Siber güvenlik araştırmacıları, Sandworm olarak bilinen Rusya destekli bilgisayar korsanlığı kolektifiyle bağlantılı görünen Ukraynalı kuruluşları hedef alan yeni bir saldırı dalgası tespit etti. Symantec ve VMware Carbon Black’in bulgularına göre, saldırganlar hem büyük bir ticari hizmet sağlayıcısına hem de yerel bir devlet kurumuna sızarak hassas verileri toplarken erişimi günlerce hatta aylarca sürdürdü.
Araştırmacılar, ilk saldırının, tehdit aktörlerinin iki aydan fazla bir süre boyunca tespit edilmeden kaldığı bir ticari hizmetler şirketini içerdiğini ortaya çıkardı. Halka açık sunuculardaki güvenlik açıklarından yararlanarak ve kalıcı erişim sağlamak için web kabukları yükleyerek giriş yaptıklarına inanılıyor. İçeri girdikten sonra, saldırganların bariz kötü amaçlı yazılım izleri bırakmadan ağlar arasında hareket etmesine olanak tanıyan bir yöntem olan yerleşik yönetim araçlarına büyük ölçüde güvendiler.
Keşfedilen ve LocalOlive olarak bilinen ağ kabuklarından biri, Sandworm’a atfedilen önceki operasyonlarla ilişkilendirildi. Araştırmacılar grubun doğrudan katılımını henüz doğrulamamış olsa da, taktikler ve araç setlerindeki örtüşme güçlü bir şekilde bir bağlantı olduğunu gösteriyor. APT44 olarak da bilinen Sandworm, yaygın olarak en tehlikeli Rus siber birimlerinden biri olarak kabul ediliyor ve Ukrayna’nın yakın tarihindeki en yıkıcı operasyonlardan bazılarıyla bağlantılı.
İkinci olayda, saldırganlar yaklaşık bir hafta boyunca yerel bir devlet kurumunu tehlikeye attı. İzinsiz giriş daha kısa olmasına rağmen, kullanılan teknikler neredeyse aynıydı, bu da aynı aktörün veya bağlı bir grubun sorumlu olduğunu gösteriyordu. Kampanya, dosyaları sızdırmaya ve daha sonraki işlemleri destekleyebilecek sistem verilerini toplamaya odaklandı. Veri şifreleme veya yıkıcı kötü amaçlı yazılım belirtisi bulunamadı, bu da birincil nedenin sabotajdan ziyade casusluk olduğunu gösteriyor.
Bu saldırıların zamanlaması ve kesinliği dikkat çekicidir çünkü Doğu Avrupa’da devam eden jeopolitik gerilimler ve artan siber faaliyetlerin ortasında meydana gelmektedir. Ukrayna, birçok kamu ve özel kurumunun sürekli dijital saldırılarla karşı karşıya kalmasıyla dünyanın en çok hedef alınan ülkelerinden biri olmaya devam ediyor. Rus askeri istihbarat teşkilatı GRU bünyesinde faaliyet gösteren Sandworm, geçmişte elektrik şebekesi kesintileri, uydu parazitleri ve büyük ölçekli veri silme olayları da dahil olmak üzere birçok büyük saldırıdan sorumluydu.
Önceki saldırılardan farklı olarak, son kampanyalar daha ihtiyatlı ve sabırlı bir yaklaşım sergiliyor. Saldırganlar, operasyonları anında kesintiye uğratan kötü amaçlı yazılımları dağıtmak yerine, uzun süre görünmez kalacak şekilde tasarlanmış yöntemler kullandılar. Karada yaşamak olarak bilinen bu yaklaşım, kötü niyetli faaliyetler yürütmek için meşru sistem araçlarının kullanılmasını içerir. Saldırganlar, normal yönetim davranışına uyum sağlayarak, standart güvenlik uyarılarını tetiklemeden sistemler arasında hareket edebilir, ayrıcalıkları yükseltebilir ve verileri sızdırabilir.
Stratejideki bu evrim, Sandworm’un operasyonel önceliklerindeki değişimi vurguluyor. Önceki kampanyalar acil ve gözle görülür hasara yol açmaya çalışırken, mevcut operasyonlar istihbarat toplama ve uzun vadeli erişime odaklanıldığını gösteriyor. Saldırganlar, kimlik bilgilerini ve dahili belgeleri toplayarak gelecekteki operasyonlara hazırlanabilir veya bilgileri daha stratejik amaçlar için kullanabilir.
