İngiltere, her ne kadar Doğu Avrupa’da aktif olup olmadıklarına dair bir açıklama yapmamış olsa da güvenlik kaynakları çevrimiçi elit bir birimin siber ortamda aktif olduklarını açıkladı.
Üst düzey bir yetkili konuyla ilgili şunları söyledi: “Vardiyalı olarak uzun saatler çalıştıklarını söylemek yanlış olmaz.”
BAŞBAKAN 2020 SONUNDA NCF’DEN BAHSETTİ
NCF olarak bilinen birimin varlığı ilk olarak 2020’nin sonlarında Başbakan tarafından dile getirildi. Söz konusu birim, İngiliz istihbaratı MI6’dan casusların yanı sıra Savunma Bakanlığı uzmanlığı ve Cheltenham’daki İngiltere Hükümet İletişim Merkezi (GCHQ)’dan dinleme uzmanlarını bir araya getiriyor.
Dışişleri Bakanı Liz Truss, geçtiğimiz yıl şunları söylemişti: “Ulusal Siber Güç, kötü niyetli aktörlerin saldırgan davranışlarını karşılama noktasında yardımcı olacak.”
Bahsi geçen birimin taktikleri arasında, saldırıları önlemek için hava savunmasına, cep telefonu trafiğine veya bilgisayar sunucularına nüfuz etmek gibi eylemler olacağı tahmin ediliyor.
SALDIRGANLARLA DOĞRUDAN İLETİŞİME GEÇECEKLER
NCF siber casusları, moral bozmak ve caydırmaya yönelik olarak saldırganlarla doğrudan iletişim kurma yeteneğine de sahip.
Siber Güç için 2030 yılına kadar Lancashire’daki Samlesbury’de 5 milyar sterlinlik yeni bir teknoloji karargahı planlandığı belirtildi.
Rusya’nın Ukrayna’daki bazı hedeflere karşı başarısız olunca, yeni siber silahlar geliştirerek saldırılarını devam ettiriyor.
Ukrayna’yı hedef alan siber saldırıları sonrası yeni bir data wiper zararlı yazılımı tespit edildi.
Daha önce Rusya’nın kullandığı HermeticWiper’dan etkilenmeyen bir kurumda, IsaacWiper adlı veri yok eden data wiper zararlı yazılımının 24 Şubat’ta başlayan saldırılarda devreye sokulduğu tespit edildi.
RUSLARIN SALDIRI ÖNCESİ ERİŞİMİ VARMIŞ
Rusya destekli olduğu tahmin edilen tehdit aktörleri söz konusu yazılımla, Ukrayna’daki devlet kurumlarının bilgisayar sistemlerini devre dışı bırakmayı hedefliyor.
IsaacWiper’ın Rusya’yla ilişkin olduğuna dair henüz somut bir kanıt bulunamazken, siber tehdit unsurlarının yazılımın bulaştığı sistemlerin Active Directory sunucularına önceden erişimi olduğu ortaya çıktı.
Tehdit aktörlerinin ayrıca IsaacWiper’la saldıp hedefine ulaşamadığı yerlerde yazılımın yeni bir versiyonunu 25 Şubat’ta kullanmaya başladığı anlaşıldı.
Saldırganların sistemlere erişmek için Impacket ve RemCom adlı uzaktan erişim yazılımlarını kullandığından şüpheleniliyor.
FARK EDİLMEMEK İÇİN KENDİSİNİ SİLİYOR
Ukrayna’da tespit edilen ilk datawiper olan HermeticWiper ile ilgili yapılan araştırmalarda zararlı yazılımın saldırı izlerini silmek için kendi dosyalarını ortadan kaldırdığı ve böylece fark edilmekten saklandığı belirlendi.
Windows işletim sistemi kullanan cihazları hedef alan HermeticWiper, Windows’ta bulunan Master Boot Record (Ara Önyükleme Kaydı) özelliğini kullanarak sistemlerin boot hatasına vermesine neden oluyor. Bu yolla kritik bilgilerin bulunduğu sistemler erişilemez hale geliyor.
Ön yükleme kaydı bozulduktan sonra, sahte bir fidye yazılımı gönderiliyor ve dosyalar şifreleniyor.
Üç aşamalı olarak programlanan söz konusu yazılım, önce verileri silmek için HermeticWiper’ı kullanıyor sonra yerel ağda yayılmak amacıyla HermeticWizard çalışıyor. Son aşamada ise tuzak bir fidye yazılımı olarak da HermeticRansom devreye sokuluyor.
Ukrayna’yı hedef alan ve kötü amaçlı veri imha yazılımı kullanılarak gerçekleştirilen siber saldırıların Kasım ayında planlandığı ve yem olarak fidye yazılımı kullanıldığı ortaya çıktı.
Siber güvenlik firmaları ESET ve Broadcom’s Symantec’ten araştırmacılar, Ukrayna’da yüzlerce cihazı hedef alan son saldırı dalgasında kullanılan yeni bir tür kötü amaçlı “veri imha yazılımı” keşfetti.
ESET’in attığı bir tweet, şirketin telemetresinin (uzaktan ölçüm) ülkedeki yüzlerce cihazda “HermeticWiper” (aka KillDisk.NVC) adlı yazılımın varlığını tespit ettiğini ortaya koydu. Güvenlik firmasına göre, cihazlara virüs bulaşması Dışişleri Bakanlığı, Bakanlar Kurulu ve Rada da dahil olmak üzere birçok Ukraynalı web sitesine yönelik DDoS saldırılarının ardından gerçekleşti.
Yazılımın ilk örneği ESET tarafından geçtiğimiz perşembe 14:52 civarında gözlemlendi, ancak daha ilginç olanı, örneklerden birinin 28.12.2021 tarihli zaman damgasına sahip olmasıydı. Zira bu durum siber saldırının neredeyse iki aydır hazırlık aşamasında olabileceğini düşündürüyor.
Kötü amaçlı yazılım, Hermetica Digital Ltd’ye verilen bir kod imzalama sertifikası kullanılarak oluşturuldu. Symantec’in veri imha saldırıları hakkında paylaştığı yeni bilgiler, bazı durumlarda tehdit aktörlerinin GoLang tabanlı bir fidye yazılımı kullandığını ortaya koydu.
Fidye yazılımı tuzağı, virüslü sistemlere, sözde fidye yazılımı çetesiyle iletişim kurmak için iki e-posta adresi içeren bir fidye notu da düştü (vote2024forjb@protonmail.com ve stephanie.jones2024@protonmail.com ) ve mağdurlara aşağıdaki siyasi mesaji iletti:
“Yeni seçimlerden öğrendiğimiz tek şey, eskilerden hiçbir şey öğrenmediğimiz!”
VERİ İMHA YAZILIMI FİDYE YAZILIMIYLA AYNI ANDA YERLEŞTİRİLDİ
“Symantec’in bugüne kadar araştırdığı birçok saldırıda, fidye yazılımı da hedefteki kuruluşlara veri imha yazılımı ile aynı anda yerleştirildi. Veri imha yazılımında olduğu gibi, fidye yazılımını dağıtmak için zamanlanmış görevler kullanıldı. Fidye yazılımı tarafından kullanılan dosya isimleri ise şunlar: client.exe, cdır.exe, cname.exe, connh.exe ve ıntpub.exe.
Symantec tarafından yayınlanan raporda şu ifadeler yer aldı: “Fidye yazılımının bir yem ya da dikkati veri imha saldırılarından başka bir yere çekme noktasında kullanılmış olması muhtemel görünüyor.” “Bu, imha yazılımının fidye yazılımı olarak gizlendiği Ukrayna’ya yönelik daha önceki WhisperGate saldırılarıyla bazı benzerliklere sahip.”
ESET tarafından HermeticWiper kötü amaçlı yazılımına dair yapılan analiz, saldırıların en az iki ay önce planlandığını gösteriyor. Symantec’ten araştırmacılar, bu tehdit aktörlerinin Litvanya’daki bir kuruluşa en az bir ay önce, Kasım 2021’de, bir PowerShell komutunu yürütmek için bir Tomcat zaafiyetinden yararlanarak eriştiklerini ve bunun veri imha yazılımının konuşlandırılmasına yol açtığını keşfetti.
