Sektörden Haberler

Rus Hacker'lar NATO Üyesi Bir Ülkenin Petrol Rafinerisini Hedef Aldı

20 Aralık 2022

Rusya bağlantılı Gamaredon grubunun, Rus-Ukrayna savaşının devam ettiği 2022 yılının ortasında NATO üyesi bir ülkedeki büyük bir petrol rafineri şirketine sızma girişimi başarısızlıkla sonuçlanmıştır.

Federal Güvenlik Servisi'ne ( FSB ) atfedilen ve 30 Ağustos 2022'de gerçekleşen saldırı, ilgili grup tarafından düzenlenen çok sayıda saldırı girişiminden  yalnızca biridir.

Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm , Trident Ursa ve Winterflounder takma adlarıyla da bilinen Gamaredon grubunun, hassas verileri toplamak için öncelikle Ukraynalı kuruluşları ve kısmen NATO üyesi ülkelere ait kuruluşları hedef aldığı açıkça görülmektedir.

The Hacker News ile paylaşılan bir raporda Palo Alto Networks Unit 42, Karada ve siber uzayda çatışma devam ederken, Trident Ursa’nın özel bir erişim yaratıcısı ve istihbarat toplayıcı olarak faaliyet gösterdiğini ve Trident Ursa’nın, Ukrayna'yı hedef alan en yaygın, müdahaleci, sürekli aktif ve odaklanmış  tehdit aktörlerinden biri olmaya devam ettiğini açıklamıştır.

Grubun faaliyetlerini sürekli olarak izleyen Unit 42; sürekli değişen ve genişleyen önceliklere yanıt olarak 10 ayda 500'den fazla yeni etki alanı, 200 kötü amaçlı yazılım örneği ve taktiklerinde çok sayıda değişiklik olduğunu ortaya çıkarmıştır.

Güvenlik araştırmacıları; Şubat 2022'de, Gamaredon'un sözde bir çalışanı tarafından atılan tweetlerin, Siber saldırıların ötesinde, düşman tarafından benimsenen sindirme teknikleri olduğunun altını çizmektedir.

Diğer kayda değer yöntemler arasında, komuta ve kontrol (C2) sunucularını aramak için Telegram sayfalarının kullanılması ve hızlı akış DNS'nin kullanılması yer almaktadır. Bu sayede kısa bir süre içinde birçok IP adresi arasında geçiş yapma imkanı bularak, IP tabanlı reddetme listesi oluşturma ve yayından kaldırma çabalarını zorlaştırmaktadır. 

Yapılan saldırı profili, ilk öncelikle güvenliği ihlal edilmiş ana bilgisayarda kalıcılık oluşturabilmek ve C2 sunucusu tarafından sağlanan ek VBScript kodunu çalıştırabilen bir VBScript arka kapısı konuşlandırmak için, kimlik avı e-postalarına gömülü zararlı bulaştırılmış eklerin gönderilmesi olarak belirlenmiştir.

Gamaredon, Coğrafi engelleme mekanizmasının kör noktalarından yararlandığı, sonraki aşamada VBScript komutlarını başlatmak için dropper yürütülebilir dosyaları kullandığı ve daha sonra başka komutları yürütmek için C2 sunucusuna bağladığı gözlemlenmiştir.

Coğrafi engelleme mekanizması, tehdit aktörünün tahmin edilen ülkeler dışındaki saldırılarının görünürlüğünü azaltan ve faaliyetlerinin izlenmesini zorlaştıran bir güvenlik kör noktası işlevi görmektedir.

Araştırmacılar, Trident Ursa’nın, operasyonlarında aşırı karmaşık teknikler kullanmayan, çevik ve uyarlanabilir bir APT olduğunu, çoğu durumda, operasyonlarını başarılı bir şekilde yürütmek için karartma ile birlikte rutin kimlik avı girişimlerinin yanı sıra halka açık araçları kullandıklarını belirtmiştir.

Bu basit saldırı teknikleri insan hatası yada dikkatsizliğinin siber saldırılar açısından ne kadar önemli sonuçları olabildiğini göstermektedir. Gerekli siber güvenlik tedbirleri alınmasının yanında kullanıcılara farkındalık eğitiminin de verilmesi gerekmektedir.

 

 

 

Kaynak:     https://thehackernews.com/2022/12/russian-hackers-target-major-petroleum.html