Sektörden Haberler

Rusya'nın OT Saldırıları da Dahil Olmak Üzere, Siber Savaş Araçlarının Ayrıntıları Sızdırılan belgelerde Ortaya Çıktı.

09 Nisan 2023

Rusya merkezli NTC Vulkan'dan sızdırılan belgelerde, şirketin Sandworm olarak bilinen Gelişmiş Kalıcı Tehdit (APT) aktörü dahil olmak üzere saldırgan hacking araçlarının geliştirilmesinde olası bir rol oynadığını gösteriyor.

Siber Güvenlik firması olan Mandiant firmasının raporlarına göre, Moskova merkezli NTC Vulkan, Rus kuruluşları ve devlet kurumlarıyla iş birliği yaptığının reklamını yaparken, devlet destekli grupların veya istihbarat servislerinin operasyonlarına dahil olduğundan bahsetmiyor.

Ancak 2016 ile 2020 arasında tarihlendirilmiş belgeler, şirketin Rus istihbaratı tarafından, Silahlı Kuvvetlerin, Genel Kurmayın ana istihbarat yönetim (GRU) 74455 birimi (ayrıca Sandworm, Telebots, Iron Viking ve Voodoo Bear olarak da bilinir) tarafından, araçların, eğitim programlarının ve bir sızma platformunun geliştirilmesi için sözleşme yaptığını gösteriyor.

Vulkan Dosyaları olarak adlandırılan sızdırılmış belgeler, bir ihbarcı tarafından elde edilerek, Mandiant tarafından Avrupa’daki ve Amerika Birleşik Devletleri'ndeki birçok büyük medya kuruluşuyla iş birliği içinde analiz edilmiştir.

Gerekli yeteneklerin gerçekten uygulanıp uygulanmadığı belirsiz olsa da  NTC Vulkan'ın potansiyel olarak operasyonel teknoloji (OT) sistemlerini hedef alan Rusya'nın siber ve bilgi operasyonlarını (IO) etkinleştiren projelere dahil olduğunu gösteren belgelerin meşru olduğuna Mandiant'ın inanmaktadır

Mandiant araçların nasıl ve ne zaman kullanılabileceğini gösteren kanıt tespit etmemiştir. Ancak, yeteneklerin analizine dayanarak, Rus destekli aktörler tarafından farklı türde siber operasyonlar yürütmek için takip edilen çeşitli yeteneklerin sadece birkaç parçasının temsil edildiğini belirtmiştir.

Analiz edilen belgelerde üç proje detaylandırılmıştır: Scan (2018-2019 tarihli,​ büyük ölçekli veri toplama işlemlerini destekler), Amesit (Amezit olarak da adlandırılır ve 2016-2018 tarihli, IO ve OT ile ilgili operasyonları destekler) ve Krystal-2B (2018-2020 tarihli, Amesit aracılığıyla koordine edilmiş IO/OT saldırılarının simülasyonu için bir çerçeve oluşturur).

Bilgi toplama için kapsamlı bir araç olan Scan, ağ, yapılandırma, zayıflık ayrıntılarını, diğer türdeki verileri toplayabilir ve operasyonlara hazırlık aşamasında keşif sürecini otomatikleştirir, operatörler arasında koordinasyon gerektirir.

Mandiant'ın belirttiği gibi, Scan projesinde önerilen çerçeve, GRU'nun bölgesel birimler arasında yüksek koordinasyonlu hızlı operasyonlar yapmayı sağlamaya çalıştığını gösteriyor. Bir zamanlar bölünmüş bir GRU siber operasyonu, Scan gibi bir çerçeve kullanarak daha verimli hale gelebilir.

Halkın fikirlerini şekillendirmeye ve manipüle etmeye odaklanan Amesit, medyanın izlenmesini, içerik oluşturulmasını, yayılmasını ve bir operasyonun etkinliliğinin değerlendirilmesini içeren tam bilgi işlem yaşam döngüsünü yönetebilir.

Saldırgan ve savunma egzersizlerini desteklemek için tasarlanan Krystal-2B, IO bileşenleri ile koordineli olarak OT ortamlarını hedef alan saldırılar için bir eğitim platformudur ve etki için Amesit kullanır. Platform, ulaşım ve hizmet sistemlerini hedef alan saldırı senaryolarını simüle etmek için kullanılır.

Mandiant'ın belirttiği gibi, Amesit ve Krystal-2B, bir ICS olayının etkisini belirlemede bilgi operasyonlarının rolünü vurgulayarak, özellikle OT operasyonlarına yönelik siber saldırıların psikolojik etkisine yüksek değer vermektedir. Farklı taktiklerin birleştirilmesi, Rus siber operasyonlarında tanıdık bir durumdur.

Üç projeyle ilgili belgeler, veri toplama ve işlemeye ilişkin gereklilikleri sağlıyor, operatörler için mevcut yetenekleri açıklıyor ve kimlik tespitini önlemek için saldırı yolları ve yöntemlerini ana hatlarıyla belirtirken, Rus istihbaratının enerji, petrol, gaz su hizmetleri ve ulaşım sistemleri gibi kritik altyapı hedeflerine olan ilgisini gösteriyor.


Kaynak: https://www.securityweek.com/leaked-documents-detail-russias-cyberwarfare-tools-including-for-ot-attacks/