FBI, Rus askeri istihbaratı (GRU) ile bağlantılı, yeni tespit olan bir siber aktörün Avrupa’da darbe girişimleri, sabotajlar, nüfuz operasyonları ve hatta suikast girişimlerinden sorumlu olduğu konusunda uyarıyor. Bu grup “Birim 29155” olarak tanımlandı. Ama Cadet Blizzard, Ember Bear veya Frozenvista olarak da bilinir.
Siber militanların, çeşitli siber operasyonlar ve saldırılar gerçekleştirerek siber deneyim kazanan ve teknik becerilerini geliştiren “genç aktif görevdeki GRU subayları” olarak tanımlanıyor ve Rus Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü (GRU) 161. Uzman Eğitim Merkezi’ne (Birim 29155) bağlı olduğu ve diğer bilinen ve daha yerleşik GRU siber gruplarından ayrı çalıştıkları kaydediliyor.
Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Ulusal Güvenlik Ajansı’nın (NSA) ortak danışmanlığında, bu “genç” siber aktörlerin operasyonlarını yürütmek için bilinen diğer GRU dışı siber suçluların ve destekçilerin yardımına güvendikleri değerlendiriliyor.
Birim 29155’in en az 2020’den beri aktif ve küresel hedeflere karşı birden fazla bilgisayar ağı operasyonundan sorumlu olduğu raporlanıyor. Faaliyetleri genellikle casusluk, sabotaj ve itibar zedelenmesine yönelik. Hedefleri hükümet, finansal hizmetler, ulaşım, enerji ve sağlık hizmetleri gibi kritik altyapı ve temel kaynak sektörleri olduğu anlaşılıyor :
“FBI bugüne kadar en az 26 NATO üyesi ve birkaç Avrupa Birliği (AB) ülkesinde 14.000’den fazla alan adı taraması gözlemledi”
Çetenin hedefinde Avrupa ve Kuzey Amerika’daki Kuzey Atlantik Antlaşması Örgütü (NATO) üyelerinin yanı sıra diğer ülkeler olduğu bildiriliyor.
ABD Adalet Bakanlığı, 29155 Birimi’nin beş görevlisini tanımladı ve kimliklerini veya yerlerini belirlemeye yardımcı olacak herhangi bir bilgi için 10 milyon dolara kadar ödül duyurdu.
Kötü amaçlı faaliyetler için Birim 29155, port, servis ve güvenlik açığı taraması için Acunetix ve Nmap gibi birden fazla kamuya açık araç, hedef web siteleri için alt alan adları elde etmek için Amass ve VirusTotal, belirli güvenlik açıkları veya cihaz türlerine sahip ana bilgisayarları belirlemek için Shodan ile birlikte Netcat, WPScan ve diğer tarayıcıları kullandı.
İlk keşiften sonra, tehdit aktörü kurban sunucular ve makinelerde keşfedilen bilinen güvenlik açıklarını istismar edyor. Bir örnekte, kimlik doğrulamasını atlatmak için Dahua IP kameralarını kullanarak ilk erişimi elde ettiler. FBI şöyle diyor :
“GitHub depolarından CVE istismar betiklerini elde ediyorlar ve bunları kurbanın altyapısına karşı kullanıyorlar. Birim 29155 siber aktörleri, özel çözümler geliştirmek yerine siber operasyonları yürütmek için yaygın kırmızı takım tekniklerini ve kamuya açık araçları kullanıyor.”
Birim 29155, dosyaları depolamak ve kötü amaçlı yazılımı kontrol etmek için Discord’u kullandı. Kötü amaçlı yazılımın birincil amacı hedeflenen bilgisayar sistemlerini bozmak ve hasar vermek olsa da WhisperGate ayrıca ağları tarayabilir, parolaları çalabilir ve verileri sızdırabilir.
ABD kurumları, ağ savunucularına sistem güncellemelerine öncelik vermelerini ve özellikle CISA’nın bilinen istismar edilen güvenlik açıkları kataloğunda listelenen bilinen güvenlik açıklarını yamalamalarını tavsiye ediyor. İnternete bakan varlıkları sınırlamak, ağ segmentasyonunu uygulamak ve düzenli güvenlik açığı taraması yapmak , bu saldırgana karşı savunma için önerilen önlemlerden bazılarıdır .
Kaynak : 