Ukrayna bilgisayar acil müdahale ekibinden (CERT-UA) bir rapora göre, Rus hacker grubu Sandworm, Ukrayna'daki yaklaşık 20 kritik altyapı tesisinde operasyonları bozmayı amaçladı.
BlackEnergy, Seasshell Blizzard, Voodoo Bear ve Apt44 olarak da bilinen bilgisayar korsanlarının, çeşitli hedeflerde siberislik ve yıkıcı saldırılar gerçekleştiren Rusya'nın Silahlı Kuvvetler Genel Müdürlüğü (GRU) ile ilişkili olduğuna inanılıyor.
CERT-UA, Mart 2024'te APT44'ün Ukrayna'nın 10 bölgesindeki enerji, su ve ısıtma tedarikçilerindeki bilgi ve iletişim sistemlerini bozmak için operasyonlar yürüttüğünü bildirdi.
Saldırılar Mart ayında meydana geldi ve bazı durumlarda bilgisayar korsanları, tehlike veya savunmasız yazılım sunmak için tedarik zincirini zehirleyerek veya yazılım sağlayıcının kuruluşun bakım ve teknik destek için sistemlerine erişme yeteneği aracılığıyla hedeflenen ağa sızabiliyorlardı.
Sandworm ayrıca, daha önce belgelenmiş kötü amaçlı yazılımları, ağ üzerinde yanal olarak erişim ve hareket etmek için yeni kötü amaçlı araçlarla (Linux için Biasboat ve LoadGrip) birleştirdi.
Ukrayna ajansı, Sandworm'un ihlallerinin hedeflerin kötü siber güvenlik uygulamaları (örneğin, yazılım tedarikçisi düzeyinde ağ segmentasyonu ve yetersiz savunma eksikliği) ile daha kolay hale getirildiğini belirtiyor.
7 Mart-15 Mart 2024 arasında, CERT-UA, etkilenen işletmelerin bilgilendirilmesini, kötü amaçlı yazılımların kaldırılmasını ve güvenlik önlemlerini geliştirmeyi içeren kapsamlı karşı-cyberattack operasyonlarıyla uğraştı.
Meydan okulu varlıklardan alınan günlükleri araştırmanın bulgularına dayanarak, Sandworm Ukrayna'nın hizmet tedarikçilerine yönelik saldırıları için aşağıdaki kötü amaçlı yazılımlara dayanıyordu:
Soruşturma sırasında keşfedilen ek kötü amaçlı araçlar CERT-UA açık kaynak alanından alınmıştır ve Weevly Web Shell, Regeorg.neo, Pitvotnacci ve Chisel Tunnelers, LibProcesshider, Juicypotatong ve RottenPotatong'u içerir.
Tehdit aktörleri bu araçları kalıcılığı korumak, kötü niyetli süreçleri gizlemek ve tehlike altındaki sistemler üzerindeki ayrıcalıklarını yükseltmek için kullandılar.
Ukrayna ajansı, bu saldırıların amacının Rus füze saldırılarının hedeflenen altyapı tesisleri üzerindeki etkisini artırmak olduğuna inanıyor.
Geçen hafta Mantiant, Sandworm'un daha önce Avrupa ve ABD'de kritik altyapıya saldırılar talep eden üç hacktivist markalı telgraf grubuyla bağlantısını açıkladı.
CERT-UA'nın raporu, dosyaları, ana bilgisayarları ve ağ ayrıntılarını içeren uzun bir uzlaşma göstergeleri listesi sunar.
Rus Sandworm Hackers, su hizmetlerinde hacktivist olarak poz veriyor
Ukrayna, Rusya Savunma Bakanlığı sunucularını hacklediğini iddia ediyor
Intel ve Lenovo sunucuları 6 yaşındaki BMC kusurundan etkilendi
Cisa, Sisense Hack'in kritik altyapıyı etkilediğini söylüyor
GitHub Push KeyZetsu Kötü Yazılımında Kötü niyetli Visual Studio Projeleri
Kaynak: Bleeping Computer