Sektörden Haberler

Ukrayna’nın CERT’i, APT28 Hacker Grubunun Kritik Enerji Altyapısına Yönelik Siber Saldırısını Açıkladı

08 Eylül 2023

Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) 5 Eylül günü ülkedeki kritik bir enerji altyapısı tesisine yönelik hedefli bir siber saldırı olduğunu açıklamıştır. Danışman, açıklanan faaliyetin Rus devlet destekli APT28 hacker grubu tarafından gerçekleştirildiğini de eklemiştir. 

Açıklamada, yapılan saldırıların fishing mail saldırısı ile başlatıldığını, Ayrıca, hesabın parola karmasını elde etmek için bir PowerShell betiği kullanıldığını, Koruma araçlarını atlatmak için saldırganların normal programların (LOLBAS olarak adlandırılan) işlevlerini kullanmaya ve bir kontrol kanalı oluşturmaya devam ettiklerini ve böylece ilgili hizmetleri kötüye kullanmaya çalıştıklarını ve kendilerince engellendiklerini belirtmiştir.

Tehdit istihbaratı firması Mandiant , APT28'in kötü amaçlı yazılımının siber güvenlik camiasında oldukça iyi bilindiğini, APT28 grubunun, hükümete en yararlı olacak istihbaratı toplamaya odaklandığını,  2007'den bu yana hükümetler, ordular ve güvenlik örgütleriyle ilgili, muhtemelen Rus hükümetine fayda sağlayacak ayrıcalıklı bilgileri hedef aldığının tespit edildiğini eklemiştir.  

Mandiant, APT28 hacker grubunun amaçları, teknikleri, taktikleri ve prosedürleri ile benzersiz bir anlayışa sahip olduğunu belirtmiştir. Ayrıca, geliştiricilerin, Moskova ve St. Petersburg da dahil olmak üzere Rusya'nın büyük şehirlerinin saat dilimleriyle tutarlı olan iş saatlerinde çalışan, Rusça konuşan kişiler olduğunu gösteren ayrıntılar içeren çeşitli kötü amaçlı yazılım örnekleri de tanımlamıştır.

Nisan ayında, ABD ve İngiltere'deki önde gelen güvenlik kurumları, APT28'in Cisco yönlendiricilerini kullanmasıyla ilişkili ortak bir Siber Güvenlik Danışma  raporu yayınlamıştır. Ajanslar, APT28 hacker grubunun, yönlendiricileri tespit etmek ve kötü amaçlı yazılım dağıtmak için bilinen bir güvenlik açığından yararlandığını, aynı zamanda bakımı yetersiz Cisco yönlendiricilerine eriştiğini ve CVE-2017-6742 kullanarak yama yapılmamış cihazlara kötü amaçlı yazılım dağıttığını değerlendirmektedir.

 

Kaynak:     https://industrialcyber.co/industrial-cyber-attacks/ukraines-cert-discloses-cyberattack-on-critical-energy-infrastructure-by-apt28-hacker-group/