Rus bilgisayar korsanları, Danimarka'nın kritik altyapısına 'şimdiye kadarki en büyük siber saldırı' ile bağlantılı
Rus tehdit aktörleri, Mayıs 2023'te ülkenin enerji sektörünün işleyişiyle ilişkili 22 şirketin hedef alındığı "Danimarka'nın kritik altyapısına yönelik en büyük siber saldırı" olarak tanımlanan saldırıyla muhtemelen bağlantılı.
Danimarka'nın SektorCERT'i, "Danimarka'nın kritik altyapısına karşı 22 eşzamanlı, başarılı siber saldırı yaygın değil" dedi. "Saldırganlar kimi hedef alacaklarını önceden biliyorlardı ve her seferinde doğru yaptılar. Bir kez bile bir atış hedefi ıskalamadı."
Ajans, bir veya daha fazla saldırıyı, Sandworm adı altında da izlenen ve endüstriyel kontrol sistemlerine yönelik yıkıcı siber saldırıları düzenleme geçmişine sahip olan Rusya'nın GRU askeri istihbarat teşkilatına bağlayan kanıtlar bulduğunu söyledi. Bu değerlendirme, bilgisayar korsanlığı ekibine kadar izlenen IP adresleriyle iletişim kuran yapıtlara dayanmaktadır.
Benzeri görülmemiş ve koordineli siber saldırılar, Nisan 2023'ün sonlarında açıklanan ve Zyxel güvenlik duvarlarını etkileyen kritik bir komut enjeksiyon kusuru olan CVE-2023-28771'den (CVSS puanı: 9.8) yararlanılarak 11 Mayıs'ta gerçekleşti.
Tehdit aktörleri, başarıyla sızan 11 şirkette, güvenlik duvarı yapılandırmalarının keşfini gerçekleştirmek ve bir sonraki eylem planını belirlemek için kötü amaçlı kod yürüttü.
"Bu tür bir koordinasyon planlama ve kaynak gerektirir," dedi SektorCERT olayların ayrıntılı bir zaman çizelgesinde. "Aynı anda saldırmanın avantajı, bir saldırı hakkındaki bilgilerin çok geç olmadan diğer hedeflere yayılamamasıdır."
"Bu, bilgi paylaşımının gücünü devre dışı bırakıyor, çünkü herkes aynı anda saldırıya uğradığı için devam eden saldırı hakkında kimse önceden uyarılamıyor. Alışılmadık ve son derece etkili."
Daha sonra 22-25 Mayıs tarihleri arasında daha önce görülmemiş siber silahlara sahip bir saldırı grubu tarafından daha fazla kuruluşu hedef alan ikinci bir saldırı dalgası kaydedildi ve bu da kampanyaya iki farklı tehdit aktörünün dahil olma olasılığını artırdı.
Bununla birlikte, grupların birbirleriyle işbirliği yapıp yapmadıkları, aynı işveren için çalışıp çalışmadıkları veya bağımsız hareket edip etmedikleri şu anda belli değil.
Bu saldırıların, güvenlik duvarlarını Mirai ve MooBot botnet'lerine dahil etmek için sıfır gün olarak Zyxel donanımındaki iki kritik hatayı (CVE-2023-33009 ve CVE-2023-33010, CVSS puanları: 9.8) silah haline getirdiğinden şüpheleniliyor, çünkü bunlar için yamalar şirket tarafından 24 Mayıs 2023'te yayınlandı.
Güvenliği ihlal edilen cihazlar, bazı durumlarda, ABD ve Hong Kong'daki isimsiz şirketlere karşı dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için kullanıldı.
SektorCERT, "Bazı güvenlik açıkları için istismar kodu 30/5 civarında kamuya açık hale geldikten sonra, Danimarka'nın kritik altyapısına yönelik saldırı girişimleri patladı - özellikle Polonya ve Ukrayna'daki IP adreslerinden" dedi.
Ajans, saldırıların saldırısının, etkilenen kuruluşların internet bağlantısını kesmesine ve ada moduna geçmesine neden olduğunu da sözlerine ekledi.
Ancak sadece ulus devlet aktörleri değil. Resecurity'nin bu hafta başlarında yayınladığı bir rapora göre, ilk erişim aracılarının (IAB'ler) nükleer enerji firmalarına yetkisiz erişimi aktif olarak teşvik etmesiyle enerji sektörü de fidye yazılımı grupları için giderek daha fazla odak noktası haline geliyor.
Gelişme, Censys'in, Sandworm da dahil olmak üzere Rus istihbarat teşkilatlarına saldırgan siber araçlar sağladığı iddia edilen Moskova merkezli bir BT yüklenicisi olan NTC Vulkan'a ait altı ana bilgisayarı keşfetmesiyle geldi.
Ayrıca, araştırma, bir NTC Vulkan sertifikası aracılığıyla Raccoon Security adlı bir grupla bir bağlantı ortaya çıkardı.
Censys Federal Uygulamalar Direktörü Matt Lembright, "Racoon Security, NTC Vulkan'ın bir markasıdır ve Raccoon Security'nin faaliyetlerinin, GRU tarafından sözleşmeli daha önce bahsedilen sızdırılmış girişimlere önceki veya mevcut katılımı içermesi mümkündür" dedi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı