Siber güvenlik şirketi ESET, Nisan – Eylül 2023 tarihleri ortasındaki gelişmiş kalıcı tehdit (APT) kümelerinin etkinliklerini özetleyen APT Faaliyet Raporunu yayımladı. ESET araştırmacıları tarafından izlenen, araştırılan ve tahlil edilen bilgilere dayanan raporda Çin irtibatlı kümelerin Avrupa Birliği‘ndeki ısrarlı hücumlarına ve Rusya’nın Ukrayna’ya yönelik siber savaşının sabotajdan casusluğa dönüşüne dikkat çekiliyor.
Siber savaş hızlanıyor: Rusya ve Çin, saldırıda!
ESET Research, yayımladığı raporda çeşitli APT kümelerinin devlet kurumlarından yahut ilgili kuruluşlardan data sızdırmak için bilinen güvenlik açıklarından yararlandığını gözlemledi.
Rusya ilişkili Sednit ve Sandworm, Kuzey Kore ilişkili Konni ve rastgele bir coğrafik bölgeyle ilişkilendirilemeyen Winter Vivern ve Sturgeon Phisher kümeleri, WinRAR (Sednit, SturgeonPhisher ve Konni), Roundcube (Sednit ve Winter Vivern), Zimbra (Winter Vivern) ve Windows için Outlook’un (Sednit) güvenlik açıklarından yararlanarak yalnızca Ukrayna’da değil birebir vakitte Avrupa ve Orta Asya’daki çeşitli devlet kuruluşlarını gaye aldı.
Çin irtibatlı tehdit aktörleriyle ilgili olarak, GALLIUM muhtemelen Microsoft Exchange sunucularındaki yahut IIS sunucularındaki zayıflıklardan yararlanarak amacını telekomünikasyon operatörlerinden dünya çapındaki devlet kuruluşlarına kadar genişletti. Muhtemelen, MirrorFace Proself online depolama hizmetindeki güvenlik açıklarından TA410 ise Adobe ColdFusion uygulama sunucusundaki açıklardan yararlandı.
İran ve Orta Doğu temaslı kümeler, öncelikli olarak İsrail’deki kuruluşlardan casusluk ve data hırsızlığına odaklanarak yüksek hacimde faaliyetlerini sürdürdü. Bilhassa İran’a bağlı MuddyWater’ın Suudi Arabistan’daki kimliği bilinmeyen bir kuruluşu da maksat alması, bu tehdit aktörünün daha gelişmiş bir küme için erişim geliştirme grubu olarak hizmet etme mümkünlüğünü akla getiriyor.
Rusya irtibatlı kümelerin ana amacı, hepsi Sandworm tarafından kullanılan, mevcut RoarBat ve NikoWiper silicilerinin yeni versiyonlarını ve SharpNikoWiper ismi verilen yeni bir silicinin keşfedildiği Ukrayna oldu.
Gamaredon, GREF ve SturgeonPhisher üzere başka kümeler bilgi yahut en azından Telegram ile ilgili kimi meta dataları sızdırmak için Telegram kullanıcılarını hedeflerken, Sandworm bu hizmeti faal ölçüm emelleri için daima kullanıyor ve siber sabotaj operasyonlarının reklamını yapıyor. Fakat Ukrayna’daki en etkin küme, mevcut araçları yine geliştirip yenilerini devreye sokarak data toplama yeteneklerini değerli ölçüde artıran Gamaredon.
Kuzey Kore ilişkili kümeler, dikkatle seçtikleri gayelere yönelik kimlik avı e-postaları kullanarak Japonya, Güney Kore ve Güney Kore odaklı kuruluşları hedeflemeye devam etti. Gözlemlenen en faal Lazarus planı, maksadı bol yararlı konumlar için düzmece iş teklifleriyle cezbeden DreamJob operasyonuydu. Bu küme, tüm büyük masaüstü platformlar için makûs gayeli yazılım oluşturma yeteneğini daima olarak gösterdi.
ESET araştırmacıları, daha evvel tanımlanamayan Çin ilişkili üç kümenin operasyonlarını ortaya çıkardı: AB’deki bir hükumet kuruluşunu tekraren tehlikeye atan DigitalRecyclers, ortadaki düşman taarruzlarını yürüten TheWizards ve AB’deki öteki bir hükumet kuruluşunu maksat alan PerplexedGoblin.