Rusya'ya uyumlu tehdit grubu olarak bilinen Kış Vivern'ı Ekim ayında Avrupa'daki Roundcube web posta sunucularındaki siteler arası komut dosyası çalıştırma (XSS) güvenlik açıklarından yararlandığı keşfedildi ve şimdi kurbanları gün ışığına çıkıyor.

Recorded Future'ın Insikt Group'un bugün yayınlanan kampanya hakkındaki raporuna göre grup esas olarak Gürcistan, Polonya ve Ukrayna'daki hükümet, askeri ve ulusal altyapıyı hedef aldı.

Raporda ayrıca İran'ın Moskova Büyükelçiliği, İran'ın Hollanda Büyükelçiliği ve Gürcistan'ın İsveç Büyükelçiliği gibi ek hedefler de vurgulandı.

Gelişmiş sosyal mühendislik tekniklerini kullanan APT (Insikt'in TAG-70 olarak adlandırdığı ve aynı zamanda TA473 ve UAC-0114 olarak da bilinir) bir Roundcube sıfır gün istismarı ulaşım ve eğitim sektörlerinden kimyasal ve biyolojik araştırma kuruluşlarına kadar en az 80 ayrı kuruluştaki hedeflenen posta sunucularına yetkisiz erişim elde etmek.

Insikt'e göre, kampanyanın Avrupa'nın siyasi ve askeri meseleleri hakkında istihbarat toplamak, potansiyel olarak stratejik avantajlar elde etmek veya Avrupa'nın güvenliğini ve ittifaklarını baltalamak için planlandığı düşünülüyor.

Grubun Belarus ve Rusya'nın çıkarlarına hizmet eden siber casusluk kampanyaları yürüttüğünden şüpheleniliyor ve en az Aralık 2020'den beri faaliyet gösteriyor.

Winter Vivern'in Siber Casusluğa Yönelik Jeopolitik Motivasyonları

Ekim kampanyası, Insikt Group tarafından Şubat 70'te bildirilen TAG-2023'in Özbekistan hükümeti posta sunucularına karşı önceki faaliyetleriyle bağlantılıydı.

Ukrayna'nın hedef alınmasının açık bir motivasyonu Rusya ile yaşanan çatışmadır.

“Ukrayna'da devam eden savaş bağlamında ele geçirilen e-posta sunucuları, Ukrayna'nın savaş çabaları ve planlaması, ilişkileri ve ek askeri ve ekonomik yardım arayışında olduğu ortak ülkelerle yaptığı görüşmelerle ilgili hassas bilgileri ifşa edebilir ve bu da işbirliği yapan üçüncü tarafları açığa çıkarabilir. Insikt raporunda, "Ukrayna hükümetiyle özel olarak görüşecek ve Ukrayna'yı destekleyen koalisyon içindeki çatlakları ortaya çıkaracağız" denildi.

Bu arada, İran'ın Rusya ve Hollanda'daki büyükelçiliklerine odaklanılması, özellikle İran'ın Ukrayna'daki çatışmada Rusya'yı desteklemedeki rolü göz önüne alındığında, İran'ın devam eden diplomatik angajmanlarını ve dış politika pozisyonlarını değerlendirme güdüsüne bağlanabilir.

Benzer şekilde, İsveç'teki Gürcistan Büyükelçiliği ve Gürcistan Savunma Bakanlığı'nı hedef alan casusluk muhtemelen benzer dış politika güdümlü hedeflerden kaynaklanmaktadır; özellikle Gürcistan'ın, Rusya'nın Ukrayna'ya erken müdahalesinin ardından Avrupa Birliği üyeliği ve NATO üyeliği arayışını yeniden canlandırması nedeniyle. 2022.

Diğer dikkate değer hedefler arasında lojistik ve taşımacılık sektörlerinde yer alan kuruluşlar yer alıyordu; bu, Ukrayna'daki savaş bağlamına dayanarak şunu söylüyor; çünkü sağlam lojistik ağları, her iki taraf için de savaşma yeteneklerini sürdürmede hayati önem taşıyor.

Siber Casusluk Savunması Zordur

Siber casusluk kampanyaları artıyor: Bu ayın başlarında, gelişmiş bir Rus APT başlattı Ukrayna ordusuna yönelik bir PowerShell saldırı kampanyası yürütülürken, bir başka Rus APT olan Turla da Polonyalı STK'ları hedef aldı. yeni arka kapı kötü amaçlı yazılımı.

Ukrayna da var Rusya'ya karşı kendi siber saldırılarını başlattıKyivstar cep telefonu operatörünün Rusya destekli ihlaline misilleme olarak Ocak ayında Moskova İnternet servis sağlayıcısı M9 Telecom'un sunucularını hedef aldı.

Ancak Insikt Group raporu, bu tür saldırılara karşı savunmanın, özellikle de sıfırıncı gün güvenlik açığından yararlanılması durumunda zor olabileceğini belirtti.

Ancak kuruluşlar, e-postaları şifreleyerek ve özellikle hassas bilgilerin iletimi için alternatif güvenli iletişim biçimlerini değerlendirerek, risklerin etkilerini azaltabilirler.

Tüm sunucuların ve yazılımların yamalandığından ve güncel tutulduğundan emin olmak da çok önemlidir ve kullanıcılar yalnızca güvenilir kişilerden gelen e-postaları açmalıdır.

Kuruluşlar ayrıca, iyi hijyen uygulayarak ve veri saklamayı azaltarak ve mümkün olduğunda hassas bilgi ve konuşmaları daha güvenli üst düzey sistemlerle sınırlandırarak posta sunucularında depolanan hassas bilgi miktarını da sınırlamalıdır.

Raporda ayrıca, özellikle TAG-70 gibi APT aktörleri tarafından istismar edilen güvenlik açıklarının sorumlu bir şekilde açıklanmasının çeşitli nedenlerden dolayı hayati önem taşıdığı belirtildi.

Recorded Future's Insikt Group'tan bir tehdit istihbaratı analisti, e-posta yoluyla bu yaklaşımın, güvenlik açıklarının başkaları tarafından keşfedilip kötüye kullanılmadan önce hızlı bir şekilde yamalanmasını ve düzeltilmesini sağladığını ve gelişmiş saldırganların açıklarını kontrol altına alarak daha geniş ve daha hızlı zararları önlediğini açıkladı.

Analist, "Sonuçta bu yaklaşım, acil riskleri ele alıyor ve küresel siber güvenlik uygulamalarında uzun vadeli iyileştirmeleri teşvik ediyor" dedi.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military