Siber Muhbir

ABD Adalet Bakanlığı (DoJ) yaptığı açıklamada, "Bu suçlar, ABD ve yabancı hükümetler ile askeri, güvenlik ve kurumsal kuruluşlar gibi Rus hükümetinin istihbarat ilgisini çeken hedeflere karşı geniş çaplı hedef odaklı kimlik avı ve benzeri kimlik bilgisi toplama kampanyalarını içeriyordu" dedi.

BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (eski adıyla Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy ve TA422 takma adları altında da izlenen APT28'in, Rusya Genelkurmay Başkanlığı'nın (GRU) 26165 Birimi ile bağlantılı olduğu değerlendiriliyor. En az 2007'den beri aktif olduğu bilinmektedir.

Mahkeme belgeleri, saldırganların siber casusluk kampanyalarını, Ubiquiti tarafından yapılan yönlendiricileri, proxy görevi görecek şekilde değiştirilebilen bir cihaz ağına dahil etmek için seçen Mirai tabanlı bir botnet olan MooBot'a güvenerek gerçekleştirdiklerini iddia ediyor.

DoJ, botnet'in tehdit aktörlerinin gerçek konumlarını maskelemelerine ve ısmarlama komut dosyaları aracılığıyla kimlik bilgilerini ve NT LAN Manager (NTLM) v2 karmalarını toplamalarına izin vermenin yanı sıra hedef odaklı kimlik avı açılış sayfalarını ve kaba kuvvet parolaları için diğer özel araçları barındırmalarına, yönlendirici kullanıcı parolalarını çalmalarına ve MooBot kötü amaçlı yazılımını diğer cihazlara yaymalarına izin verdiğini söyledi.

ABD Federal Soruşturma Bürosu (FBI) tarafından dosyalanan redakte edilmiş bir yeminli ifadede ajans, MooBot'un varsayılan kimlik bilgilerini kullanarak savunmasız ve herkesin erişebileceği Ubiquiti yönlendiricilerinden yararlandığını ve cihaza kalıcı uzaktan erişime izin veren bir SSH kötü amaçlı yazılımı yerleştirdiğini söyledi.

Adalet Bakanlığı, "GRU olmayan siber suçlular, MooBot kötü amaçlı yazılımını, hala genel olarak bilinen varsayılan yönetici parolalarını kullanan Ubiquiti Edge OS yönlendiricilerine yükledi" dedi. "GRU bilgisayar korsanları daha sonra MooBot kötü amaçlı yazılımını, botnet'i yeniden tasarlayan ve onu küresel bir siber casusluk platformuna dönüştüren kendi ısmarlama komut dosyalarını ve dosyalarını yüklemek için kullandılar."

APT28 aktörlerinin, arama parametresi olarak belirli bir OpenSSH sürüm numarasını kullanarak internette herkese açık taramalar yaparak ve ardından bu yönlendiricilere erişmek için MooBot'u kullanarak, güvenliği ihlal edilmiş Ubiquiti yönlendiricilerini bulduğundan ve yasa dışı olarak eriştiğinden şüpheleniliyor.

Bilgisayar korsanlığı grubu tarafından gerçekleştirilen hedef odaklı kimlik avı kampanyaları, oturum açma kimlik bilgilerini sifonlamak ve bunları yönlendiricilere iletmek için Outlook'ta o zamanlar sıfır gün (CVE-2023-23397) kullandı.

FBI, "Tanımlanan başka bir kampanyada, APT28 aktörleri, sahte sayfaya girilen kimlik bilgilerini, APT28 aktörleri tarafından uygun bir zamanda toplanmak üzere güvenliği ihlal edilmiş bir Ubiquiti yönlendiricisine göndermek için sahte bir Yahoo! açılış sayfası" dedi.

ABD'deki botnet'i bozma ve daha fazla suçu önleme çabalarının bir parçası olarak, çalınan verileri ve kötü amaçlı dosyaları silmeden önce kopyalamak ve APT28'in yönlendiricilere uzaktan erişimini engellemek için güvenlik duvarı kurallarını değiştirmek için bir dizi belirtilmemiş komut verildi.

ABD'de ele geçirilen cihazların kesin sayısı sansürlendi, ancak FBI bunun değişebileceğini belirtti. Virüslü Ubiquiti cihazlarının "hemen hemen her eyalette" tespit edildiğini de sözlerine ekledi.

Dying Ember olarak adlandırılan mahkeme tarafından yetkilendirilen operasyon, ABD'nin kritik altyapı tesislerini hedef almak için KV-botnet kod adlı farklı bir botnet'ten yararlanan Çin kaynaklı başka bir devlet destekli bilgisayar korsanlığı kampanyasını ortadan kaldırmasından sadece haftalar sonra geldi.

Geçtiğimiz Mayıs ayında ABD, Rusya Federal Güvenlik Servisi (FSB) ile ilişkili bilgisayar korsanları tarafından kullanılan Snake adlı gelişmiş bir kötü amaçlı yazılım türü tarafından tehlikeye atılan küresel bir ağın kapatıldığını duyurdu.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.