Getty Resimleri
Microsoft Perşembe günü, geçen ay Polonya ve Ukrayna ulaşım ve lojistik organizasyonlarını hedef alan fidye yazılım saldırılarının arkasındaki muhtemel suçlu olarak Rusya’nın askeri istihbarat kolunu parmakladı.
Microsoft Güvenlik Tehdit İstihbarat Merkezi (MSTIC) üyelerinin değerlendirmesi doğruysa, ABD hükümeti ve Avrupalı meslektaşları için endişe kaynağı olabilir. Polonya bir NATO üyesidir ve sebepsiz yere bir Rus işgalini savuşturmak için Ukrayna’nın sadık bir destekçisidir. Yazılım şirketinin siber saldırılarla bağlantılı olduğu – daha geniş araştırma çevrelerinde Sandworm ve Redmond, Washington’daki Iridium olarak bilinen – hack grubu, dünyanın en yetenekli ve yıkıcılarından biri ve Rusya’nın GRU askeri istihbarat teşkilatı tarafından desteklendiğine inanılıyor.
Sandworm, bir Beyaz Saray değerlendirmesinin 10 milyar dolarlık hasara neden olduğunu ve onu tarihteki en maliyetli hack haline getirdiğini söylediği küresel bir salgın olan 2017 NotPetya silecek saldırıları ile kesin olarak bağlantılıdır. Sandworm ayrıca, 2016’nın en soğuk aylarında ve yine 2017’de yaygın kesintilere neden olan Ukrayna’nın elektrik şebekesine yönelik saldırılarla kesin olarak bağlantılıdır.
Prestij Girin
Geçen ay Microsoft, Polonya ve Ukrayna taşımacılık ve lojistik kuruluşlarının, kendisini Prestij olarak ilan eden ve daha önce hiç görülmemiş fidye yazılımlarını kullanan siber saldırıların hedefi olduğunu söyledi. Microsoft, tehdit aktörlerinin kurban ağları üzerinde kontrolü zaten ele geçirdiğini söyledi. Ardından 11 Ekim’de bir saat içinde bilgisayar korsanları Prestige’i tüm kurbanlarına dağıttı.
Fidye yazılımı yerleştirildikten sonra, virüslü bilgisayarın sistemindeki tüm dosyaları gezdi ve .txt, .png, gpg ve 200’den fazla uzantıyla biten dosyaların içeriğini şifreledi. Prestige daha sonra dosyanın mevcut uzantısına .enc uzantısını ekledi. Microsoft, saldırıyı DEV-0960 olarak adlandırdığı bilinmeyen bir tehdit grubuna bağladı.
Perşembe günü Microsoft, kurban bilimi, ticari zanaat, yetenekler ve altyapıdaki adli eserlere ve örtüşmelere dayanarak, araştırmacıların DEV-0960’ın büyük olasılıkla Iridyum olduğunu belirlediğini söylemek için raporu güncelledi.
MSTIC üyeleri, “Prestij kampanyası, Iridium’un yıkıcı saldırı hesabındaki ölçülü bir değişimi vurgulayabilir ve Ukrayna’ya doğrudan insani veya askeri yardım sağlayan veya taşıyan kuruluşlar için artan risk sinyalini verebilir” dedi. Daha geniş anlamda, Rus devleti tarafından savaşla ilgili destek sağladığı düşünülebilecek Doğu Avrupa’daki kuruluşlar için artan bir riski temsil edebilir.
Perşembe günkü güncelleme, Prestige kampanyasının, Ukrayna’daki birden fazla kritik altyapıyı hedeflemek için AprilAxe (ArguePatch)/CaddyWiper veya Foxblade (HermeticWiper) olarak izlenen kötü amaçlı yazılımları kullanan son iki haftadaki yıkıcı saldırılardan farklı olduğunu söylemeye devam etti. Araştırmacılar, bu eylemlerin arkasında hangi tehdit grubunun olduğunu hala bilmediklerini söylese de, artık Prestij saldırılarının arkasındaki grup olarak Iridium’u parmaklamak için yeterli kanıtları var. Microsoft, “Iridium’dan etkilenen ancak henüz fidye almayan” müşterileri bilgilendirme sürecinde olduğunu yazdılar.
Saldırıların karmaşıklığının altını çizen Iridium üyeleri, Prestige’i hedeflenen ağlarda dağıtmak için birden fazla yöntem kullandı. Şunları içeriyorlardı:
Windows zamanlanmış görevler
Microsoft
kodlanmış PowerShell komutlarıve
Microsoft
Varsayılan Etki Alanı Grup İlkesi Nesneleri
Microsoft
MSTIC üyeleri, “Çoğu fidye yazılımı operatörü, yük dağıtımı ve yürütülmesi için tercih edilen bir ticari araç seti geliştirir ve bu ticari araç, bir güvenlik yapılandırması tercih ettikleri yöntemi engellemediği sürece, kurbanlar arasında tutarlı olma eğilimindedir” dedi. “Bu Iridium etkinliği için, fidye yazılımını dağıtmak için kullanılan yöntemler, kurban ortamlarında farklılık gösteriyor, ancak bunun nedeni, saldırganın aynı teknikleri kullanmasını engelleyen güvenlik yapılandırmaları gibi görünmüyor. Fidye yazılımı dağıtımlarının tümü bir saat içinde gerçekleştiği için bu özellikle dikkate değer.”
Gönderi, insanların hedef alınıp alınmadıklarını anlamalarına yardımcı olabilecek teknik göstergeler içeriyor.
Tartışmaya git…
