Rus askeri istihbaratıyla ilişkili kum kurdu hackleme grubu, hacktivist gruplar olarak poz veren birden fazla çevrimiçi kişinin arkasındaki saldırıları ve operasyonları gizliyor.
Mantiant'a göre, tehdit oyuncusu Rusya lehine anlatılar yaratarak grubun faaliyetini yükseltmek için kullanılan en az üç telgraf kanalıyla bağlantılıdır.
Sandworm - A.K.A. Blackenergy, Seasshell Blizzard, Voodoo Bear, en azından 2009'dan beri aktif, operasyonlarını Silahlı Kuvvetler Genel Müdürlüğü'nün ana müdürlüğünde (GTSST) Operasyonlarını 74455'e bağlayan birden fazla hükümet Daha iyi Ana İstihbarat Müdürlüğü (GRU) olarak bilinen Rusya Federasyonu (GU).
Düşman oldukça uyarlanabilir ve hem kimlik avı hem de kimlik bilgisi hasat gibi ortak başlangıç erişim yöntemlerine dayanıyor, ayrıca bilinen güvenlik açıklarından ve tedarik zinciri uzlaşmasını kullanıyor.
Mantiant grubu APT44 olarak izlemeye başladı ve "kendisini Rusya’nın önde gelen siber sabotaj birimi olarak kurduğunu" belirtiyor.
Rusya iki yıl önce Ukrayna'yı işgal ettiğinden beri Sandworm, veri sızıntıları ve yıkıcı operasyonlar için çevrimiçi kişileri kullanmaya başladı.
Bugün bir raporda Mantiant, Sandworm'un Xaknet ekibi, Cyberarmyofrussia_Reborn adlı üç ana hacktivist markalı telgraf kanalına güvendiğini söylüyor.
Tehdit oyuncusunun bu kimlikler üzerinde ne kadar kontrol sahibi olduğu belli değil, ancak Google'ın Cyberarmyofrussia_Reborn durumunda en yakın operasyonel ilişkide bulunan tehdit analiz grubu.
Google Tag, görünüşte hacktivist grubun YouTube kanalının Sandworm/APT44'e atfedilen altyapıdan oluşturulduğunu buldu.
Buna ek olarak, "Mantiant, daha sonra siberarmyofrussia_reborn telgraf kanalında sızan mağdurlardan gelen verileri yaymak için kullanılan bilinen APT44 altyapısını gözlemledi ve ayrıca kişiliğin yayınlanan iddialarına yakın zamansal yakınlıkta telgrafa çıktı."
Bir noktada, APT44'ün kısmındaki bir hata, Cyberarmyofrussia_Reborn'un kanallarında APT44'ün henüz yapılmadığı bir saldırı olduğunu iddia etmesine neden oldu.
Maniant'ın GRU'ya atfedilen ve Ukrayna varlıklarına odaklanan telgraf kişilerini içeren saldırı ve sızıntı faaliyetlerinin çoğu, Cyberarmyofrussia_Reborn, ABD ve Polonya'daki su kamu hizmetlerine ve France'da hidroelektrik tesislere yönelik saldırılar talep etti.
Her iki durumda da, "hacktivistler" operasyonel teknoloji varlıklarının kontrolünü gösteren videolar ve ekran görüntüleri yayınladı.
Mantiant, bu müdahaleleri doğrulayamasa da, ABD'deki etkilenen kamu hizmetlerindeki yetkililerin, Cyberarmyofrussia_Reborn'un ihlal ettiğini iddia ettiği organizasyonlarda olayları ve arızaları doğruladığını belirtiyor.
SolntSeK kanalı, 2023'te APT44'ün yıkıcı siber saldırıları için kredi almaya başladığı 2023'te "Hacker Group" a yeniden markalaşmadan önce Ukrayna askeri ve güvenlik personelinden kişisel olarak tanımlanabilir bilgileri sızdırmıştı.
Raporda, "Operasyonel etkisini en üst düzeye çıkarmaya yönelik kaba bir girişimin ötesinde, bu takip bilgisi operasyonlarının muhtemelen APT44 tarafından birden fazla savaş zamanı hedefe hizmet etmeyi amaçladığını değerlendiriyoruz."
"Bu amaçlar, bilgi alanının Rusya'ya uygun anlatılarla hazırlanması, yerli ve yabancı izleyiciler için savaş için popüler destek algısı oluşturmak ve GRU’nun siber yeteneklerinin abartılı etki iddialarıyla daha güçlü görünmesi yer alıyor" - maniant
Ukrayna'daki savaş, ülkenin eyalet ağları, telekomünikasyon sağlayıcıları, haber medyası ve güç şebekesi de dahil olmak üzere, ülkenin kritik altyapısına ve hizmetlerine zarar vermeyi amaçlayan çok yönlü saldırılar başlattığı için kumbaçağı kötü şöhretli hale getirdi.
Bu dönemde, Rus hackerlar, kurtarmanın ötesinde verileri silmek için bir dizi silecek kötü amaçlı yazılım kullandılar.
Sandworm, sadece geçici olarak, Ukrayna'daki sabotaj saldırılarından casusluk ve etki odaklı operasyonlara, Rus hacktivistinin gücü ve GRU'nun siber yetenekleri hakkındaki iç ve yabancı algıları değiştirmek için odağı taşıdı.
Mantiant'ın raporu, APT44'ün zengin bir kötü amaçlı yazılım seti, kimlik avı kampanyaları ve hedeflenen ağlardaki ilk erişim ve sürekli operasyonlar için güvenlik açığı sömürüsünü kullanarak birkaç özel vaka çalışması sunarak detaylandırıyor:
Mantiant, APT44'ün faaliyet kalıplarına dayanarak, grubun ABD de dahil olmak üzere çeşitli ülkelerdeki yaklaşan ulusal seçimlere ve diğer önemli siyasi olaylara müdahale etmeye çalışması için çok yüksek bir şans olduğu konusunda uyarıyor.
Ancak araştırmacılar, Ukrayna'nın savaş devam ettiği sürece tehdit oyuncunun birincil odak noktası olmaya devam edeceğine inanıyorlar. Aynı zamanda, Sandworm küresel düzeyde stratejik hedefler için işletme işlemleri için yeterince çok yönlüdür.
Rus hackerlar Wineloader kötü amaçlı yazılımla Alman siyasi partilerini hedefleyin
Kuzey Kore, mühendislik verilerini çalmak için iki Güney Koreli çip firmasını hackliyor
ABD, Rus Sandworm Hacker'larında ipuçları için 10 milyon dolar ödül sunuyor
Savunma sektörü tedarik zinciri saldırısına bağlı Kuzey Koreli hackerlar
Palo Alto Networks Zero-Day Mart ayından bu yana arka kapı güvenlik duvarlarına sömürüldü
Kaynak: Bleeping Computer