Siber güvenlik firması Trend Micro, 2010’ların ortalarından bu yana siber suçlar yeraltı dünyasında hizmetlerinin reklamını yapan ve isteğe bağlı izinsiz girişler yapan kiralık bir hacker grubunun tarihçesini ve faaliyetlerini detaylandıran 46 sayfalık bir rapor yayınladı.
Void Balaur isimli grup hem para ve gözetleme amaçlı olarak saldırılar yapmış. Geçmişteki saldırılar arasında BT şirketleri, telekom şirketleri, aktivistler, gazeteciler ve dini liderler hedef alınmış.
Trend Micro, çok sayıda hedef çakışması nedeniyle, başlangıçta Void Balaur’un, Rusya’nın askeri istihbarat teşkilatı GRU ajanları tarafından gerçekleştirilen siber saldırıları izlemek için kullanılan bir kod adı olan APT28’in (Pawn Storm) bir alt grubu olduğunu düşündüğünü söyledi.
Trend Micro bugün, “Toplamda, hem 2014-2015 döneminde Pawn Storm hem de 2020’den 2021’e kadar Void Balaur tarafından hedeflenen bir düzine e-posta adresi gözlemledik” dedi.
Ancak daha yakından bakıldığında, araştırmacılar bu saldırıların bazılarının isteğe bağlı bilgisayar korsanlığı hizmetlerinin reklamını yapan bir web sitesi olan RocketHack.me’nin altyapısıyla bağlantılı olabileceğini söyledi. Aynı site, Probiv, Tenec ve Darkmoney gibi Rusça konuşulan yer altı forumlarında 2017 yılına kadar uzanan çok sayıda reklamda referans alındı.
Trend Micro araştırmacıları, “Bildiğimiz kadarıyla, Void Balaur, Rus dili odaklı olmayan yeraltı forumlarında hiçbir zaman reklam yapmadı” açıklaması yaptı. İlk zamanlarda “e-posta ve sosyal medya hesaplarına girme” reklamları yaptıkları görülmüş. Ama 2019’dan itibaren grup çok özel ve hassas verilerinin satışının reklamını yapmaya başlamış. Bunlar arasında pasaport, ehliyet, özel telefon kayıtları vs var.
Void Balaur’un pazarladığı telekom verileri, bir kişinin kimi aradığını, aramaların süresini ve aramaların yapıldığı yaklaşık konumu ortaya çıkarabilecek baz istasyonu konumlarına sahip telefon görüşme kayıtlarını içeriyor.
Aktivistlere ve Gazetecilere Saldırılar
Trend Micro grubun Rusya ve ABD’deki birçok telekom şirketini ve yanısıra aktivistler ve gazeteciler gibi bireyleri hedef aldığını kaydediyor. Aynı kapsamda, Özbekistan’da 2016 ve 2017 yıllarında gazetecilere ve insan hakları aktivistlerine yönelik bu eQualitie raporunda açıklanan bir dizi saldırının Void Balaur’un işi olduğunu söylüyor.
Ancak Özbekistan’daki saldırılar sadece başlangıçtı. O zamandan beri Void Balaur’un siyasi hedeflere yönelik saldırıları arttı ve çeşitlendi. Grubun, 2020 Belarus seçimleri için başkan adaylarını hedeflediği görüldü. Ağustos 2021’de grup ayrıca Ukrayna, Slovakya, Rusya, Kazakistan, Ermenistan, Norveç, Fransa ve İtalya’daki politikacıları ve hükümet yetkililerini de hedef aldı.
Eylül 2021’de daha sert bir saldırıda grup “eski bir istihbarat teşkilatı başkanının, beş aktif hükümet bakanının (savunma bakanı dahil) ve bir Doğu Avruğa ülkesinin ulusal parlamentonun iki üyesinin e-posta kutularına erişmeye çalıştı.
Bu konunun detaylarını önümüzdeki günlerde de takip edeceğiz.
[1] THE FAR-REACHING ATTACKS OF THE VOID BALAUR CYBERMERCENARY GROUP