Polonya genelinde belediye başkanlarını, belediye liderlerini ve siber güvenlik görevlilerini hedef alan karmaşık bir kimlik avı kampanyası, yetkililerin yerel yönetim ağlarını tehlikeye atmaya yönelik son derece koordineli bir girişim olarak tanımladığı bir kampanya. CERT Polska tarafından yayınlanan uyarı, yetkililerin doğrudan Dijital İşler Bakanlığı’ndan geliyormuş gibi görünen sahte e-postalar aldığına dair çok sayıda raporun ardından geldi.
E-postalar, meşruiyet yanılsaması yaratmak için resmi bakanlık logosu ve Bakan Yardımcısı Paweł Olszewski’nin bir fotoğrafı da dahil olmak üzere özgün görünümlü görseller kullanıyor. Mesajlar resmi idari dilde yazılmıştır ve alıcıları hızlı hareket etmeye teşvik ederek yetkililerin kaynağı doğrulamadan uyma olasılığını artırır. Kampanya, yalnızca hassasiyetiyle değil, aynı zamanda yerel ofislerde siber güvenlik veya idari sorumluluklara sahip kamu görevlilerini kasıtlı olarak hedef almasıyla da dikkat çekti.
CERT Polska’ya göre saldırganlar, alıcıları e-postaya ekli bir dosyayı açmaya ikna etmek için sosyal mühendislik yöntemleri kullanıyor. Dosya, yeni bir doğrulama süreci veya kamu çalışanları için bir güvenlik güncellemesi ile ilgili rutin bir hükümet belgesi olarak sunulur. Mesaj, alıcıya “çalışanların kişisel verilerini” gözden geçirmesi ve onaylaması veya sözde bir uyum girişiminin parçası olarak yerel personel hakkındaki bilgileri doğrulaması talimatını verir.
Kurban dosyayı açıp gömülü talimatları izlediğinde, ek ya kötü amaçlı bir web sitesine bağlanır ya da sisteme kötü amaçlı yazılım indirir. Kötü amaçlı yazılım yüklendikten sonra hassas verileri toplamaya, iletişimleri engellemeye ve saldırgana uzaktan erişim sağlamaya başlayabilir. Bu tür bir enfeksiyon, dahili sistemlerin genellikle kayıtları, izinleri veya kamu altyapısını yöneten daha geniş ağlara bağlandığı belediye ortamlarında özellikle tehlikelidir.
Polonya’nın ulusal siber güvenlik yetkilileri bu kampanyanın hâlâ aktif olduğunu ve gelişmekte olduğunu vurguladı. Saldırganlar mesajlarını iyileştiriyor ve ekleri güncelliyor gibi göründüğünden, belediye ofislerinden acil savunma önlemleri almaları isteniyor. Bunlar arasında e-posta filtreleme kurallarının sıkılaştırılması, bilinmeyen gönderenlerden gelen eklerin engellenmesi ve ulusal bir bakanlıktan geldiği iddia edilen herhangi bir iletişim için dahili doğrulama adımları oluşturulması yer alıyor.
CERT Polska’nın araştırması, kampanyanın birkaç haftadır devam ettiğini ve hükümet sistemlerine çeşitli düzeylerde sızmaya yönelik daha büyük bir çabanın parçası olabileceğini öne sürüyor. Saldırganlar, belediye başkanlarına ve diğer yetkililere odaklanarak, ağlar içinde yanal olarak hareket etmelerine izin verebilecek yönetici erişimi veya kimlik bilgileri arıyor gibi görünüyor. En kötü senaryoda, bu tür bir erişim hizmetleri kesintiye uğratmak, hassas verileri çalmak veya birden fazla ofise fidye yazılımı yerleştirmek için kullanılabilir.
Dijital İşler Bakanlığı’nın kimliğine bürünme kararı, Polonya idari yapılarının nasıl işlediğinin net bir şekilde anlaşıldığını gösteriyor. Bir hükümet bakanlığına atıfta bulunan e-postalar, özellikle ulusal kurumlarla düzenli olarak yazışan yerel yetkililere yönelik olduğunda, doğası gereği yetki taşır. Bu, taktiği, alıcıların korumasını düşürmede ve genel güvenlik kontrollerini atlamada oldukça etkili hale getirir.
CERT Polska, tüm yerel ofisleri harekete geçmeden önce e-postaların gerçekliğini doğrulamaya çağırdı. Ajans ayrıca devlet çalışanlarının kimlik avı girişimlerini belirleme konusunda güncel eğitim almalarını tavsiye ediyor. Sahte mesajların çoğu, küçük dilbilgisi hataları, eşleşmeyen alan adresleri veya basit hükümet bildirimlerine eklenen olağandışı dosya türleri gibi ortak özellikleri paylaşıyor.
Henüz doğrulanmış bir ihlal açıklanmamış olsa da siber güvenlik uzmanları, az sayıda başarılı enfeksiyonun bile ciddi sonuçlara yol açabileceği konusunda uyarıyor. Yerel yönetim ağları genellikle vergi kayıtları, iletişim bilgileri ve kimlik bilgileri dahil olmak üzere hassas vatandaş verilerini saklar. Ayrıca su, atık yönetimi ve acil müdahale koordinasyonu gibi temel hizmetlerde de rol oynarlar. Güvenliği ihlal edilmiş bir yönetici hesabı, saldırganlara bu kritik sistemlere bir ağ geçidi sağlayabilir.
Polonya hükümeti kampanyanın kökeni hakkında kamuya açık bir yorumda bulunmadı ve belirli bir tehdit aktörü belirlenmedi. Ancak analistler, bu tür kimlik avı operasyonlarının genellikle daha büyük siber saldırıların habercisi olduğunu belirtiyor. Önceki durumlarda, saldırganlar zaman içinde daha derin sızmalara olanak tanıyan uzaktan erişim araçları yerleştirmek için benzer stratejiler kullanmışlardı.
Kampanya devam ederken, CERT Polska ve diğer ulusal kurumlar, uyarıları dağıtmak ve tehdit istihbaratını paylaşmak için yerel yetkililerle birlikte çalışıyor. Belediye ofislerinden, hiçbir ek açılmamış olsa bile tüm şüpheli e-postaları bildirmeleri isteniyor. Bu verilerin merkezileştirilmesi, saldırılar arasındaki kalıpların ve potansiyel bağlantıların belirlenmesine yardımcı olacaktır.
Kamu görevlileri için bu olay, siber güvenlik tehditlerinin giderek sistemlerden ziyade bireyleri hedef aldığını hatırlatıyor. Gelişmiş kimlik avı, teknik istismarlara daha az, psikolojik manipülasyona daha çok dayanır ve kurbanları harekete geçmeye zorlamak için aciliyet ve otorite kullanır. Saldırganlar, güvenilir bir devlet kaynağından gelen meşru iletişim gibi görünerek, normalde erişimi engelleyecek birçok teknik önlemi atlayabilir.
Olay aynı zamanda özel siber güvenlik kaynaklarına sahip olmayan daha küçük devlet kurumlarını savunmanın artan zorluğunu da vurguluyor. Ulusal bakanlıklar genellikle gelişmiş güvenlik operasyonlarını sürdürürken, birçok belediye ofisi sınırlı teknik personel ve eski sistemlerle faaliyet göstermektedir. Bu, tehdit aktörlerinin daha büyük ağlara ulaşmak veya hükümet süreçleri hakkında istihbarat toplamak için yararlanabileceği güvenlik açıkları yaratır.
Polonyalı siber güvenlik uzmanları, basit karşı önlemlerin bile riski önemli ölçüde azaltabileceğini vurguluyor. Bunlar arasında gönderen adreslerinin doğrulanması, doğrulanmamış eklerin açılmasının önlenmesi, yönetici hesapları için çok faktörlü kimlik doğrulamanın kullanılması ve güncel antivirüs araçlarının sürdürülmesi yer alır. Belediye ofisleri ayrıca, çalışanların şüpheli iletişimleri hasar meydana gelmeden önce tanımasına ve bildirmesine yardımcı olmak için kimlik avı egzersizlerini simüle etmeye teşvik ediliyor.
Polonya belediye liderlerine yönelik kimlik avı kampanyası, siber suçluların güven ve rutin iletişimi istismar etmek için taktiklerini nasıl geliştirmeye devam ettiklerini gösteriyor. Soruşturma devam ederken, CERT Polska’nın uyarısı, hükümetin her düzeyinde dikkatli olmanın öneminin altını çiziyor. Kampanya amaçlanan hedeflere ulaşsın ya da ulaşmasın, iyi tasarlanmış sistemlerin bile güvende kalmak için insan farkındalığına bağlı olduğunu hatırlatır.