Siber güvenlik şirketi ESET, Nisan – Eylül 2023 tarihleri arasındaki gelişmiş kalıcı tehdit (APT) gruplarının etkinliklerini özetleyen APT Faaliyet Raporunu yayımladı. ESET araştırmacıları tarafından izlenen, araştırılan ve analiz edilen verilere dayanan raporda Çin bağlantılı grupların Avrupa Birliği‘ndeki ısrarlı saldırılarına ve Rusya’nın Ukrayna’ya yönelik siber savaşının sabotajdan casusluğa dönüşüne dikkat çekiliyor.
Siber savaş hızlanıyor: Rusya ve Çin, saldırıda!
ESET Research, yayımladığı raporda çeşitli APT gruplarının devlet kurumlarından veya ilgili kuruluşlardan veri sızdırmak için bilinen güvenlik açıklarından yararlandığını gözlemledi.
Rusya bağlantılı Sednit ve Sandworm, Kuzey Kore bağlantılı Konni ve herhangi bir coğrafi bölgeyle ilişkilendirilemeyen Winter Vivern ve Sturgeon Phisher grupları, WinRAR (Sednit, SturgeonPhisher ve Konni), Roundcube (Sednit ve Winter Vivern), Zimbra (Winter Vivern) ve Windows için Outlook’un (Sednit) güvenlik açıklarından yararlanarak sadece Ukrayna’da değil aynı zamanda Avrupa ve Orta Asya’daki çeşitli devlet kuruluşlarını hedef aldı.
Çin bağlantılı tehdit aktörleriyle ilgili olarak, GALLIUM muhtemelen Microsoft Exchange sunucularındaki veya IIS sunucularındaki zayıflıklardan yararlanarak hedefini telekomünikasyon operatörlerinden dünya çapındaki devlet kuruluşlarına kadar genişletti. Muhtemelen, MirrorFace Proself online depolama hizmetindeki güvenlik açıklarından TA410 ise Adobe ColdFusion uygulama sunucusundaki açıklardan yararlandı.
İran ve Orta Doğu bağlantılı gruplar, öncelikli olarak İsrail’deki kuruluşlardan casusluk ve veri hırsızlığına odaklanarak yüksek hacimde faaliyetlerini sürdürdü. Özellikle İran’a bağlı MuddyWater’ın Suudi Arabistan’daki kimliği belirsiz bir kuruluşu da hedef alması, bu tehdit aktörünün daha gelişmiş bir grup için erişim geliştirme ekibi olarak hizmet etme olasılığını akla getiriyor.
Rusya bağlantılı grupların ana hedefi, hepsi Sandworm tarafından kullanılan, mevcut RoarBat ve NikoWiper silicilerinin yeni versiyonlarını ve SharpNikoWiper adı verilen yeni bir silicinin keşfedildiği Ukrayna oldu.
Gamaredon, GREF ve SturgeonPhisher gibi diğer gruplar bilgi veya en azından Telegram ile ilgili bazı meta verileri sızdırmak için Telegram kullanıcılarını hedeflerken, Sandworm bu hizmeti aktif ölçüm amaçları için sürekli kullanıyor ve siber sabotaj operasyonlarının reklamını yapıyor. Ancak Ukrayna’daki en aktif grup, mevcut araçları yeniden geliştirip yenilerini devreye sokarak veri toplama yeteneklerini önemli ölçüde artıran Gamaredon.
Kuzey Kore bağlantılı gruplar, dikkatle seçtikleri hedeflere yönelik kimlik avı e-postaları kullanarak Japonya, Güney Kore ve Güney Kore odaklı kuruluşları hedeflemeye devam etti. Gözlemlenen en aktif Lazarus planı, hedefi bol kazançlı pozisyonlar için sahte iş teklifleriyle cezbeden DreamJob operasyonuydu. Bu grup, tüm büyük masaüstü platformlar için kötü amaçlı yazılım oluşturma yeteneğini sürekli olarak gösterdi.
ESET araştırmacıları, daha önce tanımlanamayan Çin bağlantılı üç grubun operasyonlarını ortaya çıkardı: AB’deki bir hükumet kuruluşunu defalarca tehlikeye atan DigitalRecyclers, ortadaki düşman saldırılarını yürüten TheWizards ve AB’deki başka bir hükumet kuruluşunu hedef alan PerplexedGoblin.