Siber Güvenlik Yetkilileri, Rus Devlet Destekli Saldırı Kritik Altyapısı Konusunda Uyardı
Rusya'nın Ukrayna'yı işgali küresel olarak birçok şeyi tetikledi. Siber saldırılar bile bir istisna değildir. Rusya ve Ukrayna üzerindeki gerilimler yükselirken, ABD ve müttefik ülkeleri, Rusya'ya ve onlara sağlanan malzemelere karşı çeşitli ekonomik maliyetler dayatıyor.
Rus Devlet Destekli tehdit aktörleri, son zamanlarda Ukrayna Hükümeti'ne ve altyapıyla ilgili kritik kuruluşlarına karşı DDoS ve yıkıcı kötü amaçlı yazılım dağıtımını içeren çeşitli siber saldırılar gerçekleştiriyor.
Bazı siber suç grupları Rusya'ya desteklerini artırdı ve bazıları ulusa karşıydı. CISA'nın paylaşımı, Rusya devlet destekli APT bilgisayar korsanlarının ve operasyonlarının yaygın olarak gözlemlenen TTP'lerine genel bir bakış sunuyor. Bu sürüm aşağıdaki kaynaklar tarafından da desteklenmektedir
- Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA)
- Avustralya Siber Güvenlik Merkezi (ACSC)
- Kanada Siber Güvenlik Merkezi (CCCS)
- Yeni Zelanda Ulusal Siber Güvenlik Merkezi (NZ NCSC)
- Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC-UK)
Teknik Paylaşım
Rusya Devlet Destekli Siber Operasyonlar
Rusya'dan siber aktörler son aylarda karmaşık ağlara girme ve sistemlerden veri sızdırma yeteneklerine bir bakış açısı gösteren birkaç altyapıyı tehlikeye attılar. Devlet destekli aktörler tarafından yürütülen iki büyük yıkıcı operasyon, Ukrayna Hükümeti'ne karşı olan BlackEnergy ve NotPetya'ydı.
Devlet destekli aktörlerin aşağıdaki kuruluşlardan olduğu tespit edildi:
- Rusya Federal Güvenlik Servisi (FSB)
- Rusya Dış İstihbarat Servisi (SVR)
- Rusya Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü (GRU)
- GRU'nun Özel Teknolojiler Ana Merkezi (GTsST)
- Rusya Savunma Bakanlığı, Kimya ve Mekanik Merkez Bilim Enstitüsü (TsNIIKhM)
CISA ayrıca bu örgütlere ve operasyonel yöntemlerine tam bir genel bakış yayınladı.
Rusya Bağlantılı Siber Tehdit Grupları
Rus Devlet Destekli Siber operasyonlar, APT Grupları olarak iki set daha PRIMITIVE BEAR ve VENOMOUS BEAR içeriyordu.
VENOMOUS BEAR – Bu grup, özel kötü amaçlı yazılım sunmak için yüksek hacimli hedef odaklı kimlik avı kampanyaları kullanarak 2013'ten beri Ukrayna Kuruluşlarını hedef aldı. Raporlar ayrıca bu grubun Rusya'nın işgaline öncülük ettiğini gösteriyor.
VENOMOUS BEAR – Bu grup NATO'yu (Kuzey Atlantik Antlaşması Örgütü), savunma müteahhitlerini ve istihbarat değeri olan kuruluşları hedef alıyordu. Bu grup, komut ve kontrol için bir Uydu (c2) kullanmasıyla ünlüdür. Bu grup ayrıca, son derece karmaşık olan özel olarak geliştirilmiş kötü amaçlı yazılımları kullanarak çeşitli altyapıların güvenliğini tehlikeye atmaktan da sorumluydu. Bu grup tarafından geliştirilen kötü amaçlı yazılım, bir sonraki varyantıyla da kullanılabilir.
Rusya Bağlantılı Siber Suç Grupları
Siber suç grupları finansal olarak motive edilmiştir. Devlet destekli olan grup, aşağıdakileri içeren operasyonel yöntemleri nedeniyle büyük bir tehdide sahiptir:
- Fidye yazılımı dağıtımı
- Web sitelerine yönelik DDoS saldırıları
- DDoS saldırılarına eşlik eden gasp
Küresel olarak tehdit oluşturan diğer birkaç siber suç grubu tespit edilmiştir. CISA'nın yayınlanan belgesi, aşağıda belirtilen siber suç grupları hakkında eksiksiz bir rapora sahiptir.
- The CoomingProject
- Killnet
- MUMMY SPIDER
- SALTY SPIDER
- SCULLY SPIDER
- SMOKEY SPIDER
- WIZARD SPIDER
- The Xaknet Team
Azaltma
CISA'nın tehdidi azaltmaya yönelik belgeleri çeşitli yöntemler içerir. Bunlardan bazıları,
- BT varlıklarındaki Yazılımları, İşletim Sistemlerini, Uygulamaları ve Ürün Yazılımını güncelleyin.
- MFA'yı zorunlu kılın.
- RDP ve potansiyel olarak riskli hizmetlerin yakından izleyin.
- Son kullanıcı farkındalığı eğitimi.
- OT varlıklarını harici erişimden koruyun.
Belgeler ayrıca Siber Olaylar, Kimlik ve Erişim Yönetimi, Koruyucu Kontroller ve Mimari, Güvenlik Açığı ve Yapılandırma Yönetimi ve Siber Olaylara ve Kaynaklara Yanıt Verme için hazırlıkları da içerir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News
