ABD, Büyük Saldırıların Arkasındaki Rus Harbiyeli Blizzard Hackerları Hakkında Bilgi İçin 10 Milyon Dolar Teklif Etti
ABD hükümeti ve uluslararası ortaklardan oluşan bir koalisyon, Cadet Blizzard olarak izlenen bir Rus bilgisayar korsanlığı grubunu Genelkurmay Ana İstihbarat Müdürlüğü (GRU) 161. Uzman Eğitim Merkezi'ne (Birim 29155) resmen bağladı.
Ajanslar, "Bu siber aktörler, en az 2020'den beri casusluk, sabotaj ve itibar zedelenmesi amacıyla küresel hedeflere karşı bilgisayar ağı operasyonlarından sorumludur" dedi.
"2022'nin başından bu yana, siber aktörlerin birincil odak noktası, Ukrayna'ya yardım sağlama çabalarını hedeflemek ve bozmak gibi görünüyor."
Saldırıların hedefleri, Kuzey Atlantik Antlaşması Örgütü (NATO) üyeleri, Avrupa Birliği, Orta Amerika ve Asya ülkelerinin devlet hizmetleri, finansal hizmetler, ulaşım sistemleri, enerji ve sağlık sektörleri dahil olmak üzere kritik altyapı ve kilit kaynak sektörlerine odaklandı.
Toy Soldier Operasyonu olarak adlandırılan koordineli bir tatbikatın parçası olarak geçen hafta yayınlanan ortak danışma belgesi, ABD, Hollanda, Çek Cumhuriyeti, Almanya, Estonya, Letonya, Ukrayna, Kanada, Avustralya ve İngiltere'deki siber güvenlik ve istihbarat yetkililerinden geliyor.
Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056 ve UNC2589 olarak da bilinen Cadet Blizzard, Ocak 2022'de Rusya'nın ülkeyi tam anlamıyla askeri işgalinden önce birden fazla Ukraynalı kurban kuruluşa karşı yıkıcı WhisperGate (diğer adıyla PAYWIPE) kötü amaçlı yazılımını dağıtmasıyla dikkat çekti.
Haziran 2024'te, Amin Timovich Stigal adlı 22 yaşındaki bir Rus vatandaşı, silici kötü amaçlı yazılımını kullanarak Ukrayna'ya karşı yıkıcı siber saldırılar düzenlemedeki rolü nedeniyle ABD'de suçlandı. Bununla birlikte, WhisperGate kullanımının gruba özgü olmadığı söyleniyor.
ABD Adalet Bakanlığı (DoJ) o zamandan beri Birim 29155 ile bağlantılı beş memuru Ukrayna, ABD ve diğer 25 NATO ülkesindeki hedeflere karşı bilgisayara izinsiz giriş ve elektronik dolandırıcılık komplosu kurmak için komplo kurmakla suçladı.
Beş memurun isimleri aşağıda listelenmiştir -
- Yuriy Denisov (Юрий Денисов), Rus ordusunda bir albay ve Birim 29155 için Siber Operasyonlar komutanı
- Vladislav Borovkov (Владислав Боровков), Denis Denisenko (Денис Денисенко), Dmitriy Goloshubov (Дима Голошубов) ve Nikolay Korchagin (Николай Корчагин), Rus ordusunda siber operasyonlar üzerinde çalışan Birim 29155'e atanan teğmenler
Adalet Bakanlığı, "Sanıklar bunu, Ukrayna vatandaşları arasında hükümet sistemlerinin ve kişisel verilerinin güvenliği konusunda endişe uyandırmak için yaptılar" dedi. "Sanıkların hedefleri arasında Ukrayna Hükümeti'nin sistemleri ve askeri veya savunmayla ilgili hiçbir rolü olmayan veriler vardı. Daha sonraki hedefler arasında, dünyanın dört bir yanındaki ülkelerde Ukrayna'ya destek sağlayan bilgisayar sistemleri de vardı."
İddianameyle eş zamanlı olarak, ABD Dışişleri Bakanlığı'nın Adalet Ödülleri programı, sanıkların herhangi birinin konumu veya kötü niyetli siber faaliyetleri hakkında bilgi için 10 milyon dolara kadar bir ödül açıkladı.
Göstergeler, Birim 29155'in Avrupa çapında darbe girişimleri, sabotaj ve etki operasyonlarından ve suikast girişimlerinden sorumlu olduğu ve düşmanın ufkunu en az 2020'den bu yana saldırgan siber operasyonları içerecek şekilde genişlettiği yönünde.
Bu siber saldırıların nihai amacı, casusluk amacıyla hassas bilgiler toplamak, söz konusu verileri sızdırarak itibara zarar vermek ve değerli veriler içeren sistemleri sabote etmeyi amaçlayan yıkıcı operasyonlar düzenlemektir.
Danışma belgesine göre Birim 29155'in, görevlerini kolaylaştırmak için bilinen siber suçlulara ve Stigal gibi diğer sivil kolaylaştırıcılara da güvenen genç, aktif görevli GRU subaylarından oluştuğuna inanılıyor.
Bunlar, web sitesi tahrifatlarını, altyapı taramasını, veri hırsızlığını ve bilgilerin halka açık web sitesi etki alanlarında yayınlanmasını veya diğer aktörlere satılmasını içeren veri sızıntısı işlemlerini içerir.
Saldırı zincirleri, kurban ortamlarını ihlal etmek için Atlassian Confluence Sunucusu ve Veri Merkezi, Dahua Security ve Sophos'un güvenlik duvarındaki bilinen güvenlik kusurlarından yararlanan tarama faaliyetiyle başlar, ardından istismar sonrası ve yanal hareket için Impacket'i kullanır ve nihayetinde verileri özel altyapıya sızdırır.
Ajanslar, "Siber aktörler, Raspberry Robin kötü amaçlı yazılımını bir erişim aracısı rolünde kullanmış olabilir" dedi. "Siber aktörler, geçerli kullanıcı adları ve parolalar elde etmek için parola püskürtme ile kurbanların Microsoft Outlook Web Access (OWA) altyapısını hedef aldı."
Kuruluşların rutin sistem güncellemelerine öncelik vermeleri ve bilinen istismar edilen güvenlik açıklarını düzeltmeleri, kötü amaçlı etkinliklerin yayılmasını önlemek için ağları segmentlere ayırmaları ve dışarıya yönelik tüm hesap hizmetleri için kimlik avına dayanıklı çok faktörlü kimlik doğrulamasını (MFA) zorunlu kılmaları önerilir.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı