa vatandaşlarını  hedef alan kimlik avı hücumlarına devam ettiler. 

ESET APT Aktiflik Raporu’nda ön plana çıkan başlıklar şu halde sıralanıyor:

ESET,  Ukrayna’da makus şöhretli Sandworm kümesinin bir güç dalı şirketine karşı evvelce bilinmeyen bir bilgi silici yazılımı kullandığını tespit etti. APT kümelerinin operasyonları çoklukla devlet yahut devlet takviyeli iştirakçiler tarafından gerçekleştiriliyor. Kelam konusu hücum, Ekim ayında Rus silahlı kuvvetlerinin güç altyapısını maksat alan füze hücumları başlatmasıyla birebir devirde gerçekleşti. ESET, bu taarruzlar ortasındaki uyumu kanıtlayamasa da, Sandworm ve Rus ordusunun tıpkı hedefi taşıdığını öngörüyor.

ESET, daha evvel keşfedilen bir dizi bilgi silici yazılım ortasından en yeni olana NikoWiper ismini verdi. Bu yazılım, Ekim 2022’de Ukrayna’da güç dalında faaliyet gösteren bir şirkete karşı kullanılmıştı. NikoWiper, Microsoft’un evrakları inançlı bir formda silmek için kullandığı bir komut satırı yardımcı programı olan SDelete  tabanlı. ESET, bilgi silen makûs emelli yazılıma ek olarak, fidye yazılımını silici olarak kullanan Sandworm taarruzlarını keşfetti. Bu taarruzlarda fidye yazılımı kullanılsa da asıl emel bilgilerin imha edilmesi. Bilindik fidye yazılımı ataklarının bilakis, Sandworm operatörleri bir şifre çözme anahtarı sağlamıyor.

Ekim 2022’de Prestige fidye yazılımının Ukrayna ve Polonya’daki lojistik şirketlerine karşı kullanıldığı ESET tarafından tespit edildi. Kasım 2022’de Ukrayna’da RansomBoggs ismi verilen .NET’te yazılmış yeni bir fidye yazılımı keşfedildi. ESET Research, bu kampanyayı Twitter hesabında kamuoyuna bildirdi. Sandworm ile birlikte, Callisto ve Gamaredon üzere öbür Rus APT kümeleri, kimlik bilgilerini çalmak ve implant yerleştirmek için Ukrayna maksatlı kimlik avı akınlarına devam ettiler.

ESET araştırmacıları ayrıyeten Japonya’daki siyasalları maksat alan bir MirrorFace gayeli kimlik avı saldırısı tespit etti ve kimi Çin ilişkili kümelerin maksadında basamak değişikliği fark etti – Goblin Panda, Mustang Panda’nın Avrupa ülkelerine olan ilgisini kopyalamaya başladı. Kasım ayında ESET, Avrupa Birliği’ndeki bir devlet kuruluşunda TurboSlate ismini verdiği yeni bir Goblin Panda art kapısı keşfetti. Mustang Panda da Avrupa kuruluşlarını gaye almaya devam etti. Eylül ayında, İsviçre’nin güç ve mühendislik kesimindeki bir kuruluşta Mustang Panda tarafından kullanılan bir Korplug yükleyici tespit edildi.

İran ilişkili kümeler da akınlarına devam etti – POLONIUM, İsrail şirketlerinin yanı sıra, bu şirketlerin yabancı yan kuruluşlarını da maksat almaya başladı ve MuddyWater muhtemelen, faal bir güvenlik hizmeti sağlayıcısının güvenliğine sızdı. 

Kuzey Kore ilişkili kümeler, dünyanın çeşitli yerlerindeki kripto para şirketlerine ve borsalarına sızmak için eski güvenlik açıklarını kullandı. Değişik bir formda Konni, tuzak evraklarında kullandığı lisanları genişleterek, listesine İngilizceyi de ekledi; bu da her zamanki Rusya ve Güney Kore maksatlarına odaklanmadığı manasına gelebilir.

Kaynak: (BYZHA) – Beyaz Haber Ajansı