Kremlin’e sadık tehdit aktörleri, Alman bankalarını ve diğer kuruluşları vuran hizmet engelleme saldırıları ve Ukrayna’ya yönelik yeni bir yıkıcı veri sileceğinin serbest bırakılmasıyla Ukrayna’nın işgalini desteklemek için saldırılarını artırdı.
Bu ülkedeki siber güvenliği izleyen Almanya’nın BSI ajansı, saldırıların küçük kesintilere neden olduğunu ancak sonuçta çok az hasar verdiğini söyledi.
BSI, haber ajanslarına yaptığı açıklamada, “Şu anda bazı web sitelerine erişilemiyor” dedi. “Şu anda ilgili hizmet üzerinde herhangi bir doğrudan etki belirtisi yok ve BSI’nın değerlendirmesine göre, olağan koruyucu önlemler alınırsa bunların olması beklenmiyor.”
Tipik olarak DDoSes olarak adlandırılan dağıtılmış hizmet reddi saldırıları, Alman hükümetinin gelişmiş Leopard 2 tanklarının Ukrayna’ya tedarik edilmesine izin verme kararına misilleme olarak geldi. Güvenlik şirketi Cado Labs’taki araştırmacılar Çarşamba günü, aralarında Killnet diyen birinin de bulunduğu Rusça bilgisayar korsanlığı gruplarının, üyelerine Almanya’daki hedeflere karşı DDoS’lar başlatmaları çağrısında bulunduğunu söyledi. Salı günü Leopard 2 tank kararının yakın göründüğü bir zamanda başlayan kampanya, “#GermanyRIP” anlamına gelen #ГерманияRIP hashtag’ini kullandı.
Kısa süre sonra Rusça konuşan diğer gruplardan, Hamburg, Dortmund, Dresden ve Düsseldorf dahil olmak üzere büyük Alman havaalanlarının web sitelerine yönelik saldırıları iddia eden mesajlar geldi; Alman kalkınma ajansı GIZ; Almanya’nın ulusal polis sitesi; Alman bankası; ve online ödeme sistemi Giropay. Saldırılardan herhangi birinin siteleri başarıyla kapatıp kapatmadığı net değildi.
Bu arada kendilerine “Anonim Sudan” adını veren başka bir grup da, Killnet’i desteklemek için Alman dış istihbarat servisi ve Almanya Kabinesinin web sitelerine yönelik DDoS saldırılarının sorumluluğunu üstlendi.
Cado Labs araştırmacıları, “Rusya-Ukrayna savaşı boyunca gördüğümüz gibi, siber tehdit aktörleri jeopolitik olaylara hızlı tepki veriyor ve benzer amaçlara sahip grupları birleştirme ve harekete geçirme konusunda başarılı.” “Anonymous’un Sudan versiyonu olduğu iddia edilen bir grubun dahil olması ilginç, çünkü bu, Rusça konuşan bilgisayar korsanlığı gruplarının bu seferberliği ve uluslararası düzeyde işbirliğini yürütme becerisini gösteriyor.”
Killnet, Rusya’nın Ukrayna’yı işgalinden kısa bir süre sonra ortaya çıktı. Geçen Haziran ayında, Litvanya’nın siber uzayda ulusal güvenliği sağlamaya yönelik stratejisinin uygulanmasına yardımcı olan Güvenli Ulusal Veri Aktarım Ağı’nın bölümleri de dahil olmak üzere, ülkenin kritik altyapısında Litvanya hükümetinin “yoğun” DDoS’lar olarak adlandırdığı şeyler için kredi aldı. O sırada bir Killnet Telegram kanalında yapılan tartışmalar, saldırıların Baltık hükümetinin o ayın başlarında Rusya’ya geçiş yollarını kapatmasına misilleme olarak yapıldığını gösterdi.
Eylül ayında, güvenlik şirketi Mandiant, Killnet’in Kremlin ile dolaylı bağlantıları olduğuna dair kanıtlar ortaya çıkardığını söyledi. Mandiant araştırmacıları özellikle, Killnet’in bazı faaliyetlerini Xaknet adlı bir grupla koordine ettiğini ve buna karşılık Xaknet’in bazı faaliyetlerini Rus Ana İstihbarat Müdürlüğü veya GRU’dan tehdit aktörleriyle koordine ettiğini söyledi.
İlgili bir haberde, Cuma günü güvenlik firması Eset’ten araştırmacılar bildirildi Sandworm olarak bilinen Kremlin destekli başka bir tehdit aktörünün, Ukrayna hedeflerine daha önce hiç görülmemiş bir veri sileceği salıverdiğini. SwiftSlicer adlı yıkıcı kötü amaçlı yazılım, Go programlama dilinde yazılmıştır ve verilerin üzerine yazmak için rastgele oluşturulmuş 4096 baytlık bloklar kullanır.
