Rusya Siber Olaylara Yönelik Ulusal Koordinasyon Merkezi (NKTsKI) ve ülkenin telekom devlerinden Rostelecom’un geçen hafta yayımladığı raporda yabancı siber tehdit unsurlarının Rusya’nın resmi kurumlarından veri hırsızlığı yaptığını duyurdu.
Raporda, “Eğitim ve nitelik (teknolojileri kullanma, yaptıkları işlerin hızları) olarak değerlendirdiğimizde bu grubu, yabancı bir devletin çıkarlarını gözeten paralı siber aktörler olarak sınıflandırıyoruz.” ifadelerine yer verildi.
SALDIRILAR 2020 YILINDA GERÇEKLEŞTİ
Rostelecom ve NKTsKI, hackerların Rusya’nın devlet kurumlarına erişmek için kimlik avı, web uygulamalarındaki zafiyetleri ve devlete hizmet veren firmaların BT altyapılarını kullandıklarını açıkladı. Rapora göre tehdit aktörleri saldırıları geçen yıl gerçekleştirdi.
Raporda, “Saldırganlar altyapıların güvenliğini ihlal ettikten sonra e-posta sunucularından, elektronik döküman sunucularından, dosya sunucularından ve çeşitli iş istasyonlarından gözettikleri çıkarlara göre çeşitli düzeylerde gizli bilgileri toplamaya devam etti.” ifadeleri yer aldı.
AKTÖRLER DAHA ÖNCE GÖRÜLMEMİŞ ZARARLI YAZILIMLARI KULLANMIŞ
Siber saldırganların, kurbanlara eriştiklerinde daha önce görülmemiş Mail-O ve Webdav-O adında iki zararlı yazılım kullandığı ortaya çıktı. Rapora göre siber saldırganlar söz konusu yazılımlarla arka kapılardan faydalanarak güvenliği ihlal edilmiş cihazlar üzerinde kod yürütebiliyor ve veri çalabiliyor.
Rusya’daki yerel bulut hizmeti sağlayıcılarının komuta ve kontrol altyapılarına saldıran Mail-O, Mail.Ru’nun çevrimiçi bulut depolama hizmeti Mail.ru Cloud sunucularını hedef aldı.
Webdav-O ise Yandex.Disk’i hedef aldı. Raporda her iki zararlı yazılımın, Kaspersky antivirüs yazılımlarını atlaması için tasarlandığı ifade edildi.
Rus yetkililer, yaşanan saldırının arkasında hangi ülke olduğu konusunda bilgi vermedi.
Söz konusu raporun, ABD’de yaşanan Solarwinds saldırısından sonra Rus hükümetini suçlamasından 1 ay sonra yayımlanması dikkati çekti.