Güvenlik uzmanları, bu bulguların sonuçlarının doğrudan kurbanların ötesine geçtiği konusunda uyarıyor. Gizli, kalıcı tekniklerin kullanılması, kuruluşların izinsiz giriş başladıktan çok sonrasına kadar tehlikeye atıldıklarını fark etmeyebilecekleri anlamına gelir. Saldırganlar bir sistemde zaten mevcut olan araçlardan yararlandığından, geleneksel antivirüs yazılımları genellikle bunları tespit edemez. Bu nedenle analistler, ağ etkinliğinin sürekli izlenmesini ve olağandışı kalıpları tanımlayabilen davranışa dayalı tespit yöntemlerini önermektedir.
Ukraynalı siber güvenlik yetkilileri olaylarla ilgili resmi bir açıklama yapmadı ancak rapor, ülkede faaliyet gösteren hem kamu kurumları hem de özel şirketler için devam eden riskin altını çiziyor. Saldırganların hedef seçimi, ticari hizmet sağlayıcılar ve yerel devlet daireleri, daha sonra daha büyük koordineli operasyonları destekleyebilecek idari sistemlere erişim elde etmeye yönelik daha geniş bir ilgi olduğunu gösteriyor.
LocalOlive web kabuğunun varlığı ve her iki saldırıda kullanılan taktiklerin tutarlılığı, araştırmacıların bu izinsiz girişlerin münferit olaylardan ziyade sürekli bir kampanyanın parçası olduğuna inanmalarına yol açtı. Sandworm’un Ukrayna’daki uzun faaliyet geçmişi bu teoriye ağırlık katıyor. Grup, yüz binlerce Ukraynalıyı elektriksiz bırakan 2015 ve 2016 elektrik şebekesi saldırılarının yanı sıra milyarlarca dolarlık küresel hasara neden olan 2017 NotPetya salgınıyla bağlantılı.
Artık fark, saldırganların ne kadar sessiz çalıştığında yatıyor. Dikkat çeken yüksek profilli saldırılardan kaçınarak değerli ağlara erişimlerini sürdürme şanslarını artırırlar. Bu gizli yaklaşım, anında misilleme veya ifşa olmadan gözlemlemelerine, toplamalarına ve gelecekteki potansiyel operasyonlara hazırlanmalarına olanak tanır.
Araştırmacılar bu kampanyaların ikili amaçlara hizmet edebileceğine inanıyor. Rusya’nın askeri ve stratejik planlamasına bilgi verebilecek istihbarat sağlarken, aynı zamanda jeopolitik koşulların tırmanması durumunda olası yıkıcı saldırılar için de bir temel oluşturuyorlar. Casusluk ve siber savaşın harmanlanması yeni değil, ancak Sandworm’un gelişen yöntemleri, her operasyonda yeteneklerini geliştirmeye devam ettiğini gösteriyor.
Bu tür bir tehdide karşı savunma, yalnızca güçlü teknik önlemleri değil, aynı zamanda kuruluşlar arasında sürekli tetikte olmayı ve işbirliğini de gerektirir. Uzmanlar, Ukraynalı kurumları ve ortaklarını erişim kontrollerini gözden geçirmeye, yazılımın güncel olduğundan emin olmaya ve yetkisiz faaliyetlerin ince işaretlerini tespit edebilecek proaktif tespit sistemlerini benimsemeye çağırıyor. Yalnızca bilinen kötü amaçlı yazılım imzaları yerine anormal sistem davranışını belirleme yeteneği, artık gelişmiş kalıcı tehditlere karşı en önemli savunmalardan biridir.
Rapor, bu olayların Ukrayna’yı çevreleyen devam eden siber çatışmada başka bir bölümü temsil ettiği sonucuna varıyor. Ayrıca siber savaşın her zaman açık saldırılar veya dramatik aksaklıklar içermediğini de hatırlatıyorlar. Bazen, anında etkiden ziyade uzun vadeli stratejik avantaj sağlamak üzere tasarlanmış sessiz sızma ve yavaş veri toplama şeklini alır.
Sandworm’un faaliyetlerinin gelişen doğası, grubun aktif, uyarlanabilir ve devlet destekli siber operasyonların daha geniş bağlamına derinlemesine gömülü kaldığını gösteriyor. Ukrayna ve müttefikleri için bu, gelecekteki saldırılara karşı savunmanın, tespit yeteneklerinde sürekli iyileştirme ve siber güvenlik hazırlığına aralıksız odaklanmayı gerektireceği anlamına geliyor.