FBI, CISA ve NSA, kritik altyapı ağı savunucularını, Rus destekli bilgisayar korsanlığı grupları tarafından yönetilen ABD kritik altyapı sektörlerinden kuruluşları hedef alan gelen saldırıları tespit etmeye ve engellemeye hazır olmaları konusunda uyardı.
Rusya ile bağlantılı gelişmiş kalıcı tehdit (APT) aktörlerinin, ağlarını ihlal etmek için çeşitli etkili taktikler kullanarak çok çeşitli ABD kuruluşlarına saldırdığı gözlemlendi.
Ortak danışma belgesi, “Rus devlet destekli APT aktörleri, üçüncü taraf altyapısından ödün vererek, üçüncü taraf yazılımından ödün vererek veya özel kötü amaçlı yazılım geliştirip dağıtarak sofistike ticaret ve siber yetenekler de sergilediler.” okur.
“Aktörler, meşru kimlik bilgilerini kullanarak, bulut ortamları da dahil olmak üzere güvenliği ihlal edilmiş ortamlarda kalıcı, tespit edilmemiş, uzun vadeli erişim sağlama becerisini de gösterdiler.
“Bazı durumlarda, kritik altyapı kuruluşlarına karşı Rus devleti destekli siber operasyonlar, yıkıcı kötü amaçlı yazılımlarla özellikle operasyonel teknoloji (OT)/endüstriyel kontrol sistemleri (ICS) ağlarını hedef aldı.”
Üç federal kurum, Rus APT gruplarının aşağıdaki saldırıların altını çiziyor: APT29, APT28, ve kum solucanı takımı — dünya çapındaki kritik altyapı kuruluşlarına ait endüstriyel kontrol sistemlerini (ICS) ve operasyonel teknoloji (OT) ağlarını özel olarak hedeflemek için yıkıcı kötü amaçlı yazılımlar kullandılar:
- Eylül 2020’den en az Aralık 2020’ye kadar eyalet, yerel, kabile ve bölgesel (SLTT) hükümetleri ve havacılık ağlarını hedefleyen Rus devlet destekli APT aktörleri. Rus devlet destekli APT aktörleri düzinelerce SLTT hükümeti ve havacılık ağını hedef aldı. Aktörler, ağları başarıyla ele geçirdi ve birden fazla kurbandan veri sızdırdı.
- Rus devlet destekli APT aktörlerinin küresel Enerji Sektörü saldırı kampanyası, 2011’den 2018’e. Bu Rus devlet destekli APT aktörleri, ABD ve uluslararası Enerji Sektörü ağlarına uzaktan erişim sağladıkları, ICS odaklı kötü amaçlı yazılımları yerleştirdikleri ve kurumsal ve ICS ile ilgili verileri toplayıp sızdırdıkları çok aşamalı bir izinsiz giriş kampanyası yürüttüler.
- Rus devlet destekli APT aktörlerinin Ukrayna kritik altyapısına karşı kampanyası, 2015 ve 2016. Rus devlet destekli APT aktörleri, Ukraynalı enerji dağıtım şirketlerine karşı bir siber saldırı gerçekleştirerek, Aralık 2015’te birden fazla şirketin plansız elektrik kesintileri yaşamasına neden oldu. SiyahEnerji kötü amaçlı yazılımları kullanıcı kimlik bilgilerini çalmak ve zararlı kötü amaçlı yazılım bileşeni KillDisk’i kullanarak virüslü bilgisayarları çalışamaz hale getirmek için kullandı. 2016 yılında, bu aktörler Ukraynalı bir elektrik iletim şirketine karşı bir siber saldırı kampanyası yürüttü ve konuşlandırdı. CrashOverride elektrik şebekelerine saldırmak için özel olarak tasarlanmış kötü amaçlı yazılım.
Rusya destekli siber operasyonlara maruz kalan ABD kritik altyapı kuruluşlarına, sağlam günlük toplama/saklama uygulayarak ve davranışsal kanıt veya ağ ve ana bilgisayar tabanlı eserler arayarak kötü niyetli etkinliklerini tespit etmeye odaklanmaları tavsiye edilir.
BT veya OT ağlarını izlerken olası bir Rus bağlantılı APT faaliyeti tespit ederlerse, potansiyel olarak etkilenen tüm sistemleri izole etmeye, yedeklerini güvenceye almaya, olası ihlale dair kanıt toplamaya ve olayı sonrasında CISA veya FBI’a bildirmeye teşvik edilirler. olay müdahale görevlerinde BT uzmanlarından yardım istemek.
ABD kuruluşlarını hedef alan Rus APT’lerinin uyarıları
Bu ortak tavsiye, bir NCSC(UK)-CISA-FBI-NSA ortak güvenlik danışmanlığı Mayıs 2021’de ağ savunucularını, Rus sponsorlu SVR bilgisayar korsanlarının (aka APT29, Cozy Bear ve The Dukes) saldırılarında hedef değiştirme hızlarına ulaşmak için sistemlerini mümkün olduğunca çabuk düzeltmeye teşvik etmek için yayınlandı.
Bu uyarı ABD ve İngiltere hükümetlerinden sonra geldi SolarWinds tedarik zinciri saldırısına bağlandı ve Nisan 2021’den itibaren Rus SVR operatörlerinin siber casusluk çabalarını hedefleyen COVID-19 aşı geliştiricisi.
NSA, CISA ve FBI da aynı gün içinde organizasyonları ve hizmet sağlayıcıları bu konuyla ilgili bilgilendirdi. SVR saldırılarında yararlanılan ilk beş güvenlik açığı ABD çıkarlarına karşı.
Nisan ayında yayınlanan üçüncü bir ortak tavsiyede, FBI, DHS ve CIA, ABD teşkilatlarını uyardı. Rus SVR ile bağlantılı devam eden saldırılar ABD ve yabancı örgütlere karşı.
Temmuz ayında ABD hükümeti de 10 milyon dolara kadar ödül vereceğini duyurdu Ülkenin kritik altyapı sektörlerini hedef alan devlet destekli tehdit aktörleri tarafından yürütülen kötü niyetli siber faaliyetler hakkında bilgi için Adalet Ödülleri (RFJ) programı aracılığıyla.