Google’dan araştırmacılar, Rus yanlısı tehdit aktörlerinin, sahte Android uygulamaları, kritik güvenlik açıklarından yararlanan saldırı saldırıları ve giriş kimlik bilgilerini toplamaya çalışan e-posta kimlik avı saldırılarını içeren bir dizi kampanyayla Ukrayna hedeflerini amansız takip etmeye devam ettiğini söyledi.
En son kampanyalardan biri, en az 1997’den beri aktif olan ve dünyanın teknik açıdan en gelişmişleri arasında yer alan, Rusça konuşan, ileri düzeyde kalıcı bir tehdit aktörü olan Turla’dan geldi. Google’a göre grup, Rus web sitelerine karşı hizmet reddi saldırıları gerçekleştirmek için fırlatma rampası görevi gören Android uygulamalarıyla Ukrayna yanlısı gönüllüleri hedef aldı.
Uygulamayı tanıtan sahte web sitesi, “Süreci başlatmak için tek yapmanız gereken uygulamayı yüklemek, açmak ve başlat’a basmak” dedi. “Uygulama, Rus web sitelerine kaynaklarını zorlamak ve hizmet reddine neden olmak için hemen istek göndermeye başlar.”
Aslında, Google’ın tehdit analizi grubundan bir araştırmacı, uygulamanın hedef web sitesine tek bir GET isteği gönderdiğini söyledi. Perde arkasında, farklı bir Google araştırmacısı Vice’a, uygulamanın kullanıcının İnternet altyapısını haritalamak ve “bu tür saldırıları potansiyel olarak yapan kişilerin nerede olduğunu bulmak” için tasarlandığını söyledi.
Ukrayna Azak Alayı’nı taklit eden bir etki alanında barındırılan uygulamalar, Google’ın ilk kez Mart ayında gördüğü ve Rus sitelerine DoS saldırıları gerçekleştirdiğini iddia eden başka bir Android uygulamasını taklit etti. Turla uygulamalarından farklı olarak, stopwar.apk, ikinci uygulamanın adı olarak, kullanıcı onları durdurana kadar sürekli bir istek akışı gönderdi.
Google araştırmacısı Billy Leonard, “Analizimize dayanarak, StopWar uygulamasının Ukrayna yanlısı geliştiriciler tarafından geliştirildiğine ve Turla aktörlerinin sahte CyberAzov DoS uygulamasını temel aldığı şeye ilham kaynağı olduğuna inanıyoruz.”
Kremlin’in sponsor olduğu diğer hack grupları da Ukraynalı grupları hedef aldı. Kampanyalar, Windows’un desteklenen tüm sürümlerinde, iki aydan fazla bir süredir sıfır gün olarak aktif olarak hedeflenen kritik bir güvenlik açığına verilen ad olan Follina’nın istismarını içeriyordu.
Google araştırmacıları, Pawn Storm, Sofacy Group ve APT28 olarak bilinen Fancy Bear gibi çeşitli isimler altında izlenen Kremlin sponsorluğundaki farklı bir bilgisayar korsanlığı grubunun da Follina’yı virüs bulaştırmak amacıyla istismar ettiğini söyleyen Haziran ayındaki bir CERT-UA raporunu doğruladı. CredoMap olarak bilinen kötü amaçlı yazılımlarla hedefler. Ayrıca Google, Rus hükümeti tarafından desteklenen bir başka grup olan Sandworm’un da Follina’yı istismar ettiğini söyledi. Bu kampanya, öncelikle Ukrayna’daki medya kuruluşlarını hedefleyen, güvenliği ihlal edilmiş alanlarda barındırılan Microsoft Office belgelerine bağlantılar göndermek için güvenliği ihlal edilmiş devlet hesaplarını kullandı.
Bu arada güvenlik firması Palo Alto Networks, Salı günü yaptığı açıklamada, Rusya’nın Cloaked Ursa hack grubunun (APT29, Nobelium ve Cozy Bear olarak da bilinir) Rusya’nın Ukrayna’yı işgalinin başlangıcından bu yana kısmen kötü amaçlı dosyalar oluşturarak kötü amaçlı yazılım saldırılarını artırdığını bildirdi. Dropbox ve Google Drive’da indirilebilir. ABD ve İngiltere istihbarat servisleri, APT29’u açıkça Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağladı.
Palo Alto Networks araştırmacıları Mike Harbison ve Peter Renals, “Bu, grubun 2008 yılında Çeçenya ve diğer eski Sovyet bloğu ülkelerine yönelik kötü amaçlı yazılım kampanyalarına dayanan tarihi hedefleme odağıyla uyumludur.” Daha yakın zamanlarda, APT29, 2016’da keşfedilen ABD Demokratik Ulusal Komitesi’nin bir hack’iyle ve 2020’den itibaren SolarWindows tedarik zinciri saldırılarıyla bağlantılıydı.
Google, Ukrayna’yı hedef alan tüm tehdit gruplarının Kremlin sponsorluğunda olmadığını söyledi. Son zamanlarda, UAC-0098 olarak izlenen finansal olarak motive olmuş bir aktör, Ukrayna Devlet Vergi Dairesi’nin kimliğine büründü ve Follina’dan yararlanmaya çalışan kötü niyetli belgeler teslim etti. Google, aktörün daha önce Conti fidye yazılımı grubuyla çalışan eski bir fidye yazılımı erişim komisyoncusu olduğunu söyledi.
Çarşamba günü, ABD Siber Komutanlığı, ajansın son aylarda Ukraynalı varlıkları hedef alan çeşitli kötü amaçlı yazılım türleri hakkında söyledikleriyle ilgili teknik ayrıntıları paylaştı. Kötü amaçlı yazılım örnekleri VirusTotal, Pastebin ve GitHub’da mevcuttur. Güvenlik firması Mandiant, biri UNC1151 olarak izlenen ve Mandiant tarafından Belarus hükümetine atfedilen ve diğeri UNC2589 olarak izlenen ve firmanın “Rus hükümetinin çıkarlarını desteklemek için hareket ettiğine inanılan ve yürüttüğü” adlı kötü amaçlı yazılımı iki ayrı casusluk grubunun kullandığını söyledi. Ukrayna’da kapsamlı casusluk koleksiyonu.”
Avrupa Birliği de bu hafta Rus hükümetine seslendi ve yakın tarihli bir dağıtılmış hizmet reddi kampanyasının işgalinden bu yana başlattığı siber saldırıların yalnızca en son örneği olduğunu belirtti.
AB yetkilileri, “Rusya’nın Ukrayna’ya karşı kışkırtılmamış ve haksız askeri saldırganlığına, küresel olarak temel varlıkları ayrım gözetmeksizin hedef alan çarpıcı ve endişe verici sayıda bilgisayar korsanı ve bilgisayar korsanı grupları da dahil olmak üzere kötü niyetli siber faaliyetlerde önemli bir artış eşlik etti.” “Ukrayna’ya karşı savaş bağlamında kötü niyetli siber faaliyetlerdeki bu artış, yayılma etkileri, yanlış yorumlama ve olası tırmanış gibi kabul edilemez riskler yaratıyor.”