Rus bilgisayar korsanları, Danimarka'nın kritik altyapısına 'şimdiye kadarki en büyük siber saldırı' ile bağlantılı

Danimarka'nın SektorCERT'i, "Danimarka'nın kritik altyapısına karşı 22 eşzamanlı, başarılı siber saldırı yaygın değil" dedi. "Saldırganlar kimi hedef alacaklarını önceden biliyorlardı ve her seferinde doğru yaptılar. Bir kez bile bir atış hedefi ıskalamadı."

Ajans, bir veya daha fazla saldırıyı, Sandworm adı altında da izlenen ve endüstriyel kontrol sistemlerine yönelik yıkıcı siber saldırıları düzenleme geçmişine sahip olan Rusya'nın GRU askeri istihbarat teşkilatına bağlayan kanıtlar bulduğunu söyledi. Bu değerlendirme, bilgisayar korsanlığı ekibine kadar izlenen IP adresleriyle iletişim kuran yapıtlara dayanmaktadır.

Benzeri görülmemiş ve koordineli siber saldırılar, Nisan 2023'ün sonlarında açıklanan ve Zyxel güvenlik duvarlarını etkileyen kritik bir komut enjeksiyon kusuru olan CVE-2023-28771'den (CVSS puanı: 9.8) yararlanılarak 11 Mayıs'ta gerçekleşti.

Tehdit aktörleri, başarıyla sızan 11 şirkette, güvenlik duvarı yapılandırmalarının keşfini gerçekleştirmek ve bir sonraki eylem planını belirlemek için kötü amaçlı kod yürüttü.

"Bu tür bir koordinasyon planlama ve kaynak gerektirir," dedi SektorCERT olayların ayrıntılı bir zaman çizelgesinde. "Aynı anda saldırmanın avantajı, bir saldırı hakkındaki bilgilerin çok geç olmadan diğer hedeflere yayılamamasıdır."

"Bu, bilgi paylaşımının gücünü devre dışı bırakıyor, çünkü herkes aynı anda saldırıya uğradığı için devam eden saldırı hakkında kimse önceden uyarılamıyor. Alışılmadık ve son derece etkili."

Daha sonra 22-25 Mayıs tarihleri arasında daha önce görülmemiş siber silahlara sahip bir saldırı grubu tarafından daha fazla kuruluşu hedef alan ikinci bir saldırı dalgası kaydedildi ve bu da kampanyaya iki farklı tehdit aktörünün dahil olma olasılığını artırdı.

Bununla birlikte, grupların birbirleriyle işbirliği yapıp yapmadıkları, aynı işveren için çalışıp çalışmadıkları veya bağımsız hareket edip etmedikleri şu anda belli değil.

Bu saldırıların, güvenlik duvarlarını Mirai ve MooBot botnet'lerine dahil etmek için sıfır gün olarak Zyxel donanımındaki iki kritik hatayı (CVE-2023-33009 ve CVE-2023-33010, CVSS puanları: 9.8) silah haline getirdiğinden şüpheleniliyor, çünkü bunlar için yamalar şirket tarafından 24 Mayıs 2023'te yayınlandı.

Güvenliği ihlal edilen cihazlar, bazı durumlarda, ABD ve Hong Kong'daki isimsiz şirketlere karşı dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için kullanıldı.

SektorCERT, "Bazı güvenlik açıkları için istismar kodu 30/5 civarında kamuya açık hale geldikten sonra, Danimarka'nın kritik altyapısına yönelik saldırı girişimleri patladı - özellikle Polonya ve Ukrayna'daki IP adreslerinden" dedi.

Ajans, saldırıların saldırısının, etkilenen kuruluşların internet bağlantısını kesmesine ve ada moduna geçmesine neden olduğunu da sözlerine ekledi.

Ancak sadece ulus devlet aktörleri değil. Resecurity'nin bu hafta başlarında yayınladığı bir rapora göre, ilk erişim aracılarının (IAB'ler) nükleer enerji firmalarına yetkisiz erişimi aktif olarak teşvik etmesiyle enerji sektörü de fidye yazılımı grupları için giderek daha fazla odak noktası haline geliyor.

Gelişme, Censys'in, Sandworm da dahil olmak üzere Rus istihbarat teşkilatlarına saldırgan siber araçlar sağladığı iddia edilen Moskova merkezli bir BT yüklenicisi olan NTC Vulkan'a ait altı ana bilgisayarı keşfetmesiyle geldi.

Ayrıca, araştırma, bir NTC Vulkan sertifikası aracılığıyla Raccoon Security adlı bir grupla bir bağlantı ortaya çıkardı.

Censys Federal Uygulamalar Direktörü Matt Lembright, "Racoon Security, NTC Vulkan'ın bir markasıdır ve Raccoon Security'nin faaliyetlerinin, GRU tarafından sözleşmeli daha önce bahsedilen sızdırılmış girişimlere önceki veya mevcut katılımı içermesi mümkündür" dedi

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği