Rusya’nın dış istihbarat ajansıyla bağlantılı olduğuna inanılan siber tehdit aktörleri, sahte bir ikinci el araba ilanıyla Ukrayna’daki büyükelçiliklerde görev yapan diplomatları hedef aldı.
Palo Alto Networks’ün Unit 42 araştırma bölümü tarafından yayınlanan rapora göre geniş kapsamlı casusluk faaliyeti, en az 22 diplomatı etkiledi.
Olay ilk olarak Polonya Dışişleri Bakanlığı’nda çalışan bir diplomatın Nisan 2023 ortalarında Kiev’de bulunan bir BMW 5 serisi aracını internet üzerinden satışa koymasıyla başladı.
“APT29 veya Cozy Bear” olarak bilinen grup ise internete koyulan bu satılık araç ilanın sahtesini, “aracın daha yüksek kalitede fotoğraflarını görmek isterseniz bu bağlantıya tıklayınız” notuyla hedef aldıkları yabancı diplomatların e-posta adresine gönderdi.
Sahte ilan içinde yer alan Polonyalı diplomatın BMW’si, tehdit aktörleri tarafından ilana daha düşük bir fiyat olan 7,500 euro olarak konuldu. Bu şekilde daha fazla kişinin kötü amaçlı yazılımı indirmesi teşvik edilmeye çalışıldı.
Unit 42’nin raporuna göre bu yazılım, kullanıcının cihazına uzaktan erişim sağlayacak şekilde gizlenmiş bir fotoğraf albümü olarak kılık değiştirmişti.
Zararlı yazılım içeren bağlantı, bağlantıya tıklandığı anda diplomatların bilgisayarlarına indi.
Unit42’nin yayımladığı raporda söz konusu olay için “Kapsam olarak APT operasyonlarında şaşırtıcı bir durumla karşı karşıyayız.” ifadeleri kullanıldı.
Nisan ayında Polonyalı karşı istihbarat ve siber güvenlik yetkilileri aynı grubun NATO üyesi ülkelere, Avrupa Birliği’ne ve Afrika’ya yönelik “yaygın bir istihbarat kampanyası” yürüttüğü uyarısında bulunmuştu.
RUS DIŞ İSTİHBARAT SERVİSİNE ÇALIŞIYORLAR
Rusya merkezli bir siber casusluk grubu olan APT29, bir dizi hedefe karşı gelişmiş kalıcı tehdit saldırıları gerçekleştirmekle birlikte özellikle 2016 ABD başkanlık seçimlerine müdahale etmekle suçlanmıştı.
Hedefleri arasında devlet kurumları, askeri kurumlar, savunma şirketleri ve enerji sektörü yer alan APT29, ilk olarak 2015 yılında FireEye adlı siber güvenlik şirketi tarafından keşfedilmişti.
Rusya destekli “Sandworm” Fransa’ya saldırdı: Kritik kurum ve şirketler hedefte
APT29, Rusya’nın dış istihbarat servisi SVR’nin bir kolu olarak görülüyor.
Unit 42 araştırmacıları da sahte araba ilanını, daha önce kendileriyle ilişkilendirilmiş bazı araçları ve teknikleri yeniden kullanması dolayısıyla SVR’ye bağladı.
Raporda, “Diplomatik misyonlar her zaman yüksek değerli bir casusluk hedefi olacaktır. Rusya’nın Ukrayna işgali üzerinden 16 aydan fazla bir süre geçmesine rağmen, Ukrayna ve müttefik diplomatik çabalarla ilgili istihbaratlar muhtemelen Rus hükûmeti için öncelikli bir konudur.” ifadeleri yer aldı.
HANGİ BÜYÜKELÇİLİKLERİN ETKİLENDİĞİ BELİRSİZ
APT29 tarafından hedef alınan 22 büyükelçilikten 21’i yorum yapmadı. Hangi büyükelçiliklerin etkilendiği belirsizliğini sürdürmekle birlikte ABD Dışişleri Bakanlığı sözcüsü, “Bu faaliyetin farkındayız ve analizlerimize göre, bakanlık sistemlerini veya hesaplarını etkilemediği sonucuna vardık.” şeklinde açıklama yaptı.
Arabasının hâlâ satılık durumda olduğunu belirten Polonyalı diplomatsa, “Muhtemelen onu Polonya’da satmaya çalışacağım. Bu durumdan sonra daha fazla sorun yaşamak istemiyorum.” dedi.
