Merhaba değerli Tech Dergi takipçileri bildiğiniz gibi Rusya ve Ukrayna arasında ki savaş uzun bir zamandır devam ediyor. Bunun yanında birçok Hacker Grubu da bu savaşa dahil oldu bunlardan biri de Gamaredon Hacker grubu oldu. Rusyanın inatçı bölgesel politikaları ve Ukraynanın pes etmeyen idealleri savaşı daha ileri boyutlara taşıdı. Rusya savaşta birçok kayıp verdi, Askeri birliklerini kaybeden Rusya bunun altında kalmayıp Kiev ve Harkov gibi Ukrayna için önemli olan büyük şehirleri neredeyse hayalet şehir olacak duruma getirdi. Tahribatın ve sivil kayıpların da büyük olduğu Ülke Avrupa ve ABD desteği ile bazı merkez üstleri geri kazanırken geçtiğimiz günlerde Rusya ile çok farklı bir muhabere meydanında kendini buldu. Rusyanın Gamaredon Hacker grubu ile girdiği bu savaş hakkında ki gelişmeler yazımızın devamında.
BlackBerry Araştırma ve İstihbarat Ekibi Saldırıyı Deşifre Etti!
Rusya, Ukraynaya karşı Gamaredon kod adı ile bilinen Bilgisayar Korsanı grubu Siber Saldırı amaçlı kullanmaya başladı. Gamaredon olarak bilinen Rus Devlet destekli siber casusluk grubu, Ülkedeki askeri ve kolluk gücü sektörlerini vurmak için popüler mesajlaşma uygulaması Telegram’dan yararlanan Gamaredon grubu son saldırılar ile Ukrayna’ya yönelik dijital bir savaş açmış durumda.
Black Berry Araştırma ve İstihbarat Ekibi tarafından paylaşılan bir raporda;
Gamaredon grubunun ağ altyapısı, kurban profillemesi ve coğrafi konumun doğrulanması için çok aşamalı Telegram hesaplarına dayanıyor ve ardından kurbanı son yük için bir sonraki aşama sunucusuna yönlendiriyor dedi. Sahte Hacker Haberleri ile tuzağa düşürülen hesaplar birçok önemli İş adamı, Politikacı, Devlet görevlisi ve gazeteci gruplara ait olduğu düşünülüyor.
Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm , Trident Ursa ve Winterflounder gibi isimlerle de bilinen Gamaredon, en az 2013’ten bu yana Ukrayna varlıklarına yönelik saldırılarıyla biliniyor. Son günlerde Telegram ile başladığı bu saldırı yöntemi ile Ukrayna’ya karşı yapılan en büyük Siber Saldırı ağını kurmayı hedefleyen grup, Devletin diğer önemli kurumlarını da hedefine almış durumda.
Ukrayna Devletinin Microsoft Office Belgeleri Yem Olarak Kullanıldı!
Bu saldırılar başlamadan önce Geçen ay, Palo Alto Networks Birimi 42 tehdit aktörünün Rusya Ukrayna savaşı sırasında bir NATO üyesi Devlette yer alan isimsiz bir petrol arıtma şirketine girmeye yönelik başarısız girişimlerini ifşa etti. Bunun üzerine doğal kaynak ve enerji sektöründe saldırılarına ara veren grup Telegram ile Ukrayna’yı tehdit etmeye devam ediyor.
Tehdit aktörü Siber saldırı grubu tarafından oluşturulan saldırı zincirleri, hassas bilgileri toplayabilen kötü amaçlı yazılım dağıtmak için hedef odaklı kimlik avı E-postalarında yem olarak Ukrayna Devlet kuruluşlarından alınan meşru Microsoft Office belgelerini kullandı. Böylece tuzak zincirinin ve saldırıların başarı olasılığı da bir hayli yükseldi.
Bu belgeler açıldığında, uzak bir kaynaktan kötü amaçlı bir şablon yüklenir ve uzak şablon enjeksiyonu adı verilen yeni bir teknik ile hedef sistemleri ihlal etmek ve enfeksiyonu yaymak için makroları etkinleştirme ihtiyacını etkili bir şekilde giderir bunun sonucunda hedef cihaz ve tüm bilgileri iflas bayrağını çeker.
BlackBerry’den elde edilen son bulgular, kötü amaçlı yazılımı barındıran sunucunun IP adresini almak için sabit kodlu bir Telegram kanalının kullanıldığı grubun taktiklerinde bir gelişme olduğunu gösteriyor. IP adresleri, radarın altında uçmak için periyodik olarak döndürülüyor bu şekilde bir samanlığın içinde iğne aramaktan farksız bir durum ortaya çıkıyor. Bu amaçla, uzak şablon bir VBA betiğini getirecek şekilde tasarlanmıştır. Bu bir VBScript dosyasını hesaba bırakır ve ardından Telegram kanalında belirtilen IP adresine bağlanan bir sonraki aşamayı sırasıyla gelecek şekilde bir PowerShell betiğini getirmek için bağlanır. bir PHP dosyası elde etmek için farklı bir IP adresi ile tekrar tekrar bu devam edecektir.
Ayrıca, yoğun şekilde gizlenmiş VBA betiğinin yalnızca hedefin IP adresi Ukrayna’da bulunuyorsa teslim edildiğini belirtmekte fayda var.
BlackBerry konuyla ilgili açıklamasında;
Tehdit grubu, IP adreslerini dinamik olarak değiştiriyor, bu da, örnek eskidikten sonra sanal alan teknikleriyle analizi otomatikleştirmek daha da zorlaştırıyor. Şüpheli IP adreslerinin yalnızca Doğu Avrupa çalışma saatlerinde değişmesi gerçeği, tehdit aktörünün tek bir yerden çalıştığını ve büyük olasılıkla Ukrayna’ya karşı kötü niyetli operasyonlar yürüten saldırgan bir siber birime ait olduğunu güçlü bir şekilde gösteriyor.
BlackBerry Security Department
İlginç ve konu üzerine düşündüren bir Gelişmede Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin CERT-UA Ukrayna Ulusal Haber Ajansı’nı hedef alan yıkıcı bir kötü amaçlı yazılım saldırısını Rusya bağlantılı Sandworm bilgisayar korsanlığı grubuna olan bağlantısını ifşa etmesi ile gelmesi oldu. Ukrayna Devlet güvenliği kurumları gerekli önlemleri alırken Rusya da sanal Devlet destekli ordusunu Ukrayna üzerine ateşlemeye devam ediyor. Savaş hem sahada hem sanal ortamda devam ederken gelişmeler ve güncel haberler Tech Dergi ayrıcalıkları ile sizlerle olacak.
Yeni bir konuda görüşmek üzere takipte kalın güncel kalın.
Yeniliklerden ve güncel gelişmelerden ilk siz haberdar olmak istiyorsanız Tech Dergi Twitter adresimizi takip etmeyi unutmayın.
GÜNCEL KONULAR: