Microsoft, Rus Seashell Blizzard Hacker'larının Kritik Altyapı Hedeflerine Saldırıda Bulunduğu Uyarısında Bulundu
Seashell Blizzard olarak bilinen Rusya bağlantılı tehlikeli bir hacker grubu, dünya çapında kritik altyapılara yönelik saldırılarını yoğunlaştırdı ve uzun vadeli siber casusluk ve yıkıcı operasyonlar konusunda endişelere yol açtı. Microsoft'tan gelen son uyarıya göre, bu grup yalnızca yüksek değerli sistemlere sızmakla kalmıyor, aynı zamanda tehlikeye atılmış ağlar üzerinde uzun vadeli kontrolü sürdürmek için kendini derinlemesine yerleştiriyor.
İçindekiler
Seashell Blizzard, Ünlü Bir Rus Tehdit Oyuncusudur
APT44, BlackEnergy Lite, Sandworm, Telebots ve Voodoo Bear olarak da izlenen Seashell Blizzard, en azından 2009'dan beri önemli bir siber tehdit olmuştur. Grubun, Rusya'nın askeri istihbarat teşkilatı GRU (özellikle Unit 74455) altında faaliyet gösterdiğine yaygın olarak inanılmaktadır. Seashell Blizzard, 2017'de küresel işletmeleri çökerten kötü şöhretli NotPetya fidye yazılımı ve 2015'te Ukrayna'daki kritik sistemleri hedef alan KillDisk kötü amaçlı yazılımı da dahil olmak üzere yıkıcı saldırılarıyla ünlüdür.
Seashell Blizzard, yıllar boyunca şu gibi kritik altyapı sektörlerini hedef aldı:
- Enerji
- Su Temini
- Devlet Kurumları
- Askeri Ağlar
- Telekomünikasyon
- Toplu taşıma
- Üretme
Bu saldırılar rastgele değil; özellikle siber savaşın Rusya'nın daha geniş çatışma stratejisinin önemli bir bileşeni olduğu Ukrayna'daki Rus askeri hedefleriyle yakından örtüşüyor.
Kalıcı Erişime Odaklanan Yeni Bir Alt Grup
Microsoft'un son raporu, Seashell Blizzard'ın içinde en az dört yıldır radar altında faaliyet gösteren bir alt grubun ortaya çıktığını vurguluyor. Bu alt grup, kritik bir göreve adanmıştır: savunmasız sistemlere ilk erişimi elde etmek ve uzun vadeli kalıcılık sağlamak. Bu, bilgisayar korsanlarının tehlikeye atılmış sistemler üzerinde aylarca hatta yıllarca kontrol sahibi olmalarını ve her an yıkıcı saldırılar başlatmaya hazır olmalarını sağlar.
BadPilot kampanyası olarak adlandırılan bu çaba, 2021'den beri devam ediyor ve daha geniş ağ ihlallerini kolaylaştırmak için yüksek değerli hedeflere sızmaya odaklanıyor. Alt grubun yöntemleri gizli ve oldukça fırsatçı olarak tanımlanıyor ve yaygın olarak kullanılan yazılımlardaki ve internete bakan sistemlerdeki güvenlik açıklarına dayanıyor.
Bilinen Güvenlik Açıklarından Yararlanma
Saldırganlar, popüler sistemlerdeki bilinen güvenlik açıklarını istismar ediyor:
- ConnectWise Ekran Bağlantısı (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Microsoft Exchange (CVE-2021-34473)
- Zimbra İşbirliği Paketi (CVE-2022-41352)
- OpenFire Sohbet Sunucusu (CVE-2023-32315)
- TeamCity Yapı Sunucusu (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- JBOSS Sunucuları (Belirtilmemiş CVE)
Bilgisayar korsanları saldırgan bir "sprey ve dua" yaklaşımı kullanarak internette savunmasız sistemleri tarıyor ve topluca saldırıyor. İçeri girdikten sonra, web kabukları ve Uzaktan İzleme ve Yönetim (RMM) yazılımı gibi araçlar kullanarak kendilerini yerleştiriyorlar ve tehlikeye atılmış sistemler üzerinde uzun vadeli kontrol sağlıyorlar.
Kontrolü Sürdürmek İçin Kullanılan Alarm Teknikleri
Bir sistem tehlikeye girdiğinde, alt grup birden fazla kalıcılık tekniğini devreye sokar:
- Web Kabuğu Dağıtımları: Uzaktan kontrol için arka kapı erişimi sağlama.
- RMM Araçları: Gizli erişime ve daha fazla kötü amaçlı yazılım dağıtımına izin verir.
Birçok durumda, bu sürekli erişim yıkıcı saldırılardan önce gerçekleşmiş olup, bu durum bilgisayar korsanlarının Rus askeri ve jeopolitik ihtiyaçlarına bağlı olarak casusluk ve sabotaj olmak üzere iki amaçlı bir kabiliyete sahip olduklarını düşündürmektedir.
Küresel Genişleme: ABD ve İngiltere Artık Hedefte
Ukrayna, Seashell Blizzard'ın siber operasyonlarının birincil odak noktası olsa da, Microsoft'un raporu bu alt grubun 2023'te etki alanını genişlettiğini ve ABD ve Birleşik Krallık'taki kuruluşları hedef aldığını ortaya koyuyor. Bu genişleme tehlikeli bir değişime işaret ediyor ve Rusya'nın siber savaş oyun kitabının kapsamını Batılı ülkeleri de kapsayacak şekilde genişlettiğini gösteriyor.
Kalıcı ve Artan Bir Tehdit
Microsoft, bu alt grubun yavaşlamadığı konusunda uyarıyor. Aslında, dünya çapında ağlara sızmak için yenilikçi teknikler geliştirmeye ve uygulamaya devam etmesi muhtemel. Rusya'nın Ukrayna'daki devam eden savaşı ve artan jeopolitik gerginliklerle birlikte, kritik altyapıya yönelik siber saldırılar yıkıcı gerçek dünya sonuçlarına dönüşebilir.
Kuruluşunuzu Seashell Blizzard'a Karşı Koruma
Kritik sektörlerdeki kuruluşlar, bu sürekli tehdide karşı savunmak için derhal harekete geçmelidir:
- Bilinen Güvenlik Açıklarını Düzeltin: ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire ve diğer hedef yazılımları çalıştıran sistemlerin tamamen güncel olduğundan emin olun.
- Ağ Güvenliğini Güçlendirin: Çok faktörlü kimlik doğrulamayı (MFA) kullanın, hassas sistemlere erişimi kısıtlayın ve olağandışı etkinlikleri izleyin.
- Kalıcılığı İzleyin: Yetkisiz web kabuklarını, RMM araçlarını veya oturum açma sayfaları ve DNS yapılandırmalarında yapılan değişiklikleri tespit etmek için düzenli güvenlik denetimleri gerçekleştirin.
- Olay Müdahale Hazırlığı: Kapsamlı bir müdahale planı geliştirerek ve yedeklemelerin güvenli olduğundan ve düzenli olarak test edildiğinden emin olarak olası kesintiye neden olabilecek saldırılara karşı hazırlıklı olun.
Son Uyarı
Seashell Blizzard ve ilk erişim alt grubu, küresel olarak kritik altyapılar için açık ve mevcut bir tehlikeyi temsil ediyor. Sürekli erişim için amansız arayışları, enerji şebekelerini, su kaynaklarını, ulaşım sistemlerini ve hükümet operasyonlarını bozabilecek büyük ölçekli siber sabotajın habercisi olabilir. Microsoft'un son bulguları çarpıcı bir hatırlatma: Bir sonraki büyük siber saldırı, kritik sistemlerin içinde gizleniyor olabilir ve sinyalin gelmesini bekliyor olabilir.